TROJ_KOVTER.TGJ
Trojan:Win32/Kovter.C (Microsoft), a variant of Win32/Kryptik.CNOB (ESET)
Windows
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、レジストリキーおよびレジストリ値を追加し、セーフモード状態でも自身が実行されるようにします。これにより、感染コンピュータ上でこのマルウェアが削除されるのを避けます。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
他のシステム変更
マルウェアは、以下のレジストリキーを追加します。
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Internet Explorer\Main\FeatureControl
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Internet Explorer\Main\FeatureControl\
FEATURE_AJAX_CONNECTIONEVENTS
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Internet Explorer\Main\FeatureControl\
FEATURE_BROWSER_EMULATION
マルウェアは、以下のレジストリキーおよびレジストリ値を追加し、セーフモード状態でも自身が実行されるようにします。
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Internet Explorer\Main\FeatureControl\
FEATURE_AJAX_CONNECTIONEVENTS
svchost.exe = "1"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Internet Explorer\Main\FeatureControl\
FEATURE_BROWSER_EMULATION
explorer.exe = "0"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Internet Explorer\Main\FeatureControl\
FEATURE_BROWSER_EMULATION
svchost.exe = "0"
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- http://{BLOCKED}e.pw/form2.php