Trend Micro Security

TROJ_KRYPTIK.PUH

2013年4月5日
 解析者: Anthony Joe Melgarejo   

 別名:

Trojan:Win32/Alureon.GC (Microsoft), Trojan.Zbot (Symantec), PWS-Zbot-FAQO!D1C52FC3F3F5 (McAfee), Troj/Agent-AATY (Sophos), Trojan.Win32.Zbocheman.fb (v) (Sunbelt), W32/Trojan3.EZT (F-Prot), W32/Yakes.B!tr (Fortinet), Trojan-Spy.Agent (Ikarus), Win32/Kryptik.AXQD trojan (ESET), Trj/Sinowal.WWG (Panda), BScope.Malware-Cryptor.Trash.2613 (VBA32)

 プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。


  詳細

ファイルサイズ 80,896 bytes
タイプ EXE
メモリ常駐 はい
発見日 2013年3月26日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

  • %All Users Profile%\Application Data\faedacacbasacfsfdsf.exe

マルウェアは、自身(コンピュータに侵入して最初に自身のコピーを作成したマルウェア)を終了し、侵入したコンピュータ内で作成した自身のコピーの方を実行します。

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
faedacacbasacfsfdsf = "%All Users Profile%\Application Data\faedacacbasacfsfdsf.exe"

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\faedacacbasacfsfdsf

マルウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\faedacacbasacfsfdsf
CurrentPath111 = %All Users Profile%\Application Data\faedacacbasacfsfdsf.exe

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

  • http://{BLOCKED}t.ru/power/c1.php
  • http://{BLOCKED}mcam.ru/power/c1.php