TROJ_VUNDO.BBF

2014年9月12日

解析者: Jaime Benigno Reyes

別名:

Trojan:Win32/Vundo.gen!AI (Microsoft); Packed.Win32.Mondera.b (Kaspersky); Trojan.Vundo (Symantec); Vundo.gen.o (McAfee)

プラットフォーム:

Windows

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ: トロイの木馬型
破壊活動の有無: なし
暗号化:
感染報告の有無: はい

概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

詳細

ファイルサイズ 92,725 bytes

タイプ DLL

メモリ常駐なし

発見日 2009年4月8日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
CPM{8 random alphanumeric characters} = "Rundll32.exe "{malware path}\{malware name}",a"

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_CLASSES_ROOT\CLSID\{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4}

HKEY_CLASSES_ROOT\CLSID\{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4}\
InprocServer32

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4}\InprocServer32

マルウェアは、以下のレジストリ値を追加します。

HKEY_CLASSES_ROOT\CLSID\{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4}\
InprocServer32
@ = "{malware path}\{malware name}"

HKEY_CLASSES_ROOT\CLSID\{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4}\
InprocServer32
ThreadingModel = "Both"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4}\InprocServer32
@ = "{malware path}\{malware name}"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4}\InprocServer32
ThreadingModel = "Both"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
SharedTaskScheduler
{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} = "STS"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\ShellServiceObjectDelayLoad
SSODL = "{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Windows
LoadAppInit_DLLs = "1"