• Email
• Facebook
• Twitter
• Google+
• Linkedin

TROJ_SMALL.NCL

---

• マルウェアタイプ: トロイの木馬型
• 破壊活動の有無: なし
• 暗号化:  
• 感染報告の有無: はい

---

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

---

  詳細

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のフォルダを作成します。

• %Program Files%\MSDN

(註：%Program Files%フォルダは、Windows 2000、Server 2003、XP (32ビット)、通常 Vista (32ビット) および 7 (32ビット) の場合、通常 "C:\Program Files"、Windows XP (64ビット)、Vista (64ビット) および 7 (64ビット) の場合、通常 "C:\Program Files (x86)" です。)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
SoundMan = "TXplatform.exe"

他のシステム変更

マルウェアは、以下のファイルを削除します。

• %System%\TXplatx.exe
• %Program Files%\MSDN\.
• %Program Files%\MSDN\..
• %User Temp%\.
• %User Temp%\..
• %User Temp%\58e0ef.mst
• %User Temp%\AdobeARM.log
• %User Temp%\AdobeSFX.log
• %User Temp%\ASPNETSetup_00000.log
• %User Temp%\ASPNETSetup_00001.log
• %User Temp%\ASPNETSetup_00002.log
• %User Temp%\CLEARNLOADIMAGE.sys
• %User Temp%\dd_depcheck_NETFX_EXP_35.txt
• %User Temp%\dd_dotnetfx35error.txt
• %User Temp%\dd_dotnetfx35install.txt
• %User Temp%\dd_dotNetFx40_Full_x86_x64_decompression_log.txt
• %User Temp%\dd_MSXML6_MSI0686.txt
• %User Temp%\dd_netfx20MSI7F16.txt
• %User Temp%\dd_netfx20UI7F16.txt
• %User Temp%\dd_NET_Framework20_Setup06A7.txt
• %User Temp%\dd_NET_Framework30_Setup0775.txt
• %User Temp%\dd_NET_Framework35_MSI07B9.txt
• %User Temp%\dd_RGB9RAST_x86.msi0683.txt
• %User Temp%\dd_vcredistMSI3CAA.txt
• %User Temp%\dd_vcredistMSI7C21.txt
• %User Temp%\dd_vcredistUI3CAA.txt
• %User Temp%\dd_vcredistUI7C21.txt
• %User Temp%\dd_wcf_CA_smci_20111017_044900_062.txt
• %User Temp%\dd_wcf_retCA29BA.txt
• %User Temp%\dd_WIC.txt
• %User Temp%\dd_XPS.txt
• %User Temp%\Microsoft .NET Framework 4 Setup_20111016_234618578-MSI_netfx_Core_x86.msi.txt
• %User Temp%\Microsoft .NET Framework 4 Setup_20111016_234618578-MSI_netfx_Extended_x86.msi.txt
• %User Temp%\Microsoft .NET Framework 4 Setup_20111016_234618578.html
• %User Temp%\Microsoft .NET Framework 4 Setup_4.0.30319
• %User Temp%\Microsoft Visual C++ 2010 x86 Redistributable Setup_10.0.30319
• %User Temp%\Microsoft Visual C++ 2010 x86 Redistributable Setup_20111020_000954642-MSI_vc_red.msi.txt
• %User Temp%\Microsoft Visual C++ 2010 x86 Redistributable Setup_20111020_000954642.html
• %User Temp%\SSS.sys
• %User Temp%\uxeventlog.txt
• %User Temp%\vminst.log_20111016_212239_Failed.log
• %User Temp%\vminst.log_20130313_012028.log
• %User Temp%\vminst.log_20130313_012352_Failed.log
• %User Temp%\vminst.log_20130619_184741.log
• %User Temp%\vmmsi.log_20111016_212246_Failed.log
• %User Temp%\vmmsi.log_20130313_012028.log
• %User Temp%\vmmsi.log_20130313_012352_Failed.log
• %User Temp%\vmmsi.log_20130619_184741.log
• %User Temp%\WSFF8.tmp
• %User Temp%\WSFF9.tmp
• %User Temp%\XXX.exe
• %User Temp%\~DFFA5C.tmp
• %Temporary Internet Files%\.
• %Temporary Internet Files%\..
• %Temporary Internet Files%\Content.IE5
• %Temporary Internet Files%\desktop.ini

