TROJ_NITOL.LS
2015年2月23日
プラットフォーム:
Windows
危険度:
ダメージ度:
感染力:
感染確認数:
情報漏えい:
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、実行後、自身を削除します。
詳細
ファイルサイズ 71,680 bytes
タイプ EXE
発見日 2013年12月17日
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。
- %System%\{random filename}.exe
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)
自動実行方法
マルウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\aspnet_statesbot
ImagePath = "%System%\{random filename}.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\aspnet_statesbot
DisplayName = "ASP.NET State Servicesnmx Transaction Coordinator Service"
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- rat2.{BLOCKED}li.com
- rat3.{BLOCKED}li.com
- rat4.{BLOCKED}li.com
- whq2222.{BLOCKED}2.org
マルウェアは、実行後、自身を削除します。