TROJ_YODDOS.NSX
2015年7月30日
別名:
Backdoor.Spikeddos (Symantec); Trojan.Win32.Yoddos (Ikarus)
プラットフォーム:
Windows
危険度:
ダメージ度:
感染力:
感染確認数:
情報漏えい:
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、特定のフラッド攻撃を用いて、感染コンピュータ上から「サービス拒否(DoS)攻撃」を実行します。
マルウェアは、実行後、自身を削除します。
詳細
ファイルサイズ 29,184 bytes
タイプ EXE
発見日 2015年7月23日
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。
- %Windows%\WinHelp32.exe
(註:%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)
自動実行方法
マルウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKLM\SYSTEM\ControlSet001\
Services\WinHelp32
DisplayName = WinHelp32 Service
HKLM\SYSTEM\ControlSet001\
Services\WinHelp32
ImagePath = %Windows%\WinHelp32.exe
Denial of Service(DoS)攻撃
マルウェアは、以下のフラッド攻撃を用いて、感染コンピュータ上からDoS攻撃を実行します。
- SYN Flood
- GET Flood
- ICMP Flood
- UDP Flood
- DNS Flood
その他
マルウェアは、以下のWebサイトにDNSリクエストを実行します。
- www.{BLOCKED}x.com
- www.{BLOCKED}i.com
- dns.{BLOCKED}i.com
マルウェアは、実行後、自身を削除します。