(註：%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。. %Program Files%フォルダは、Windows 2000、Server 2003、XP (32ビット)、通常 Vista (32ビット) および 7 (32ビット) の場合、通常 "C:\Program Files"、Windows XP (64ビット)、Vista (64ビット) および 7 (64ビット) の場合、通常 "C:\Program Files (x86)" です。. %User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。. %Temporary Internet Files%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞\Local Settings\Temporary Internet Files"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Microsoft\Windows\Temporary Internet Files" です。)

マルウェアは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
taskmgr.exe

HKEY_LOCAL_MACHINE\SOFTWARE\93953

HKEY_LOCAL_MACHINE\System\Setup\
AllowStart\93953

マルウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\help
time = "6/29/2013 12:48:20 AM"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
SpecialAccounts\UserList
new1 = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
taskmgr.exe
Debugger = "svchost.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\93953
Type = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\93953
ErrorControl = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\93953
Start = "3"

HKEY_LOCAL_MACHINE\SOFTWARE\93953
DisplayName = "93953"

HKEY_LOCAL_MACHINE\SOFTWARE\93953
ImagePath = "\??\%User Temp%\SSS.sys"

HKEY_LOCAL_MACHINE\SOFTWARE\93953
Group = "Base"

マルウェアは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\helpsvc
ImagePath = "%System%\inertno.exe"

(註：変更前の上記レジストリ値は、「{random values}」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
SHOWALL
CheckedValue = "6"

(註：変更前の上記レジストリ値は、「1」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\TimeZoneInformation
ActiveTimeBias = "{random values}"

(註：変更前の上記レジストリ値は、「1e0」となります。)

