TROJ_SMOKE.D

2012年10月9日

解析者: rolandde

別名:

Trojan.Smoaler (Symantec); TrojanDownloader:Win32/Dofoil.L (Microsoft)

プラットフォーム:

Windows 2000, Windows, XP, Windows Server 2003

危険度:

ダメージ度:

感染力:

感染確認数:

マルウェアタイプ: トロイの木馬型
破壊活動の有無: なし
暗号化:
感染報告の有無: はい

概要

マルウェアは、大量送信されたスパムメールに添付されて、コンピュータに侵入します。

マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。ただし、情報公開日現在、このWebサイトにはアクセスできません。

詳細

ファイルサイズ 50,176 bytes

タイプ EXE

メモリ常駐はい

発見日 2011年11月28日

侵入方法

マルウェアは、大量送信されたスパムメールに添付されて、コンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

%User Profile%\Application Data\csrss.exe

(註：%User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞"、Windows NTでは、"C:\WINNT\Profiles\＜ユーザ名＞"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\＜ユーザ名＞" です。)

マルウェアは、以下のプロセスを追加します。

svchost.exe

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Run
Macromedia = "%User Profile%\Application Data\csrss.exe"

その他

マルウェアは、以下のWebサイトにアクセスしてインターネット接続を確認します。

http://www.google.com/

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

{BLOCKED}290.ru

ただし、情報公開日現在、このWebサイトにはアクセスできません。