• Email
• Facebook
• Twitter
• Google+
• Linkedin

TROJ_DLOADR.BUTH

---

• マルウェアタイプ: トロイの木馬型
• 破壊活動の有無: なし
• 暗号化: はい
• 感染報告の有無: はい

---

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、ワーム活動の機能を備えていません。

マルウェアは、バックドア活動の機能を備えていません。

マルウェアは、ダウンロードしたファイルを実行します。 ただし、情報公開日現在、このWebサイトにはアクセスできません。

マルウェア マルウェアは、自身（コンピュータに侵入して最初に自身のコピーを作成した マルウェア ）を削除します。

---

  詳細

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

• {All Users' Profile}\Application Data\pcdfdata\{malware file name}.exe
• %ProgramData%\pcdfdata\{malware file name}.exe - for Windows Vista and 7 only

(註：%ProgramData%フォルダは、Windows Vista および 7 の場合、通常、"C:\ProgramData"、Windows 2000、XP (32ビット)、Server 2003 の場合、"C:\Program Files"、Windows XP (64ビット) の場合、"C:\Program Files (x86)" です。)

マルウェアは、以下のプロセスに自身を組み込み、システムのプロセスに常駐します。

• iexplore.exe

マルウェアは、以下のフォルダを作成します。

• {All Users' Profile}\Application Data\pcdfdata
• %ProgramData%\pcdfdata - for Windows Vista and 7 only

(註：%ProgramData%フォルダは、Windows Vista および 7 の場合、通常、"C:\ProgramData"、Windows 2000、XP (32ビット)、Server 2003 の場合、"C:\Program Files"、Windows XP (64ビット) の場合、"C:\Program Files (x86)" です。)

感染活動

マルウェアは、ワーム活動の機能を備えていません。

バックドア活動

マルウェアは、バックドア活動の機能を備えていません。

ダウンロード活動

マルウェアは、以下のWebサイトにアクセスし、ファイルをダウンロードします。

• http://{BLOCKED}ipadinitiating.org/content/scc

マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。

• {All User's Profile}\Application Data\pcdfdata\vl.bin - encrypted FAKEAV file. The decrypted file is detected as TROJ_FAKEAV.BUTH
• %ProgramData%\pcdfdata\vl.bin (Windows Vista and 7 only) - encrypted FAKEAV file. The decrypted file is detected as TROJ_FAKEAV.BUTH

(註：%ProgramData%フォルダは、Windows Vista および 7 の場合、通常、"C:\ProgramData"、Windows 2000、XP (32ビット)、Server 2003 の場合、"C:\Program Files"、Windows XP (64ビット) の場合、"C:\Program Files (x86)" です。)

マルウェアは、ダウンロードしたファイルを実行します。

ただし、情報公開日現在、このWebサイトにはアクセスできません。

その他

マルウェア は、自身（コンピュータに侵入して最初に自身のコピーを作成した マルウェア ）を削除します。

マルウェアが作成する自身のコピーは、以下のとおりです。

• ＜All Users' Profile＞\Application Data\pcdfdata\＜マルウェアのファイル名＞.exe
• %ProgramData%\pcdfdata\＜マルウェアのファイル名＞.exe - Windows Vista および 7 のみ

マルウェアが作成するフォルダは、以下のとおりです。

• ＜All Users' Profile＞\Application Data\pcdfdata
• %ProgramData%\pcdfdata - Windows Vista および 7 のみ

マルウェアがダウンロードするファイルは、以下のとおりです。

• ＜All User's Profile＞\Application Data\pcdfdata\vl.bin - 偽セキュリティソフト型マルウェア「FAKEAV」の暗号化されたファイル。復号されたファイルは「TROJ_FAKEAV.BUTH」として検出。
• %ProgramData%\pcdfdata\vl.bin (Windows Vista および 7のみ) - 偽セキュリティソフト型マルウェア「FAKEAV」の暗号化されたファイル。復号されたファイルは「TROJ_FAKEAV.BUTH」として検出。

マルウェアは、暗号化された「FAKEAV」をダウンロードおよび実行します。

マルウェアは、レジストリ"HKEY_LOCAL_MACHINE\Software"または"HKEY_LOCAL_MACHINE\Software\Microsoft"に、以下のセキュリティ関連のアプリケーションおよび存在するレジストリ値の数を問い合わせます。

• Avira
• ESET
• Kaspersky Lab
• Microsoft Antimalware

マルウェアは、以下のURLにアクセスすることによりダウンロードのリンク先が有効かを確認します。

• http://＜省略＞ipadinitiating.org/api/test

マルウェアは、オペレーティングシステム（OS）のバージョンおよび感染コンピュータにインストールされたセキュリティ関連のアプリケーションの数を以下のURLに送信します。

• http://＜省略＞ipadinitiating.org/api/ping?stage=＜数字＞&uid=＜値＞&id=＜数字＞&subid=＜数字＞&os=＜数字＞&avf=＜確認されたセキュリティ関連のレジストリ値の数＞

マルウェアは、以下のURLにアクセスし、不正リモートユーザにダウンロードの成功を知らせます。

• http://＜省略＞ipadinitiating.org/api/ping?stage=＜数字＞&uid=＜ランダムな値＞

マルウェアは、以下のURLにアクセスし、ダウンロードされたファイルの最初の実行の状態を不正リモートユーザに知らせます。

• http://＜省略＞ipadinitiating.org/load/?uid=＜ランダムな値＞

マルウェアは、以下のURLにアクセスし、ダウンロードされたファイルのインストールの成功を不正リモートユーザに知らせます。

• http://＜省略＞ipadinitiating.org/postload2/?uid=＜ランダムな値＞

マルウェアは、以下のURLにアクセスし、「FAKEAV」によって利用されるウイルスの情報のリストを更新します。

• http://＜省略＞ipadinitiating.org/html/viruslist/?uid=＜ランダムな値＞

マルウェアは、ルートキット機能を備えていません。

マルウェアは、脆弱性を利用した感染活動を行いません。

---

  対応方法

ご利用はいかがでしたか？　アンケートにご協力ください