作成活動

マルウェアは、以下のファイルを作成します。

• %System%\aqlcqma.exe
• %User Temp%\SSS.sys
• %User Temp%\CLEARNLOADIMAGE.sys
• %User Temp%\XXX.exe
• %Program Files%\MSDN\LHL13.sys
• %System Root%\sysLoad
• %Program Files%\MSDN\000000001
• %System Root%\sys13
• %Program Files%\MSDN\hehex.sys
• %User Temp%\pbhmcv
• %User Temp%\fztwgg
• %User Temp%\vuwfp
• %User Temp%\dsogvmw
• %User Temp%\trcinvz
• %User Temp%\qkaygn
• %User Temp%\yflnwiu
• %User Temp%\wmabmkm
• %User Temp%\aeulvg
• %User Temp%\eqrti
• %User Temp%\uepwh
• %User Temp%\vxdumfj
• %User Temp%\brtvp
• %User Temp%\eiaagb
• %User Temp%\weyjzqf
• %User Temp%\wtknnt
• %User Temp%\kqrkld
• %User Temp%\fzpnoif
• %User Temp%\srzyztu
• %User Temp%\dihty
• %User Temp%\afsef
• %User Temp%\vqmkto
• %User Temp%\usfdsq
• %User Temp%\mbqgx
• %User Temp%\rxdhaza
• %User Temp%\upzdqi
• %User Temp%\ryojfp
• %User Temp%\ygixwhp
• %User Temp%\lnnyiys
• %User Temp%\bvhexn
• %User Temp%\fuixob
• %User Temp%\jtnkvv
• %User Temp%\zllbp
• %User Temp%\awmvewo
• %User Temp%\nbblqdm
• %User Temp%\rcbkt
• %User Temp%\yblmfl
• %User Temp%\idfup
• %User Temp%\dmmsu
• %User Temp%\bgoiz
• %User Temp%\viteyzq
• %User Temp%\weqnmjm
• %User Temp%\odfxyco
• %User Temp%\pxmsy
• %User Temp%\odgejyw
• %User Temp%\sslwj
• %User Temp%\taecve
• %User Temp%\luryd
• %User Temp%\joosjw
• %User Temp%\snmee
• %User Temp%\tyeewmt
• %User Temp%\zgxoznn
• %User Temp%\rrumoad
• %User Temp%\bqskc
• %User Temp%\odjhre
• %User Temp%\aybogbf
• %User Temp%\iilsv
• %User Temp%\mhvwzu
• %User Temp%\pmddl
• %User Temp%\jiiwjl
• %User Temp%\wkarbh
• %User Temp%\azgbr
• %User Temp%\lnvoqr
• %User Temp%\muimkin
• %User Temp%\jdrsxq
• %User Temp%\neudcv
• %User Temp%\jwfxjdk
• %User Temp%\zonnu
• %User Temp%\kfazl
• %User Temp%\selyerk
• %User Temp%\tsudj
• %User Temp%\bdroqrf
• %User Temp%\vxzbtb
• %User Temp%\bdtbqps
• %User Temp%\pezirb
• %User Temp%\upbxmha
• %User Temp%\yzlbes
• %User Temp%\bwtrxu
• %User Temp%\ujvrfbr
• %User Temp%\kncsjz
• %User Temp%\pjdijn
• %User Temp%\sutas
• %User Temp%\eljadca
• %User Temp%\vkjmdbi
• %User Temp%\zbgqgk
• %User Temp%\nqdgdqq
• %User Temp%\famzy
• %User Temp%\nizlvx
• %User Temp%\csnhe
• %User Temp%\cwvlndp
• %User Temp%\pmrsh
• %User Temp%\mrppyrp
• %User Temp%\bvujfm
• %User Temp%\qguejma
• %User Temp%\gftbp
• %User Temp%\bxgif
• %User Temp%\rcdnp
• %User Temp%\khqui
• %User Temp%\iopzdq
• %User Temp%\mazuaeg
• %User Temp%\gxmuq
• %User Temp%\ztdknnl
• %User Temp%\lfevvnn
• %User Temp%\rgpvikc
• %User Temp%\fgxiw
• %User Temp%\xhozq
• %User Temp%\rgqfamq
• %User Temp%\bvtzw
• %User Temp%\cmhhwwb
• %User Temp%\zvwwe
• %User Temp%\koqozli
• %User Temp%\xkasydw
• %User Temp%\wjvnbk
• %User Temp%\sovtnof
• %User Temp%\bdkcc
• %User Temp%\cxhvdp
• %User Temp%\zhzwk
• %User Temp%\uzztn
• %User Temp%\kgirklq
• %User Temp%\zxdrigo
• %User Temp%\iiwzot
• %User Temp%\fidkz
• %User Temp%\sghkis
• %User Temp%\loqnjc
• %User Temp%\xzocn
• %User Temp%\jxvaa
• %User Temp%\rsareu
• %User Temp%\csbixjn
• %User Temp%\cvqxhsq
• %User Temp%\rsndsj
• %User Temp%\lzuxfy
• %User Temp%\ltawe
• %User Temp%\nodyrk
