![Trend Micro Security](https://www.trendmicro.com/content/dam/trendmicro/global/en/global/logo/logo-desktop.png)
TROJ_UPATRE.YYSLB
TrojanDownloader:Win32/Upatre(Microsoft), Upatre-FACE!8A17C846576C(McAfee), Troj/Upatre-NP(Sophos),
Windows
![](/vinfo/imgFiles/JPlegend.jpg)
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、実行後、自身を削除します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。
- %User Temp%\datevoxdj.exe
(註:%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.)
マルウェアは、以下のファイルを作成します。
- %User Temp%\TmpC77A.txt
(註:%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.)
マルウェアは、以下のファイルを作成し実行します。
- %User Temp%\fxhnlsqr.exe
(註:%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.)
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- http://{BLOCKED}8.{BLOCKED}0.194.101
- {BLOCKED}09.{BLOCKED}6.226.85/upd_file3.zip
- {BLOCKED}62.{BLOCKED}55.126.8/upd_file3.zip
- {BLOCKED}73.{BLOCKED}16.240.56/upd_file3.zip
- {BLOCKED}73.{BLOCKED}43.255.79/upd_file3.zip
- {BLOCKED}73.{BLOCKED}48.22.227/upd_file3.zip
- {BLOCKED}73.{BLOCKED}48.27.163/upd_file3.zip
- {BLOCKED}73.{BLOCKED}48.29.43/upd_file3.zip
- {BLOCKED}73.{BLOCKED}48.31.1/upd_file3.zip
- {BLOCKED}73.{BLOCKED}48.31.6/upd_file3.zip
- {BLOCKED}76.{BLOCKED}6.251.208/upd_file3.zip
- {BLOCKED}78.{BLOCKED}14.221.89/upd_file3.zip
- {BLOCKED}88.{BLOCKED}55.165.154/upd_file3.zip
- {BLOCKED}88.{BLOCKED}55.167.4/upd_file3.zip
- {BLOCKED}88.{BLOCKED}55.169.176/upd_file3.zip
- {BLOCKED}88.{BLOCKED}55.236.2/upd_file3.zip
- {BLOCKED}88.{BLOCKED}55.239.34/upd_file3.zip
- {BLOCKED}08.{BLOCKED}23.130.173/upd_file3.zip
- {BLOCKED}16.{BLOCKED}54.231.11/upd_file3.zip
- {BLOCKED}4.2{BLOCKED}0.92.193/upd_file3.zip
- {BLOCKED}4.3{BLOCKED}.131.116/upd_file3.zip
- {BLOCKED}8.1{BLOCKED}9.5.32/upd_file3.zip
- {BLOCKED}8.1{BLOCKED}0.246.142/upd_file3.zip
- {BLOCKED}9.1{BLOCKED}3.81.211/upd_file3.zip
- {BLOCKED}9.9{BLOCKED}204.114/upd_file3.zip
- {BLOCKED}0.1{BLOCKED}1.191.206/upd_file3.zip
- {BLOCKED}1.1{BLOCKED}4.36.73/upd_file3.zip
- {BLOCKED}2.2{BLOCKED}0.82.80/upd_file3.zip
- {BLOCKED}3.1{BLOCKED}5.203.173/upd_file3.zip
- {BLOCKED}5.1{BLOCKED}7.112.81/upd_file3.zip
- {BLOCKED}7.9{BLOCKED}.125.74/upd_file3.zip
- {BLOCKED}8.2{BLOCKED}4.215.92/upd_file3.zip
マルウェアは、実行後、自身を削除します。