• Email
• Facebook
• Twitter
• Google+
• Linkedin

TROJ_NEUREVT.TVA

---

• マルウェアタイプ: トロイの木馬型
• 破壊活動の有無: なし
• 暗号化:  
• 感染報告の有無: はい

---

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、実行後、自身を削除します。

---

  詳細

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

• %ProgramData%\6b407430\{random filename}.exe (for Windows Vista and above)
• %Program Files%\6b407430\{random filename}.exe (for Windows XP and below)

(註：%ProgramData%フォルダは、Windows Vista および 7 の場合、通常、"C:\ProgramData"、Windows 2000、XP (32ビット)、Server 2003 の場合、"C:\Program Files"、Windows XP (64ビット) の場合、"C:\Program Files (x86)" です。. %Program Files%フォルダは、プログラムファイルのフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Program Files"、64bitのOS上で32bitのアプリケーションを実行している場合、 "C:\Program Files (x86)" です。.)

マルウェアは、以下のファイルを作成します。

• %ProgramData%\6b407430\desktop.ini (for Windows Vista and above)
• %Program Files%\Common Files\6b407430\desktop.ini (for Windows XP and below)

(註：%ProgramData%フォルダは、Windows Vista および 7 の場合、通常、"C:\ProgramData"、Windows 2000、XP (32ビット)、Server 2003 の場合、"C:\Program Files"、Windows XP (64ビット) の場合、"C:\Program Files (x86)" です。. %Program Files%フォルダは、プログラムファイルのフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Program Files"、64bitのOS上で32bitのアプリケーションを実行している場合、 "C:\Program Files (x86)" です。.)

マルウェアは、以下のフォルダを作成します。

• %ProgramData%\6b407430 (for Windows Vista and above)
• %Program Files%\Common Files\6b407430 (for Windows XP and below)

(註：%ProgramData%フォルダは、Windows Vista および 7 の場合、通常、"C:\ProgramData"、Windows 2000、XP (32ビット)、Server 2003 の場合、"C:\Program Files"、Windows XP (64ビット) の場合、"C:\Program Files (x86)" です。. %Program Files%フォルダは、プログラムファイルのフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Program Files"、64bitのOS上で32bitのアプリケーションを実行している場合、 "C:\Program Files (x86)" です。.)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random} = "%ProgramData%\6b407430\{random filename}.exe" (for Windows Vista and above)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce
{random} = "%ProgramData%\6b407430\{random filename}.exe" (for Windows Vista and above)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce
{random} = "%Program Files%\Common Files\6b407430\{random filename}.exe (for Windows XP and below)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random} = "%Program Files%\Common Files\6b407430\{random filename}.exe (for Windows XP and below)

マルウェアは、特定のアプリケーションの起動時に自身が自動実行されるよう、「Image File Execution Options」キーを用いて以下のレジストリキーおよびレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
{random filename}.exe
DisableExceptionChainValidation =

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\AppDataLow\
Toolkit

HKEY_CURRENT_USER\Software\AppDataLow\
Software\MyMailClient

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Barksdale

HKEY_CURRENT_USER\Software\AppDataLow\
Software\{UID}

HKEY_CURRENT_USER\Software\Apple Computer, Inc.

マルウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\1
2500 = "3"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\2
2500 = "3"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\3
2500 = "3"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\4
2500 = "3"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
NoProtectedModeBanner = "1"

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

• http://www6.{BLOCKED}sarago.com.br/js/prototype/order.php
• http://www6.{BLOCKED}sarago.com.br/js/prototype/order.php?page=27
• http://www6.{BLOCKED}sarago.com.br/js/prototype/order.php?id=6319934
• http://www6.{BLOCKED}sarago.com.br/js/prototype/order.php?pid=51
• http://www6.{BLOCKED}sarago.com.br/js/prototype/order.php?pid=521
• http://www6.{BLOCKED}irashotelmg.com.br/js/prototype/order.php

マルウェアは、実行後、自身を削除します。