• Email
• Facebook
• Twitter
• Google+
• Linkedin

TROJ_ROPEST.A

---

• マルウェアタイプ: トロイの木馬型
• 破壊活動の有無: なし
• 暗号化: はい
• 感染報告の有無: はい

---

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。 マルウェアは、他のマルウェアまたはグレイウェアのパッケージとともにコンポーネントとして、コンピュータに侵入します。

マルウェアは、Internet Explorer（IE）のゾーン設定を変更します。

マルウェア マルウェアは、自身（コンピュータに侵入して最初に自身のコピーを作成した マルウェア ）を削除します。

---

  詳細

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、他のマルウェアまたはグレイウェアのパッケージとともにコンポーネントとして、コンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• %Application Data%\Microsoft\Windows\{file name}.exe
  - where as the file name can be similar name in any exe file located in system directory

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

マルウェアは、以下のコンポーネントファイルを作成します。

• %AppDataLocal%\Temp\{file name 2}.exe
  - where as the file name 2 can be similar name in any exe file located in system directory
  - detected as TROJ_ROPEST.B

(註：%AppDataLocal%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local" です。)

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• shell.{GUID}

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{file name} = "%Application Data%\Microsoft\Windows\{file name}.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce
{file name} = "%Application Data%\Microsoft\Windows\{file name}.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
Run = "%Application Data%\Microsoft\Windows\{file name}.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Command Processor
AutoRun = "%Application Data%\Microsoft\Windows\{file name}.exe"

HKEY_CURRENT_USER\Control Panel\Desktop
SCRNSAVE.EXE = "%Application Data%\Microsoft\Windows\{file name}.exe"

マルウェアは、＜User Startup＞フォルダ内に、自身のコピーに誘導する以下のショートカットを作成します。これにより、Windows起動時に自身のコピーが自動実行されます。

• %User Startup%\{file name}.lnk

(註：%User Startup%フォルダは、Windows 98 および ME の場合、通常、"C:\Windows\Profiles\＜ユーザ名＞\Start Menu\Programs\Startup"、Windows NT の場合、"C:\WINNT\Profiles\＜ユーザ名＞\Start Menu\Programs\Startup" および "C:\Documents and Settings\＜ユーザ名＞\Start Menu\Programs\Startup" です。)

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
VisualEffects\TooltipShadow

マルウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Main
NoProtectedModeBanner = 1

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main\FeatureControl\
FEATURE_BROWSER_EMULATION
"{filename}.exe" = 8000

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main\FeatureControl\
FEATURE_GPU_RENDERING
"{filename}.exe" = 1

マルウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
VisualEffects\TooltipShadow
{random} = "{encrypted data}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
VisualEffects\TooltipShadow
DefaultApplied = 108

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
VisualEffects\TooltipShadow
DefaultValue = 1

バックドア活動

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

• {BLOCKED}.{BLOCKED}.220.23:8080
• {BLOCKED}.{BLOCKED}.141.72.8080

Webブラウザのホームページおよび検索ページの変更

マルウェアは、IEのゾーン設定を変更します。

情報収集

マルウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

• http://{url}:8080/pgt/?ver={BUILD_VERSION}&id={GROUP_ID}&r={DATE_OF_INFECTION}&os={OS}|{INT_1}|{IE_VERSION}&res={INT_2}|{RAM}|{INT_3}
  ver = Build version
  id = Group ID
  r = Current infection date/time
  os = Windows version | {integer} | IE version | Service pack version
  res = {integer} | RAM | {integer}

その他

マルウェアは、以下のWebサイトにアクセスしてインターネット接続を確認します。

• www.livejournal.com

マルウェア は、自身（コンピュータに侵入して最初に自身のコピーを作成した マルウェア ）を削除します。

---

  対応方法

ご利用はいかがでしたか？　アンケートにご協力ください