TROJ_OFICLA.AH
2012年10月8日
プラットフォーム:
Windows 2000, XP, Server 2003
危険度:
ダメージ度:
感染力:
感染確認数:
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
マルウェアは、特定のアプリケーションのアイコンを用いて、検出および削除を避けます。
マルウェアは、実行後、自身を削除します。
詳細
ファイルサイズ 不定
タイプ EXE
メモリ常駐 なし
発見日 2010年9月22日
インストール
マルウェアは、以下のアプリケーションのファイルアイコンを使用します。
- Microsoft Excel
- Microsoft Word
他のシステム変更
マルウェアは、以下のレジストリキーを追加します。
HKEY_CLASSES_ROOT\idid
マルウェアは、インストールの過程で以下のレジストリキーまたはレジストリ値を変更します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe rundll32.exe {random file name} {random string}"
(註:変更前の上記レジストリ値は、「"Explorer.exe"」となります。)
作成活動
マルウェアは、以下のファイルを作成します。
- %System%\{random file name} - detected as TROJ_DLOADR.SMVE
(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)
その他
マルウェアは、実行後、自身を削除します。