• %User Temp%\dejdev
• %User Temp%\iptcy
• %User Temp%\imhvsyo
• %User Temp%\hymov
• %User Temp%\wtfsabo
• %User Temp%\okvmk
• %User Temp%\cngeqxf
• %User Temp%\ppztw
• %User Temp%\rmindq
• %User Temp%\ubqqva
• %User Temp%\oldnlj
• %User Temp%\ssetcn
• %User Temp%\frqoc
• %User Temp%\xvsrspt
• %User Temp%\kipts
• %User Temp%\zjtcui
• %User Temp%\icvdr
• %User Temp%\mozxkrh
• %User Temp%\xpixv
• %User Temp%\egkmk
• %User Temp%\wsbsy
• %User Temp%\uswtzjp
• %User Temp%\reizjpo
• %User Temp%\aowuzlg
• %User Temp%\izokgqz
• %User Temp%\rsiimx
• %User Temp%\kodkteb
• %User Temp%\xhaoo
• %User Temp%\jqravz
• %User Temp%\enbpipz
• %User Temp%\pvnrkw
• %User Temp%\ctkqrv
• %User Temp%\yrgfb
• %User Temp%\zwoyytw
• %User Temp%\olwuqw
• %User Temp%\ljjtoco
• %User Temp%\drgvqpk
• %User Temp%\bwxckf
• %User Temp%\lqjnd
• %User Temp%\lbpiz
• %User Temp%\qoxqwkb
• %User Temp%\ixstnn
• %User Temp%\gfsrndk
• %User Temp%\wrhqfc
• %User Temp%\rmjky
• %User Temp%\yqkekb
• %User Temp%\mnjiag
• %User Temp%\yncyd
• %User Temp%\atrsmw
• %User Temp%\qezjqbf
• %User Temp%\tajfoye
• %User Temp%\dlbpu
• %User Temp%\qelrudz
• %User Temp%\ahsyhw
• %User Temp%\wgqhgo
• %User Temp%\komgw
• %User Temp%\bebbqpx
• %User Temp%\eglkj
• %User Temp%\pgucfl
• %User Temp%\qwckuaw
• %User Temp%\lsscp
• %User Temp%\cvajni
• %User Temp%\wxmcx
• %User Temp%\skbdj
• %User Temp%\tdsqv
• %User Temp%\ytfqg
• %User Temp%\jscnk
• %User Temp%\iqvnm
• %User Temp%\dzxfnw
• %User Temp%\fpcgr
• %User Temp%\rffqg
• %User Temp%\imylc
• %User Temp%\hdeylrf
• %User Temp%\qhcvraw
• %User Temp%\dxqjrv
• %User Temp%\tvnzjz
• %User Temp%\qglyrj
• %User Temp%\cwxpw
• %User Temp%\vaydvso
• %User Temp%\hgdiz
• %User Temp%\abbzrww
• %User Temp%\hwqvn
• %User Temp%\jysih
• %User Temp%\uzwgo
• %User Temp%\cxpkmqi
• %User Temp%\eoadxe
• %User Temp%\eqdep
• %User Temp%\tyqzj
• %User Temp%\ckgzt
• %User Temp%\bowjnbf
• %User Temp%\flhfop
• %User Temp%\ghomdv
• %User Temp%\kiefuu
• %User Temp%\jdcrlpf
• %User Temp%\yjxpfyl
• %User Temp%\dshgd
• %User Temp%\lhokf
• %User Temp%\xqsgot
• %User Temp%\rlnxkf
• %User Temp%\sssylh
• %User Temp%\wbjeriq
• %User Temp%\zuwijrd
• %User Temp%\kiaaw
• %User Temp%\xbugnl
• %User Temp%\fsbztv
• %User Temp%\pyxhgl
• %User Temp%\zxfsf
• %User Temp%\weprhv
• %User Temp%\yyrdxpx
• %User Temp%\qphnpom
• %User Temp%\fomtx
• %User Temp%\kmqhxfi
• %User Temp%\dckjg
• %User Temp%\qzfdyl
• %User Temp%\ojevscy
• %User Temp%\rmvlked
• %User Temp%\ubahs
• %User Temp%\pirlekm
• %User Temp%\yhbevh
• %User Temp%\kbmhinp
• %User Temp%\xezsmdp
• %User Temp%\kjqub
• %User Temp%\bdzuic
• %User Temp%\ehrbt
• %User Temp%\rbpkumk
• %User Temp%\wnukb
• %User Temp%\xvpzy
• %User Temp%\txgehlz
• %User Temp%\wwvbh
• %User Temp%\htvdpx
• %User Temp%\ujelt
• %User Temp%\rwfez
• %User Temp%\hxnrwge
• %User Temp%\zdchqcp
• %User Temp%\mphytp
• %User Temp%\wrooh
• %User Temp%\nszwur
• %User Temp%\ppdtsd
• %User Temp%\rndrxkn
• %User Temp%\enrbrqn
• %User Temp%\dsietpw
• %User Temp%\lwmsz
• %User Temp%\ggjby
• %User Temp%\vwpjm
• %User Temp%\xhsyq
• %User Temp%\kwpgiz
• %User Temp%\kiocoz
