• Email
• Facebook
• Twitter
• Google+
• Linkedin

TROJ_UPATRE.DFV

---

• マルウェアタイプ: トロイの木馬型
• 破壊活動の有無: なし
• 暗号化: はい
• 感染報告の有無: はい

---

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、Internet Explorer（IE）のゾーン設定を変更します。

マルウェアは、ダウンロードしたファイルを実行します。

マルウェアは、実行後、自身を削除します。

---

  詳細

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下の通常のプロセスにスレッドを組み込みます。

• %System%\svchost.exe

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

Webブラウザのホームページおよび検索ページの変更

マルウェアは、IEのゾーン設定を変更します。

ダウンロード活動

マルウェアは、以下のURLからファイルをダウンロードします。マルウェアは、ファイルが感染コンピュータ内に保存されると、ファイル名を変更します。

• http://{BLOCKED}7.{BLOCKED}07.229.215/cuteg12.zip
• http://{BLOCKED}3.{BLOCKED}48.156.246/cuteg12.zip
• http://{BLOCKED}2.{BLOCKED}75.10.116/cuteg12.zip
• http://{BLOCKED}08{BLOCKED}117.68.78/cuteg12.zip
• http://{BLOCKED}7.{BLOCKED}22.201.61/cuteg12.zip
• http://{BLOCKED}09{BLOCKED}27.49.117/cuteg12.zip
• http://{BLOCKED}03{BLOCKED}129.197.50/cuteg12.zip
• http://{BLOCKED}7.{BLOCKED}22.201.222/cuteg12.zip
• http://{BLOCKED}12{BLOCKED}133.203.43/cuteg12.zip
• http://{BLOCKED}80{BLOCKED}233.123.210/cuteg12.zip
• http://{BLOCKED}5.{BLOCKED}4.159.18/cuteg12.zip
• http://{BLOCKED}86{BLOCKED}68.94.38/cuteg12.zip
• http://{BLOCKED}50{BLOCKED}129.49.11/cuteg12.zip
• http://{BLOCKED}03{BLOCKED}115.103.27/cuteg12.zip
• http://{BLOCKED}7.{BLOCKED}09.20.53/cuteg12.zip
• http://{BLOCKED}13{BLOCKED}92.138.154/cuteg12.zip
• http://{BLOCKED}2.{BLOCKED}15.76.211/cuteg12.zip
• http://{BLOCKED}8.{BLOCKED}2.233.105/cuteg12.zip
• http://{BLOCKED}4.{BLOCKED}41.130.9/cuteg12.zip
• http://{BLOCKED}2.{BLOCKED}60.64.45/cuteg12.zip
• http://{BLOCKED}94{BLOCKED}28.191.245/cuteg12.zip
• http://{BLOCKED}97{BLOCKED}210.199.21/cuteg12.zip
• http://{BLOCKED}7.{BLOCKED}21.147.66/cuteg12.zip
• http://{BLOCKED}8.{BLOCKED}08.101.67/cuteg12.zip
• http://{BLOCKED}99{BLOCKED}192.214.102/cuteg12.zip
• http://{BLOCKED}42{BLOCKED}47.213.123/cuteg12.zip
• http://{BLOCKED}09{BLOCKED}199.11.51/cuteg12.zip
• http://{BLOCKED}4.{BLOCKED}0.82.66/cuteg12.zip
• http://{BLOCKED}1.{BLOCKED}89.140.7/cuteg12.zip
• http://{BLOCKED}76{BLOCKED}101.135.103/cuteg12.zip
• http://{BLOCKED}6.{BLOCKED}49.248.235/cuteg12.zip
• http://{BLOCKED}1.{BLOCKED}02.193.210/cuteg12.zip
• http://{BLOCKED}1.{BLOCKED}46.105.164/cuteg12.zip
• http://{BLOCKED}9.{BLOCKED}39.120.43/cuteg12.zip
• http://{BLOCKED}7.{BLOCKED}21.195.6/cuteg12.zip
• http://{BLOCKED}16{BLOCKED}254.231.11/cuteg12.zip
• http://{BLOCKED}4.{BLOCKED}3.131.116/cuteg12.zip
• http://{BLOCKED}2.{BLOCKED}30.82.80/cuteg12.zip
• http://{BLOCKED}73{BLOCKED}248.31.6/cuteg12.zip
• http://{BLOCKED}9.{BLOCKED}.204.114/cuteg12.zip
• http://{BLOCKED}9.{BLOCKED}44.171.44/cuteg12.zip
• http://{BLOCKED}5.{BLOCKED}3.236.173/cuteg12.zip
• http://{BLOCKED}4.{BLOCKED}48.217.188/cuteg12.zip
• http://{BLOCKED}73{BLOCKED}216.247.74/cuteg12.zip
• http://{BLOCKED}7.{BLOCKED}8.30.156/cuteg12.zip
• http://{BLOCKED}7.{BLOCKED}7.144.177/cuteg12.zip
• http://{BLOCKED}7.{BLOCKED}49.142.189/cuteg12.zip
• http://{BLOCKED}5.{BLOCKED}35.104.170/cuteg12.zip
• http://{BLOCKED}8.{BLOCKED}0.242.203/cuteg12.zip

マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。

• %User Temp%\zevahega.exe

(註：%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。.)

トレンドマイクロの製品では、ダウンロードしたファイルを以下として検出します。

• TSPY_DYRE.JAN

マルウェアは、ダウンロードしたファイルを実行します。

情報漏えい

マルウェアは、以下の情報を収集します。

• Computer Name
• OS Version
• Service Pack

その他

マルウェアは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。

• http://icanhazip.com/

マルウェアは、実行後、自身を削除します。

---

  対応方法

ご利用はいかがでしたか？　アンケートにご協力ください