• Email
• Facebook
• Twitter
• Google+
• Linkedin

TROJ_DLOADER.YPS

---

• マルウェアタイプ: トロイの木馬型
• 破壊活動の有無: なし
• 暗号化:  
• 感染報告の有無: はい

---

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェア マルウェアは、自身（コンピュータに侵入して最初に自身のコピーを作成した マルウェア ）を削除します。

---

  詳細

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

• %Application Data%\{random file name}.exe

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

マルウェアは、自身（コンピュータに侵入して最初に自身のコピーを作成したマルウェア）を終了し、侵入したコンピュータ内で作成した自身のコピーの方を実行します。

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random file name}.exe = "%Application Data%\{random file name}.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
{random file name}.exe = "%Application Data%\{random file name}.exe"

ダウンロード活動

マルウェアは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。

• http://{BLOCKED}le.com/dl/201433197/a76b191/co937ty78934uti.html
• http://{BLOCKED}le.com/dl/201468511/672e785/374844578.html
• http://s374.{BLOCKED}le.com/get/11f2eea923e1d880b13671034f49d8aae291acbe/515e8321/2/501befb7d8fad531/c022a5f/374844578
• http://s612.{BLOCKED}le.com/get/ff0634635d66b2625429bdb650a3dcc0768c0ab7/515e831b/2/cbef13f353d1fb89/c01a06d/co937ty78934uti

マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。

• %User Temp%\{random file name 2}.exe
• %User Temp%\{random file name 3}.exe

(註：%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

• f.{BLOCKEDon.pl

マルウェア は、自身（コンピュータに侵入して最初に自身のコピーを作成した マルウェア ）を削除します。