Trend Micro Security

TROJ_OBVOD

2014年4月30日
 別名:

Obvod (Microsoft), TrojanClicker (Eset)

 プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  詳細

メモリ常駐 はい

インストール

マルウェアは、以下のファイルを作成し実行します。

  • %Windows%\Tasks\At1.job
  • %Windows%\Tasks\At2.job
  • %Windows%\Tasks\At3.job
  • %Windows%\Tasks\At4.job
  • %Windows%\Tasks\At5.job
  • %Windows%\Tasks\At6.job
  • %Windows%\Tasks\At7.job
  • %Windows%\Tasks\At8.job
  • %Windows%\Tasks\At9.job
  • %Windows%\Tasks\At10.job
  • %Windows%\Tasks\At11.job
  • %Windows%\Tasks\At12.job
  • %Windows%\Tasks\At13.job
  • %Windows%\Tasks\At14.job
  • %Windows%\Tasks\At15.job
  • %Windows%\Tasks\At16.job
  • %Windows%\Tasks\At17.job
  • %Windows%\Tasks\At18.job
  • %Windows%\Tasks\At19.job
  • %Windows%\Tasks\At20.job
  • %Windows%\Tasks\At21.job
  • %Windows%\Tasks\At22.job
  • %Windows%\Tasks\At23.job
  • %Windows%\Tasks\At24.job
  • %Windows%\Tasks\At25.job
  • %Windows%\Tasks\At26.job
  • %Windows%\Tasks\At27.job
  • %Windows%\Tasks\At28.job
  • %Windows%\Tasks\At29.job
  • %Windows%\Tasks\At30.job
  • %Windows%\Tasks\At31.job
  • %Windows%\Tasks\At32.job
  • %Windows%\Tasks\At33.job
  • %Windows%\Tasks\At34.job
  • %Windows%\Tasks\At35.job
  • %Windows%\Tasks\At36.job
  • %Windows%\Tasks\At37.job
  • %Windows%\Tasks\At38.job
  • %Windows%\Tasks\At39.job
  • %Windows%\Tasks\At40.job
  • %Windows%\Tasks\At41.job
  • %Windows%\Tasks\At42.job
  • %Windows%\Tasks\At43.job
  • %Windows%\Tasks\At44.job
  • %Windows%\Tasks\At45.job
  • %Windows%\Tasks\At46.job
  • %Windows%\Tasks\At47.job
  • %Windows%\Tasks\At48.job
  • %All Users Profile%\Application Data\5q2B8R.dat
  • %All Users Profile%\Application Data\{random file name}.exe.b
  • %All Users Profile%\Application Data\{random file name}.exe_.b

(註:%Windows%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、"C:\Windows" です。)

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %All Users Profile%\Application Data\{random file name}.exe

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
DisableScriptDebuggerIE = "yes"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
Error Dlg Displayed On Every Error = "no"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
NoProtectedModeBanner = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\InternetSettings
WarnOnZoneCrossing = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\InternetSettings\
Zones\3
2500 = "3"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Direct3d
LA = "400"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Schedule
AtTaskMaxHours = "72"

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

  • {BLOCKED}3.{BLOCKED}d.in
  • {BLOCKED}i.{BLOCKED}d.in
  • {BLOCKED}p.{BLOCKED}d.in
  • {BLOCKED}d.in