TROJ_KRYPTIK.PUH
Trojan:Win32/Alureon.GC (Microsoft), Trojan.Zbot (Symantec), PWS-Zbot-FAQO!D1C52FC3F3F5 (McAfee), Troj/Agent-AATY (Sophos), Trojan.Win32.Zbocheman.fb (v) (Sunbelt), W32/Trojan3.EZT (F-Prot), W32/Yakes.B!tr (Fortinet), Trojan-Spy.Agent (Ikarus), Win32/Kryptik.AXQD trojan (ESET), Trj/Sinowal.WWG (Panda), BScope.Malware-Cryptor.Trash.2613 (VBA32)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。
- %All Users Profile%\Application Data\faedacacbasacfsfdsf.exe
マルウェアは、自身(コンピュータに侵入して最初に自身のコピーを作成したマルウェア)を終了し、侵入したコンピュータ内で作成した自身のコピーの方を実行します。
自動実行方法
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
faedacacbasacfsfdsf = "%All Users Profile%\Application Data\faedacacbasacfsfdsf.exe"
他のシステム変更
マルウェアは、以下のレジストリキーを追加します。
HKEY_CURRENT_USER\Software\faedacacbasacfsfdsf
マルウェアは、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\faedacacbasacfsfdsf
CurrentPath111 = %All Users Profile%\Application Data\faedacacbasacfsfdsf.exe
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- http://{BLOCKED}t.ru/power/c1.php
- http://{BLOCKED}mcam.ru/power/c1.php