TROJ_RAMDO.SM0

2014年5月8日

解析者: Odessy Silva

別名:

Win32/Ramdo(Microsoft), Trojan.Ramdo(Symantec), Troj/Ramdo-S(Sophos)

プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ: トロイの木馬型
破壊活動の有無: なし
暗号化:
感染報告の有無: はい

概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアマルウェアは、自身（コンピュータに侵入して最初に自身のコピーを作成したマルウェア）を削除します。

詳細

ファイルサイズ 331,776 bytes

タイプ EXE

発見日 2014年3月31日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、異なるファイル名を用いて以下のフォルダ内に自身のコピーを作成します。

%User Startup%\EPUHelp.exe

(註：%User Startup%フォルダは、Windows 98 および ME の場合、通常、"C:\Windows\Profiles\＜ユーザ名＞\Start Menu\Programs\Startup"、Windows NT の場合、"C:\WINNT\Profiles\＜ユーザ名＞\Start Menu\Programs\Startup" および "C:\Documents and Settings\＜ユーザ名＞\Start Menu\Programs\Startup" です。)

マルウェアは、以下のコンポーネントファイルを作成します。

%AppData%\Adobe\acupx217.dll

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Adobe\
Acrobat Reader\10.0

マルウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Adobe\
Acrobat Reader\10.0\IPM
iTestPropulsion = "{random value}"

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

http://{Pseudo-Random Domain}.org

マルウェアは、自身（コンピュータに侵入して最初に自身のコピーを作成したマルウェア）を削除します。