TROJ_NECURS.EE
Trojan:Win32/Necurs(Microsoft), a variant of Win32/Kryptik.BKUG trojan(NOD32)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、実行後、自身を削除します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %Windows%\Installer\{UID}\syshost.exe
(註:%Windows%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、"C:\Windows" です。)
自動実行方法
マルウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\syshost32
39986757974eff1 = "{random hex values}"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\syshost32
75bffdfcb2ffecfb = "{random hex values}"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\syshost32
ab666b181a0e1a89 = "{random hex values}"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\syshost32
d343c628ffe8d1ad = "{random hex values}"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\syshost32
ErrorControl = "0"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\syshost32
ImagePath = ""%Windows%\Installer\{UID}\syshost.exe" /service"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\syshost32
ObjectName = "LocalSystem"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\syshost32
Start = "2"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\syshost32
Type = "16"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\syshost32\Enum
0 = "Root\LEGACY_SYSHOST32\0000"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\syshost32\Enum
Count = "1"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\syshost32\Enum
NextInstance = "1"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\syshost32\Security
Security = "{random hex values}"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Enum\Root\LEGACY_SYSHOST32
NextInstance = "1"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Enum\Root\LEGACY_SYSHOST32\
0000
Class = "LegacyDriver"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Enum\Root\LEGACY_SYSHOST32\
0000
ClassGUID = "{GUID}"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Enum\Root\LEGACY_SYSHOST32\
0000
ConfigFlags = "0"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Enum\Root\LEGACY_SYSHOST32\
0000
DeviceDesc = "syshost32"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Enum\Root\LEGACY_SYSHOST32\
0000
Legacy = "1"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Enum\Root\LEGACY_SYSHOST32\
0000
Service = "syshost32"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Enum\Root\LEGACY_SYSHOST32\
0000\Control
ActiveService = "syshost32"
マルウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\syshost32
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Enum\Root\LEGACY_SYSHOST32
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\syshost32\Enum
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\syshost32\Security
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Enum\Root\LEGACY_SYSHOST32\
0000
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Enum\Root\LEGACY_SYSHOST32\
0000\Control
他のシステム変更
マルウェアは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
DoNotAllowExceptions = "0"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile
DoNotAllowExceptions = "0"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = "0"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile
EnableFirewall = "0"
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- http://customer.{BLOCKED}tream.nl
マルウェアは、実行後、自身を削除します。