TROJ_PAKES.BHW
Windows 2000, Windows XP, Windows Server 2003
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %User Profile%\Application Data\B0B2D\6817C.exe
(註:%User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>"、Windows NTでは、"C:\WINNT\Profiles\<ユーザ名>"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\<ユーザ名>" です。)
マルウェアは、以下の無害なファイルを作成します。
- %User Profile%\Application Data\B0B2D\D6E3.0B2
(註:%User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>"、Windows NTでは、"C:\WINNT\Profiles\<ユーザ名>"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\<ユーザ名>" です。)
マルウェアは、以下のフォルダを作成します。
- %User Profile%\Application Data\B0B2D
- %Program Files%\2D6E3
- %Program Files%\LP
- %Program Files%\LP\7CCB
(註:%User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>"、Windows NTでは、"C:\WINNT\Profiles\<ユーザ名>"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\<ユーザ名>" です。. %Program Files%は、標準設定では "C:\Program Files" です。)
自動実行方法
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "explorer.exe,%User Profile%\Application Data\B0B2D\6817C.exe"
他のシステム変更
マルウェアは、以下のレジストリ値を変更します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
ProxyEnable = "1"
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Hardware Profiles\0001\Software\
Microsoft\windows\CurrentVersion\
Internet Settings
ProxyEnable = "1"
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Hardware Profiles\Current\Software\
Microsoft\windows\CurrentVersion\
Internet Settings
ProxyEnable = "1"
(註:変更前の上記レジストリ値は、「0」となります。)
HKEY_CURRENT_CONFIG\Software\Microsoft\
windows\CurrentVersion\Internet Settings
ProxyEnable = "1"
(註:変更前の上記レジストリ値は、「0」となります。)
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- http://{BLOCKED}oredlegion.com/305986.png
- http://{BLOCKED}oredlegion.com/16354.png
- http://{BLOCKED}oredlegion.com/716354_m61.png
- http://{BLOCKED}tek.net/thelab/wiley.jpg
- http://{BLOCKED}wledgesutra.com/img/temp/hi.cgi
- http://{BLOCKED}wledgesutra.com/img/temp/head.png
- http://{BLOCKED}tleon.com/13 .gif
- http://{BLOCKED}tleon.com/132.gif
- http://{BLOCKED}tleon.com/133.gif
- http://{BLOCKED}wsermmorpg.com/images/cpc.png
- http://{BLOCKED}wsermmorpg.com/images/cpc2.png
- http://{BLOCKED}wsermmorpg.com/img/intel.gif
- http://{BLOCKED}wsermmorpg.com/img/intel.jpg
- http://{BLOCKED}webpages.com/christian12.jpg
- http://{BLOCKED}webpages.com/christian13.jpg
- http://{BLOCKED}webpages.com/christian14.jpg
- http://{BLOCKED}-countymech.com/g/livechat.png
- http://{BLOCKED}-countymech.com/g/logo.png
- http://{BLOCKED}-countymech.com/g/133.jpg
- http://{BLOCKED}-countymech.com/g/134.jpg
- http://{BLOCKED}ctronicstheory.com/pics/valley.png
- http://{BLOCKED}ctronicstheory.com/pics/sun.png
- http://{BLOCKED}ssicbattletech.com/lhous3.gif
- http://{BLOCKED}ssicbattletech.com/lhous4.gif
- http://{BLOCKED}ssicbattletech.com/lhous5.gif
- http://{BLOCKED}ssicbattletech.com/lhous6.gif
- http://{BLOCKED}ineeringcrossing.com/images/misc/23525.png
- http://{BLOCKED}ineeringcrossing.com/images/misc/64646.png
- http://{BLOCKED}ldorderlive.com
- http://{BLOCKED}perstumprs.com
- http://{BLOCKED}nsaerosystems.com
- http://{BLOCKED}eridershools.com
- http://{BLOCKED}bigdrophills.com
- http://{BLOCKED}bonlineaccess.com
- http://{BLOCKED}inepdahelpforyou.com
- http://{BLOCKED}arkreddomas.com
- http://{BLOCKED}nsfersakkonline.com
- http://{BLOCKED}kupdomaintolevel.com
対応方法
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TROJ_PAKES.BHW」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください