Trend Micro Security

TROJ_FAKEAV.SMFB

2013年12月4日
 解析者: Cris Nowell Pantanilla   
 プラットフォーム:

Windows 98, ME, NT, 2000, XP, Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


ただし、情報公開日現在、このWebサイトにはアクセスできません。

マルウェアは、Webサイトにアクセスし、ファイルをダウンロードします。これにより、感染コンピュータ上に他のマルウェアがダウンロードまたは作成されます。 マルウェアは、ダウンロードしたファイルを実行します。この結果、マルウェアの不正活動が感染コンピュータ上で展開されることとなります。

  詳細

ファイルサイズ 不定
タイプ EXE
メモリ常駐 はい

侵入方法

ただし、情報公開日現在、このWebサイトにはアクセスできません。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %Program Files%\Common Files\Microsoft Shared\DW\NetworkDW20.exe
  • %Program Files%\Common Files\Microsoft Shared\Database Replication\Resources\1033\resdllwzcnfrc.exe
  • %Program Files%\Common Files\Microsoft Shared\MSDesigners7\Resources\1033\StudioVisual.exe
  • %Program Files%\Common Files\Microsoft Shared\MSENV\EnvironmentMicrosoft7.00.9064.9112.exe
  • %Program Files%\Common Files\Microsoft Shared\TRANSLAT\ESEN\TranslationDictionaries.exe
  • %Program Files%\Common Files\SpeechEngines\Microsoft\SR61\1033\EngineITNGRAM.exe
  • %Program Files%\Common Files\System\MSMAPI\1033\OfficeMicrosoft1.0.2536.0.exe
  • %Program Files%\Common Files\System\msadc\msadcoData.exe
  • %Program Files%\MSN\MSNCoreFiles\POPCMicrosoftR.exe
  • %Program Files%\Microsoft Office\MEDIA\OFFICE11\AUTOSHAP\versionMicrosoft.exe
  • %Program Files%\Microsoft Office\OFFICE11\Migration\MIGRATEOffice11.0.5510.exe
  • %Program Files%\Microsoft Office\OFFICE11\Migration\OfficeOffice11.0.5510.exe

(註:%Program Files%フォルダは、Windows 2000、Server 2003、XP (32ビット)、通常 Vista (32ビット) および 7 (32ビット) の場合、通常 "C:\Program Files"、Windows XP (64ビット)、Vista (64ビット) および 7 (64ビット) の場合、通常 "C:\Program Files (x86)" です。)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
MicrosoftEnvironment = %Program Files%\common files\microsoft shared\msenv\environmentmicrosoft7.00.9064.9112.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
MicrosoftOffice = %Program Files%\microsoft office\office11\migration\migrateoffice11.0.5510.ex

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
MicrosoftOrganizer = %Program Files%\microsoft office\media\office11\autoshap\versionmicrosoft.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
SPSRXUIMicrosoft = Program Files%\common files\speechengines\microsoft\sr61\1033\engineitngram.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
TranslationMicrosoft1021091 = %Program Files%\common files\microsoft shared\translat\esen\translationdictionaries.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{malware name} = {malware path and name}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
msdfmapMicrosoft = %Program Files%\common files\system\msadc\msadcodata.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices
MicrosoftRMicrosoftR = %Program Files%\msn\msncorefiles\popcmicrosoftr.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices
MicrosoftVisual = %Program Files%\common files\microsoft shared\msdesigners7\resources\1033\studiovisual.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices
OfficeMIGRATE = %Program Files%\microsoft office\office11\migration\officeoffice11.0.5510.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices
ReportingWatson = %Program Files%\common files\microsoft shared\dw\networkdw20.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices
bjablr32emsmdb32 = %Program Files%\common files\system\msmapi\1033\officemicrosoft1.0.2536.0.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices
{malware name} = {malware path and name}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices
wzcnfrcwzcnfrc = %Program Files%\common files\microsoft shared\database replication\resources\1033\resdllwzcnfrc.exe

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MediaPlayer\Setup\Files
1 = {Random Hex Values}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MediaPlayer\Setup\Files
2 = {Random Hex Values}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MediaPlayer\Setup\Files
3 = {Random Hex Values}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MediaPlayer\Setup\Files
4 = {Random Hex Values}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MediaPlayer\Setup\Files
5 = {Random Hex Values}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MediaPlayer\Setup\Files
6 = {Random Hex Values}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
MediaPlayer\Setup\Files
7 = {Random Hex Values}

ダウンロード活動

マルウェアは、Webサイトにアクセスし、以下のファイルをダウンロードします。

  • http://{BLOCKED}place.biz/getfile.php
  • http://{BLOCKED}place.biz/httpss/ldr123.php

マルウェアは、ダウンロードしたファイルを実行します。この結果、マルウェアの不正活動が感染コンピュータ上で展開されることとなります。