Trend Micro Security

TROJ_STARTPA.ZH

2012年10月8日
 解析者: Christopher Daniel So   
 プラットフォーム:

Windows 2000, XP, Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化: なし
  • 感染報告の有無: はい

  概要


マルウェアは、ユーザのInternet Explorer(IE)のスタートページを特定のWebサイトに変更します。これにより、特定のマルウェアを含むWebサイトが表示され、感染コンピュータは、さらなる脅威にさらされる恐れがあります。

  詳細

ファイルサイズ 104,960 bytes
タイプ EXE
ファイル圧縮 UPX
メモリ常駐 はい
発見日 2010年9月25日

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %Windows%\nvsvc32.exe

(註:%Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
NVIDIA driver monitor = "%Windows%\nvsvc32.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
NVIDIA driver monitor = "%Windows%\nvsvc32.exe"

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Terminal Server\
Install\Software\Microsoft\
Windows\CurrentVersion\Run
NVIDIA driver monitor = "%Windows%\nvsvc32.exe"

マルウェアは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
{malware path and file name} = "%Windows%\nvsvc32.exe:*:Enabled:NVIDIA driver monitor"

Webブラウザのホームページおよび検索ページの変更

マルウェアは、ユーザのIEのスタートページを以下のWebサイトに変更します。

  • http://{BLOCKED}turls.info

その他

マルウェアは、以下のファイルの属性を隠しファイルおよびシステムファイル属性に設定します。

  • {malware path and file name}
  • %Windows%\nvsvc32.exe

(註:%Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。)