TROJ_QHOST.DUKLB
TrojanProxy:Win32/Potukorp.A (Microsoft), Trojan horse Proxy.E (AVG), W32/Qhost_Banker.OW!tr (Fortinet)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、ユーザのInternet Explorer(IE)のスタートページを特定のWebサイトに変更します。これにより、特定のマルウェアを含むWebサイトが表示され、感染コンピュータは、さらなる脅威にさらされる恐れがあります。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %Program Files%\Common Files\{malware file name}.exe
(註:%Program Files%フォルダは、Windows 2000、Server 2003、XP (32ビット)、通常 Vista (32ビット) および 7 (32ビット) の場合、通常 "C:\Program Files"、Windows XP (64ビット)、Vista (64ビット) および 7 (64ビット) の場合、通常 "C:\Program Files (x86)" です。)
マルウェアは、以下のファイルを作成します。
- %System Root%\koreautoup.bmp
- %System%\drivers\etc\hosts.ics
(註:%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。. %System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)
自動実行方法
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
koreaautoup = %Program Files%\Common Files\{malware file name}.exe
Webブラウザのホームページおよび検索ページの変更
マルウェアは、ユーザのIEのスタートページを以下のWebサイトに変更します。
- http://www.naver.com
HOSTSファイルの改変
マルウェアは、WindowsのHOSTSファイルに以下の文字列を追加します。
- {BLOCKED}.{BLOCKED}.173.89 kBstar.coM
- {BLOCKED}.{BLOCKED}.173.89 www.kBstar.coM
- {BLOCKED}.{BLOCKED}.173.89 OpeN.kBstar.coM
- {BLOCKED}.{BLOCKED}.173.89 omoNey.kBstar.coM
- {BLOCKED}.{BLOCKED}.173.89 oBaNk.kBstar.coM
- {BLOCKED}.{BLOCKED}.173.89 oBaNk1.kBstar.coM
- {BLOCKED}.{BLOCKED}.173.89 Naver.coM
- {BLOCKED}.{BLOCKED}.173.89 www.Naver.co.KR
- {BLOCKED}.{BLOCKED}.173.89 Naver.cO.kR
- {BLOCKED}.{BLOCKED}.173.89 wwW.gMarKet.cO.Kr
- {BLOCKED}.{BLOCKED}.173.89 NoNghyup.coM
- {BLOCKED}.{BLOCKED}.173.89 www.NoNghyup.coM
- {BLOCKED}.{BLOCKED}.173.89 BaNkiNg.NoNghyup.coM
- {BLOCKED}.{BLOCKED}.173.89 iBz.NoNghyup.coM
- {BLOCKED}.{BLOCKED}.173.89 www.Naver.coM
- {BLOCKED}.{BLOCKED}.173.89 GmArkEt.Co.kR
- {BLOCKED}.{BLOCKED}.173.89 shiNhaN.coM
- {BLOCKED}.{BLOCKED}.173.89 Naver.kR
- {BLOCKED}.{BLOCKED}.173.89 www.Naver.Kr
- {BLOCKED}.{BLOCKED}.173.89 WwW.gMArkeT.coM
- {BLOCKED}.{BLOCKED}.173.89 gMaRKet.CoM
- {BLOCKED}.{BLOCKED}.173.89 kIsA.kBstor.coM
- {BLOCKED}.{BLOCKED}.173.89 kIsA.Nenghuyp.coM
- {BLOCKED}.{BLOCKED}.173.89 kIsA.shiNhoN.coM
