• Email
• Facebook
• Twitter
• Google+
• Linkedin

TROJ_FLASHUP.B

---

• マルウェアタイプ: トロイの木馬型
• 破壊活動の有無: なし
• 暗号化: はい
• 感染報告の有無: はい

---

  概要

トレンドマイクロは、このマルウェアをNoteworthy（要注意）に分類しました。

不正なファイル"flash32.exe"および"kbflashUpd.dll"は、それぞれ「TROJ_FLASHUP.A」および「TROJ_FLASHUP.B」として検出され、「TROJ_NETISON.AB」によってダウンロードされたペイロードです。マルウェア「TROJ_NETISON.AB」は、Adobe Flash Player のゼロデイ脆弱性「CVE-2015-5119」を利用して、侵入するペイロードです。

マルウェアは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。 マルウェアは、リモートサイトから他のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。

マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。

---

  詳細

侵入方法

マルウェアは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。

マルウェアは、リモートサイトから以下のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。

• TROJ_NETISON.AB

インストール

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• Windows Update System Verifier

マルウェアは、以下のプロセスに組み込まれ、システムのプロセスに常駐します。

• dwm.exe
• wuauclt.exe
• ctfmon.exe
• wscntfy.exe

マルウェアは、感染コンピュータ上のメモリに以下のプロセスを確認すると、自身を終了します。

• regmon.exe
• filemon.exe
• procMon.exe

その他

マルウェアは、以下のWebサイトにアクセスしてインターネット接続を確認します。

• www.update.microsoft.com

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• http://{BLOCKED}esstea.com/page2/oneclick.php?max-width={value}
• http://{BLOCKED}esstea.com/page2/oneclick.php?ads_id={value}&rparam={encrypted data}-{Computer Name}-{Version}-{encrypted data}
• http://{BLOCKED}esstea.com/page2/oneclick.php?cat_id={value}

このマルウェアは、「TROJ_FLASHUP.A」によって実行されます。

マルウェアは。以下のファイルを検索し、存在する場合は、それらのファイルを実行します。

• %Application Data%\microsoft\common\iecache32.exe
• %Application Data%\microsoft\common\iecookie.exe
• %Application Data%\microsoft\common\upx32.dll
• %Application Data%\microsoft\common\dllhosts.exe

マルウェアは、"%Application Data%\adobe\reader\temp"内のフォルダを検索します。ファイルが存在する場合は、ファイルを暗号化して、以下のURLに送信します。その後、マルウェアはファイルを削除します。

http://{BLOCKED}esstea.com/page2/oneclick.php?cat_id={value}

---

  対応方法

ご利用はいかがでしたか？　アンケートにご協力ください