• %User Temp%\mpfmis
• %User Temp%\kcnneu
• %User Temp%\achbs
• %User Temp%\gddpw
• %User Temp%\cwhnbx
• %User Temp%\fygvjn
• %User Temp%\zgesb
• %User Temp%\ufsawc
• %User Temp%\vqlig
• %User Temp%\ugtfa
• %User Temp%\iuvjozj
• %User Temp%\gkvhuhe
• %User Temp%\djsrib
• %User Temp%\ibidugw
• %User Temp%\kaoeqrb
• %User Temp%\pbuqw
• %User Temp%\ylthc
• %User Temp%\hijary
• %User Temp%\bbakthb
• %User Temp%\ciqejvj
• %User Temp%\rwofklr
• %User Temp%\fnibgf
• %User Temp%\uaconk
• %User Temp%\kxnvn
• %User Temp%\nlsat
• %User Temp%\ozvxp
• %User Temp%\ynevv
• %User Temp%\eagdea
• %User Temp%\hotfkdw
• %User Temp%\ooucz
• %User Temp%\zlnahz
• %User Temp%\nnexy
• %User Temp%\nxavu
• %User Temp%\ocjxbl
• %User Temp%\nmxko
• %User Temp%\gdnnjhe
• %User Temp%\cmthsm
• %User Temp%\epqagys
• %User Temp%\ppglya
• %User Temp%\fxtphrj
• %User Temp%\jweef
• %User Temp%\cchsjn
• %User Temp%\racll
• %User Temp%\yoisppn
• %User Temp%\xxkzoe
• %User Temp%\mntmtm
• %User Temp%\lqaxox
• %User Temp%\yfzexe
• %User Temp%\bmtqg
• %User Temp%\rpweofu
• %User Temp%\mjjyj
• %User Temp%\sqwuel
• %User Temp%\zjgmwd
• %User Temp%\moydayl
• %User Temp%\nvbvmu
• %User Temp%\ouzggdd
• %User Temp%\umhpo
• %User Temp%\mppgq
• %User Temp%\sbomiug
• %User Temp%\hynaj
• %User Temp%\mozevr
• %User Temp%\fwflrz
• %User Temp%\pwrvjs
• %User Temp%\woogx
• %User Temp%\lggmgr
• %User Temp%\jtbuyxj
• %User Temp%\zncmsh
• %User Temp%\cmsszsk
• %User Temp%\dyovh
• %User Temp%\zokqv
• %User Temp%\cttlqh
• %User Temp%\xxaqw
• %User Temp%\vmzljua
• %User Temp%\xwsowlr
• %User Temp%\qeeqs
• %User Temp%\bzsyewy
• %User Temp%\wucwjr
• %User Temp%\whwzrg
• %User Temp%\ykcsgup
• %User Temp%\vgmjace
• %User Temp%\sqrturi
• %User Temp%\durit
• %User Temp%\mrrrja
• %User Temp%\culmft
• %User Temp%\ljkuw
• %User Temp%\toczjj
• %User Temp%\juinc
• %User Temp%\ydvvw
• %User Temp%\mmrcvd
• %User Temp%\qfyey
• %User Temp%\bzryqe
• %User Temp%\lsexw
• %User Temp%\qtumlps
• %User Temp%\kgati
• %User Temp%\ctplgtr
• %User Temp%\bsctpf
• %User Temp%\pmgge
• %User Temp%\jywtr
• %User Temp%\ozpqpb
• %User Temp%\ajpmf
• %User Temp%\tvewh
• %User Temp%\jyomm
• %User Temp%\duwcgb
• %User Temp%\towsof
• %User Temp%\ddqgztu
• %User Temp%\jfdty
• %User Temp%\stxohhf
• %User Temp%\bjdzc
• %User Temp%\hdjpb
• %User Temp%\trxuuy
• %User Temp%\qkamh
• %User Temp%\gkmni
• %User Temp%\nzuldav
• %User Temp%\uprmb
• %User Temp%\hzcronq
• %User Temp%\vbskny
• %User Temp%\ajorxn
• %User Temp%\qfkqjqe
• %User Temp%\zgtbl
• %User Temp%\pvqul
• %User Temp%\zphqz
• %User Temp%\fqhefq
• %User Temp%\ssfsggq
• %User Temp%\rsmbe
• %User Temp%\horisw
• %User Temp%\sdxmxbs
• %User Temp%\dtapn
• %User Temp%\wlqoczx
• %User Temp%\gszrtl
• %User Temp%\wbvozbl
• %User Temp%\ivtxjc
• %User Temp%\hsfwk
• %User Temp%\izhyd
• %User Temp%\fakhhqs
• %User Temp%\agrvzti
• %User Temp%\fgpdk
• %User Temp%\puhtflz
• %User Temp%\butpxq
• %User Temp%\spfuh
• %User Temp%\gosmniz
• %User Temp%\jsxgbpy
• %User Temp%\nhrxi
• %User Temp%\xnphs
• %User Temp%\mcfnfk
• %User Temp%\hxffb
• %User Temp%\vwultwc
• %User Temp%\sqkrfr