- {BLOCKED}.{BLOCKED}.173.89 kIsA.wooribenk.coM
- {BLOCKED}.{BLOCKED}.173.89 kIsA.idk.co.kR
- {BLOCKED}.{BLOCKED}.173.89 kIsA.epostbenk.go.kR
- {BLOCKED}.{BLOCKED}.173.89 kIsA.hoNabenk.coM
- {BLOCKED}.{BLOCKED}.173.89 kIsA.kcB.co.kR
- {BLOCKED}.{BLOCKED}.173.89 kIsA.kfoc.co.kR
- {BLOCKED}.{BLOCKED}.173.89 www.NaTe.nEt
- {BLOCKED}.{BLOCKED}.173.89 wWw.GmaRket.nEt
- {BLOCKED}.{BLOCKED}.173.89 www.NaTe.Kr
- {BLOCKED}.{BLOCKED}.173.89 NaTe.kR
- {BLOCKED}.{BLOCKED}.173.89 gMARkeT.Net
- {BLOCKED}.{BLOCKED}.173.89 pharmiNg.kIsA.or.kR
- {BLOCKED}.{BLOCKED}.173.89 www.shiNhaN.coM
- {BLOCKED}.{BLOCKED}.173.89 BaNkiNg.shiNhaN.coM
- {BLOCKED}.{BLOCKED}.173.89 BizBaNk.shiNhaN.coM
- {BLOCKED}.{BLOCKED}.173.89 OpeN.shiNhaN.coM
- {BLOCKED}.{BLOCKED}.173.89 daUm.NeT
- {BLOCKED}.{BLOCKED}.173.89 iBk.co.kR
- {BLOCKED}.{BLOCKED}.173.89 www.NaTe.cO.kr
- {BLOCKED}.{BLOCKED}.173.89 NaTe.Co.Kr
- {BLOCKED}.{BLOCKED}.173.89 www.iBk.co.kR
- {BLOCKED}.{BLOCKED}.173.89 myBaNk.iBk.co.kR
- {BLOCKED}.{BLOCKED}.173.89 kiup.iBk.co.kR
- {BLOCKED}.{BLOCKED}.173.89 OpeN.iBk.co.kR
- {BLOCKED}.{BLOCKED}.173.89 www.daum.NeT
- {BLOCKED}.{BLOCKED}.173.89 wooriBaNk.coM
- {BLOCKED}.{BLOCKED}.173.89 www.wooriBaNk.coM
- {BLOCKED}.{BLOCKED}.173.89 piB.wooriBaNk.coM
- {BLOCKED}.{BLOCKED}.173.89 u.wooriBaNk.coM
- {BLOCKED}.{BLOCKED}.173.89 haNmail.NeT
- {BLOCKED}.{BLOCKED}.173.89 keB.co.kR
- {BLOCKED}.{BLOCKED}.173.89 www.keB.co.kR
- {BLOCKED}.{BLOCKED}.173.89 eBaNk.keB.co.kR
- {BLOCKED}.{BLOCKED}.173.89 oNliNe.keB.co.kR
- {BLOCKED}.{BLOCKED}.173.89 OpeN.keB.co.kR
- {BLOCKED}.{BLOCKED}.173.89 www.haNmail.Net
- {BLOCKED}.{BLOCKED}.173.89 haNaBaNk.coM
- {BLOCKED}.{BLOCKED}.173.89 www.haNaBaNk.coM
- {BLOCKED}.{BLOCKED}.173.89 OpeN.haNaBaNk.coM
- {BLOCKED}.{BLOCKED}.173.89 www.haNacBs.coM
- {BLOCKED}.{BLOCKED}.173.89 kfCc.co.kR
- {BLOCKED}.{BLOCKED}.173.89 www.kfcc.co.kR
- {BLOCKED}.{BLOCKED}.173.89 iBs.kfcc.co.kR
- {BLOCKED}.{BLOCKED}.173.89 epostBaNk.go.kR
- {BLOCKED}.{BLOCKED}.173.89 www.epostBaNk.go.kR
- {BLOCKED}.{BLOCKED}.173.89 nAtE.coM
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- {BLOCKED}r.{BLOCKED}e.qq.com
- {BLOCKED}ard.co.kr
- {BLOCKED}2.{BLOCKED}s.com