Trend Micro Security

TROJ_QHOST.DUKLB

2014年5月8日
 解析者: Al Victor de Leon   
 別名:

TrojanProxy:Win32/Potukorp.A (Microsoft), Trojan horse Proxy.E (AVG), W32/Qhost_Banker.OW!tr (Fortinet)

 プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、ユーザのInternet Explorer(IE)のスタートページを特定のWebサイトに変更します。これにより、特定のマルウェアを含むWebサイトが表示され、感染コンピュータは、さらなる脅威にさらされる恐れがあります。

  詳細

ファイルサイズ 22,901 bytes
タイプ EXE
メモリ常駐 はい
発見日 2014年5月8日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %Program Files%\Common Files\{malware file name}.exe

(註:%Program Files%フォルダは、Windows 2000、Server 2003、XP (32ビット)、通常 Vista (32ビット) および 7 (32ビット) の場合、通常 "C:\Program Files"、Windows XP (64ビット)、Vista (64ビット) および 7 (64ビット) の場合、通常 "C:\Program Files (x86)" です。)

マルウェアは、以下のファイルを作成します。

  • %System Root%\koreautoup.bmp
  • %System%\drivers\etc\hosts.ics

(註:%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。. %System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
koreaautoup = %Program Files%\Common Files\{malware file name}.exe