• %User Temp%\hqidwu
• %User Temp%\fceoe
• %User Temp%\wubcrpa
• %User Temp%\eaaze
• %User Temp%\hrqvi
• %User Temp%\htntsoi
• %User Temp%\xsjzup
• %User Temp%\mjaab
• %User Temp%\haqaj
• %User Temp%\pvelnu
• %User Temp%\nkyjecz
• %User Temp%\gmdozd
• %User Temp%\hrwbcef
• %User Temp%\nlchl
• %User Temp%\toiil
• %User Temp%\epzmxz
• %User Temp%\skqtr
• %User Temp%\tzzksd
• %User Temp%\afiwkyt
• %User Temp%\aimda
• %User Temp%\evlfpd
• %User Temp%\oqkgli
• %User Temp%\rbulzae
• %User Temp%\fecso
• %User Temp%\xtkqbs
• %User Temp%\rzsch
• %User Temp%\gpcef
• %User Temp%\gqicv
• %User Temp%\vbksvn
• %User Temp%\niunmr
• %User Temp%\nsfrhaz
• %User Temp%\nqkrmxl
• %User Temp%\pcalajx
• %User Temp%\fagugif
• %User Temp%\hjjlwm
• %User Temp%\yoeogy
• %User Temp%\abkjf
• %User Temp%\qexuokf
• %User Temp%\ehlop
• %User Temp%\gtompn
• %User Temp%\eiwkdbn
• %User Temp%\ijjtu
• %User Temp%\ebwga
• %User Temp%\fliexwg
• %User Temp%\hfxekv
• %User Temp%\gmskwzj
• %User Temp%\vbujxkc
• %User Temp%\zgnunel
• %User Temp%\oqibadc
• %User Temp%\vxbahfi
• %User Temp%\gfgfw
• %User Temp%\lviva
• %User Temp%\pvpoy
• %User Temp%\etqqwu
• %User Temp%\zsquagt
• %User Temp%\xbychxf
• %User Temp%\zvucow
• %User Temp%\hxuro
• %User Temp%\efvlxju
• %User Temp%\vrxdo
• %User Temp%\kbbnesb
• %User Temp%\zlsmztm
• %User Temp%\epcyxmd
• %User Temp%\jbdupzm
• %User Temp%\mjnjir
• %User Temp%\ntdoryu
• %User Temp%\banhbtm
• %User Temp%\nphulk
• %User Temp%\cpygngc
• %User Temp%\rmjfm
• %User Temp%\hhulvv
• %User Temp%\zaujetb
• %User Temp%\oumst
• %User Temp%\fouzq
• %User Temp%\fdraux
• %User Temp%\pplnn
• %User Temp%\chieebb
• %User Temp%\grufglp
• %User Temp%\nckaz
• %User Temp%\occva
• %User Temp%\mciuv
• %User Temp%\yqjnnx
• %User Temp%\lmtvicx
• %User Temp%\ydybto
• %User Temp%\dltmfcy
• %User Temp%\czgvxx
• %User Temp%\bbfpnz
• %User Temp%\qekklce
• %User Temp%\vtlwp
• %User Temp%\ojjmvkw
• %User Temp%\cxcncos
• %User Temp%\kiwylg
• %User Temp%\axtzs
• %User Temp%\iizsbh
• %User Temp%\szyqkrg
• %User Temp%\gaqcg
• %User Temp%\czyzc
• %User Temp%\apvwuh
• %User Temp%\zmwcrr
• %User Temp%\zthzrg
• %User Temp%\jtcbce
• %User Temp%\glyzwiu
• %User Temp%\vjryile
• %User Temp%\saknqg
• %User Temp%\nvljwwa
• %User Temp%\auacjqm
• %User Temp%\ulxdiw
• %User Temp%\ixfwkdl
• %User Temp%\sqjov
• %User Temp%\waueh
• %User Temp%\didcrmk
• %User Temp%\utalswe
• %User Temp%\jomukxi
• %User Temp%\znqomq
• %User Temp%\xgbskmc
• %User Temp%\sbpvfwk
• %User Temp%\ayewfd
• %User Temp%\xnyvts
• %User Temp%\vnncjt
• %User Temp%\xbpogpt
• %User Temp%\vwvoxgf
• %User Temp%\oikzm
• %User Temp%\jbmvwi
• %User Temp%\ztiwv
• %User Temp%\uiakef
• %User Temp%\ouadn
• %User Temp%\tvojgb
• %User Temp%\lhkfmn
• %User Temp%\fannued
• %User Temp%\zlsdz
• %User Temp%\cyfqlkt
• %User Temp%\vqwhn
• %User Temp%\dkqae
• %User Temp%\zvbak
• %User Temp%\mehycm
• %User Temp%\dlrpvc
• %User Temp%\dnbdm
• %User Temp%\jivqm
• %User Temp%\dcpnibj
• %User Temp%\xjfkpi
• %User Temp%\vuibnp
• %User Temp%\trvoo
• %User Temp%\brqmn
• %User Temp%\hscacbo
• %User Temp%\yydld
• %User Temp%\hfqozoe
• %User Temp%\oxsreg
