TROJ_FAKEAV.CMP
a variant of Win32/Kryptik.AWCU trojan (Nod32)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %All Users Application Data%\mgqWPISksNJc.exe
- %ProgramData%\mgqWPISksNJc.exe (Windows Vista and 7 only)
(註:%ProgramData%フォルダは、Windows Vista および 7 の場合、通常、"C:\ProgramData"、Windows 2000、XP (32ビット)、Server 2003 の場合、"C:\Program Files"、Windows XP (64ビット) の場合、"C:\Program Files (x86)" です。)
自動実行方法
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
mgqWPISksNJc.exe = "%All Users Application Data%\mgqWPISksNJc.exe"
他のシステム変更
マルウェアは、以下のレジストリキーを追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Associations
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Attachments
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
マルウェアは、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software
nsreg = "{hex value}"
HKEY_CURRENT_USER\Software
rdc = "1"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Associations
LowRiskFileTypes = ".zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;.scr;"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Attachments
SaveZoneInformation = "1"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableTaskMgr = "1"
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableTaskMgr = "1"
マルウェアは、以下のレジストリ値を変更します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "0"
(註:変更前の上記レジストリ値は、「"2"」となります。)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = "0"
(註:変更前の上記レジストリ値は、「"1"」となります。)
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Download
CheckExeSignatures = "no"
(註:変更前の上記レジストリ値は、「"yes"」となります。)
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- http://{BLOCKED}oveentoes.com/updates/msupdate.dat
- http://{BLOCKED}ofalonc.com/updates/msupdate.dat
- http://{BLOCKED}athic.com/updates/msupdate.dat
- http://{BLOCKED}oveentoes.com/updates/msupdate.dat
- http://{BLOCKED}akeve.com/m.php?{random}
- http://{BLOCKED}ofalonc.com/?{random}