Webブラウザのホームページおよび検索ページの変更

マルウェアは、ユーザのIEのスタートページを以下のWebサイトに変更します。

  • http://www.naver.com

HOSTSファイルの改変

マルウェアは、WindowsのHOSTSファイルに以下の文字列を追加します。

  • {BLOCKED}.{BLOCKED}.173.89 kBstar.coM
  • {BLOCKED}.{BLOCKED}.173.89 www.kBstar.coM
  • {BLOCKED}.{BLOCKED}.173.89 OpeN.kBstar.coM
  • {BLOCKED}.{BLOCKED}.173.89 omoNey.kBstar.coM
  • {BLOCKED}.{BLOCKED}.173.89 oBaNk.kBstar.coM
  • {BLOCKED}.{BLOCKED}.173.89 oBaNk1.kBstar.coM
  • {BLOCKED}.{BLOCKED}.173.89 Naver.coM
  • {BLOCKED}.{BLOCKED}.173.89 www.Naver.co.KR
  • {BLOCKED}.{BLOCKED}.173.89 Naver.cO.kR
  • {BLOCKED}.{BLOCKED}.173.89 wwW.gMarKet.cO.Kr
  • {BLOCKED}.{BLOCKED}.173.89 NoNghyup.coM
  • {BLOCKED}.{BLOCKED}.173.89 www.NoNghyup.coM
  • {BLOCKED}.{BLOCKED}.173.89 BaNkiNg.NoNghyup.coM
  • {BLOCKED}.{BLOCKED}.173.89 iBz.NoNghyup.coM
  • {BLOCKED}.{BLOCKED}.173.89 www.Naver.coM
  • {BLOCKED}.{BLOCKED}.173.89 GmArkEt.Co.kR
  • {BLOCKED}.{BLOCKED}.173.89 shiNhaN.coM
  • {BLOCKED}.{BLOCKED}.173.89 Naver.kR
  • {BLOCKED}.{BLOCKED}.173.89 www.Naver.Kr
  • {BLOCKED}.{BLOCKED}.173.89 WwW.gMArkeT.coM
  • {BLOCKED}.{BLOCKED}.173.89 gMaRKet.CoM
  • {BLOCKED}.{BLOCKED}.173.89 kIsA.kBstor.coM
  • {BLOCKED}.{BLOCKED}.173.89 kIsA.Nenghuyp.coM
  • {BLOCKED}.{BLOCKED}.173.89 kIsA.shiNhoN.coM
  • {BLOCKED}.{BLOCKED}.173.89 kIsA.wooribenk.coM
  • {BLOCKED}.{BLOCKED}.173.89 kIsA.idk.co.kR
  • {BLOCKED}.{BLOCKED}.173.89 kIsA.epostbenk.go.kR
  • {BLOCKED}.{BLOCKED}.173.89 kIsA.hoNabenk.coM
  • {BLOCKED}.{BLOCKED}.173.89 kIsA.kcB.co.kR
  • {BLOCKED}.{BLOCKED}.173.89 kIsA.kfoc.co.kR
  • {BLOCKED}.{BLOCKED}.173.89 www.NaTe.nEt
  • {BLOCKED}.{BLOCKED}.173.89 wWw.GmaRket.nEt
  • {BLOCKED}.{BLOCKED}.173.89 www.NaTe.Kr
  • {BLOCKED}.{BLOCKED}.173.89 NaTe.kR
  • {BLOCKED}.{BLOCKED}.173.89 gMARkeT.Net
  • {BLOCKED}.{BLOCKED}.173.89 pharmiNg.kIsA.or.kR
  • {BLOCKED}.{BLOCKED}.173.89 www.shiNhaN.coM
  • {BLOCKED}.{BLOCKED}.173.89 BaNkiNg.shiNhaN.coM
  • {BLOCKED}.{BLOCKED}.173.89 BizBaNk.shiNhaN.coM
  • {BLOCKED}.{BLOCKED}.173.89 OpeN.shiNhaN.coM
  • {BLOCKED}.{BLOCKED}.173.89 daUm.NeT
  • {BLOCKED}.{BLOCKED}.173.89 iBk.co.kR
  • {BLOCKED}.{BLOCKED}.173.89 www.NaTe.cO.kr
  • {BLOCKED}.{BLOCKED}.173.89 NaTe.Co.Kr
  • {BLOCKED}.{BLOCKED}.173.89 www.iBk.co.kR
  • {BLOCKED}.{BLOCKED}.173.89 myBaNk.iBk.co.kR
  • {BLOCKED}.{BLOCKED}.173.89 kiup.iBk.co.kR
  • {BLOCKED}.{BLOCKED}.173.89 OpeN.iBk.co.kR
  • {BLOCKED}.{BLOCKED}.173.89 www.daum.NeT
  • {BLOCKED}.{BLOCKED}.173.89 wooriBaNk.coM
  • {BLOCKED}.{BLOCKED}.173.89 www.wooriBaNk.coM
  • {BLOCKED}.{BLOCKED}.173.89 piB.wooriBaNk.coM
  • {BLOCKED}.{BLOCKED}.173.89 u.wooriBaNk.coM
  • {BLOCKED}.{BLOCKED}.173.89 haNmail.NeT
  • {BLOCKED}.{BLOCKED}.173.89 keB.co.kR
  • {BLOCKED}.{BLOCKED}.173.89 www.keB.co.kR
  • {BLOCKED}.{BLOCKED}.173.89 eBaNk.keB.co.kR
  • {BLOCKED}.{BLOCKED}.173.89 oNliNe.keB.co.kR
  • {BLOCKED}.{BLOCKED}.173.89 OpeN.keB.co.kR
  • {BLOCKED}.{BLOCKED}.173.89 www.haNmail.Net
  • {BLOCKED}.{BLOCKED}.173.89 haNaBaNk.coM
  • {BLOCKED}.{BLOCKED}.173.89 www.haNaBaNk.coM
  • {BLOCKED}.{BLOCKED}.173.89 OpeN.haNaBaNk.coM
  • {BLOCKED}.{BLOCKED}.173.89 www.haNacBs.coM
  • {BLOCKED}.{BLOCKED}.173.89 kfCc.co.kR
  • {BLOCKED}.{BLOCKED}.173.89 www.kfcc.co.kR
  • {BLOCKED}.{BLOCKED}.173.89 iBs.kfcc.co.kR
  • {BLOCKED}.{BLOCKED}.173.89 epostBaNk.go.kR
  • {BLOCKED}.{BLOCKED}.173.89 www.epostBaNk.go.kR
  • {BLOCKED}.{BLOCKED}.173.89 nAtE.coM

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

  • {BLOCKED}r.{BLOCKED}e.qq.com
  • {BLOCKED}ard.co.kr
  • {BLOCKED}2.{BLOCKED}s.com