• %User Temp%\dbjrl
• %User Temp%\eriamo
• %User Temp%\fbiyw
• %User Temp%\iofxckl
• %User Temp%\unsie
• %User Temp%\zjjta
• %User Temp%\xqahywz
• %User Temp%\truqj
• %User Temp%\sexhph
• %User Temp%\sbfallt
• %User Temp%\juzxvi
• %User Temp%\jfehorx
• %User Temp%\mwpnnk
• %User Temp%\fbmzuru
• %User Temp%\jpmbmhf
• %User Temp%\dghhq
• %User Temp%\qlqlve
• %User Temp%\cnqru
• %User Temp%\babrl
• %User Temp%\dfpds
• %User Temp%\sshsp
• %User Temp%\eseiso
• %User Temp%\zshdxv
• %User Temp%\gbmso
• %User Temp%\akxnu
• %User Temp%\ilunydl
• %User Temp%\ubvdiq
• %User Temp%\hqhfg
• %User Temp%\dnuit
• %User Temp%\arbfql
• %User Temp%\mewnuk
• %User Temp%\fkhkyxk
• %User Temp%\nwrcm
• %User Temp%\sggxvzn
• %User Temp%\pjkrbs
• %User Temp%\yvndtpl
• %User Temp%\qeqqtll
• %User Temp%\wtbxmqk
• %User Temp%\pajwj
• %User Temp%\ruxqx
• %User Temp%\lwadx
• %User Temp%\fmzdvpq
• %User Temp%\lfxwqjc
• %User Temp%\cthqobt
• %User Temp%\mbnxpu
• %User Temp%\kraiz
• %User Temp%\odbky
• %User Temp%\buzzn
• %User Temp%\yzykd
• %User Temp%\cpgftru
• %User Temp%\rnnbje
• %User Temp%\bkdss
• %User Temp%\gfuguhf
• %User Temp%\jlkda
• %User Temp%\zqvho
• %User Temp%\bcbol
• %User Temp%\seblm
• %User Temp%\xjvoc
• %User Temp%\pywpwk
• %User Temp%\oudill
• %User Temp%\njmysib
• %User Temp%\pecosy
• %User Temp%\gerlgp
• %User Temp%\qbsbs
• %User Temp%\tqddyi
• %User Temp%\dmzhklm
• %User Temp%\kdpnnw
• %User Temp%\tldffm
• %User Temp%\isrplvn
• %User Temp%\stpfb
• %User Temp%\myctkqq
• %User Temp%\psowz
• %User Temp%\yipuj
• %User Temp%\qmcli
• %User Temp%\lgjxncd
• %User Temp%\idjlhq
• %User Temp%\bpgkc
• %User Temp%\geogrv
• %User Temp%\jtoodh
• %User Temp%\fqqvlt
• %User Temp%\oqhbi
• %User Temp%\ybxbpby
• %User Temp%\dfjvk
• %User Temp%\irmiq
• %User Temp%\bymhfef
• %User Temp%\ihdfhfe
• %User Temp%\ybkuq
• %User Temp%\rtigkbm
• %User Temp%\qlxpcnx
• %User Temp%\vpcyf
• %User Temp%\hmepp
• %User Temp%\qrjgzef
• %User Temp%\axkidou
• %User Temp%\tckuoul
• %User Temp%\jqgmd
• %User Temp%\vvfujll
• %User Temp%\nexhzlz
• %User Temp%\vtlpzrq
• %User Temp%\aepqp
• %User Temp%\ybwbfr
• %User Temp%\thdew
• %User Temp%\pwkzx
• %User Temp%\odvqsv
• %User Temp%\jvabsl
• %User Temp%\zrxhv
• %User Temp%\zrabtu
• %User Temp%\krqqw
• %User Temp%\gcijsb
• %User Temp%\kfbacpy
• %User Temp%\tzggt
• %User Temp%\nyshpo
• %User Temp%\lgwrzo
• %User Temp%\eozuz
• %User Temp%\wcegt
• %User Temp%\kkjfz
• %User Temp%\kmcuh
• %User Temp%\ogohg
• %User Temp%\kygea
• %User Temp%\lyleq
• %User Temp%\nbqzjhd
• %User Temp%\lgkrzao
• %User Temp%\itvhxx
• %User Temp%\wuruvyf
• %User Temp%\wcuuktq
• %User Temp%\moedt
• %User Temp%\ipmeah
• %User Temp%\jvfci
• %User Temp%\sbeibx
• %User Temp%\euuuuru
• %User Temp%\kaxlr
• %User Temp%\rikkh
• %User Temp%\slpwtl
• %User Temp%\yktstlt
• %User Temp%\pqyraof
• %User Temp%\alhgrw
• %User Temp%\koyyqjl
• %User Temp%\qgabzvy
• %User Temp%\iejjra
• %User Temp%\utfdg
• %User Temp%\pqpixsu
• %User Temp%\yocmdvh
• %User Temp%\ivvgic
• %User Temp%\fmanqrv
• %User Temp%\nvjvps
• %User Temp%\ezdiw
• %User Temp%\raxnfy
• %User Temp%\qyudb
• %User Temp%\qnfal
• %User Temp%\emsle
• %User Temp%\vvfyv
• %User Temp%\iucfbo
• %User Temp%\jboxxsq
• %User Temp%\yecgii
• %User Temp%\dlhwbc
• %User Temp%\hjqokx
• %User Temp%\zrfbc
• %User Temp%\xreay
• %User Temp%\zltoxht
• %User Temp%\jkxblwg
• %User Temp%\veyojny
• %User Temp%\thmkrgj
• %User Temp%\kfmej
• %User Temp%\hpkzkcp
• %User Temp%\holxakk
• %User Temp%\bghkd
• %User Temp%\vwquv
• %User Temp%\mwhahz
• %User Temp%\cazryug
• %User Temp%\hqqwky
• %User Temp%\mdevudo
• %User Temp%\injmlf
• %User Temp%\avtty
• %User Temp%\tlwhyx
• %User Temp%\swyfxc
• %User Temp%\etlupd
• %User Temp%\qkbsgd
• %User Temp%\deneb
• %User Temp%\cximgb
• %User Temp%\lbjjkk
• %User Temp%\bwdzx
• %User Temp%\lsgmxh
• %User Temp%\khxna
• %User Temp%\odhqr
• %User Temp%\mzgftx
• %User Temp%\gacnqws
• %User Temp%\thigoo
• %User Temp%\lpxqlyn
• %User Temp%\kccnbh
• %User Temp%\pgnpl
• %User Temp%\lgxby
• %User Temp%\coleqk
• %User Temp%\fwwwv
• %User Temp%\abjrq
• %User Temp%\mqzvfk
• %User Temp%\bgragp
• %User Temp%\ritnm
• %User Temp%\kzbmzc
• %User Temp%\dmxxds
• %User Temp%\wcpktv
• %User Temp%\zrtnm
• %User Temp%\ceiac
• %User Temp%\byflr
• %User Temp%\czplw
• %User Temp%\xjnrutb
• %User Temp%\bzcqeu
• %User Temp%\duggay
• %User Temp%\qfhcfzj
• %User Temp%\lolhbdu
• %User Temp%\nanid
• %User Temp%\lkvzakk
• %User Temp%\cuzyb
• %User Temp%\bugkqd
• %User Temp%\ojdreh
• %User Temp%\ysaww
• %User Temp%\eqbknb
• %User Temp%\idkep
• %User Temp%\higin
• %User Temp%\hbhtgmu
• %User Temp%\vekktog
• %User Temp%\qzaozho
• %User Temp%\pooghji
• %User Temp%\uysin
• %User Temp%\uszna
• %User Temp%\hsqcd
• %User Temp%\heqvckn
• %User Temp%\ymdan
• %User Temp%\wuvadqa
• %User Temp%\chngxvq
• %User Temp%\ogneomz
• %User Temp%\ckawsoa
• %User Temp%\xytdc
• %User Temp%\qjilk
• %User Temp%\lbybu
• %User Temp%\vomhz
• %User Temp%\cayqtrf
• %User Temp%\ylurr
• %User Temp%\iwrbgvs
• %User Temp%\dvzcx
• %User Temp%\mqmov
• %User Temp%\wbpmo
• %User Temp%\aqzbhry
• %User Temp%\ihndmd
• %User Temp%\amshod
• %User Temp%\jdplfot
• %User Temp%\piwwav
• %User Temp%\dmdtp
• %User Temp%\tykzlz
• %User Temp%\jhinhg
• %User Temp%\nlkordz
• %User Temp%\cmjfhwh
• %User Temp%\gpiyo
• %User Temp%\jqbjum
• %User Temp%\ibiklb
• %User Temp%\htyvxvc
• %User Temp%\ngklxci
• %User Temp%\rygtj
• %User Temp%\wzvixk
• %System Root%\ip.txt

(註：%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。. %User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。. %Program Files%フォルダは、Windows 2000、Server 2003、XP (32ビット)、通常 Vista (32ビット) および 7 (32ビット) の場合、通常 "C:\Program Files"、Windows XP (64ビット)、Vista (64ビット) および 7 (64ビット) の場合、通常 "C:\Program Files (x86)" です。. %System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

• http://{BLOCKED}.233.43:198/rc/need.jpg
• http://{BLOCKED}k.in:81/rc/xms/notepd.jpg
• http://{BLOCKED}k.in:81/rc/xms/notepde.jpg
• http://{BLOCKED}k.in:81/rc/xms/gx.jpg
• http://e260.{BLOCKED}g.com:81/13/0629.txt
• http://{BLOCKED}k.in:81/rc/xms/gx2.txt
• http://{BLOCKED}.233.43:198/ip/ip.asp

このウイルス情報は、自動解析システムにより作成されました。

---

  対応方法

ご利用はいかがでしたか？　アンケートにご協力ください