• Email
• Facebook
• Twitter
• Google+
• Linkedin

TrojanSpy.Win32.CRIDEX.THFAGBO

---

• マルウェアタイプ: スパイウェア/情報窃取型
• 破壊活動の有無: なし
• 暗号化:  
• 感染報告の有無: はい

---

  概要

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

---

  詳細

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、以下のプロセスを追加します。

• "%System Root%\Program Files\Internet Explorer\iexplore.exe" -Embedding
• %System%\DllHost.exe /Processid:{F9717507-6651-4EDB-BFF7-AE615179BCCF}
• %System%\svchost.exe -k netsvcs
• %Windows%\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
• %System%\svchost.exe -k LocalServiceAndNoImpersonation
• %Windows%\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe
• %System%\sppsvc.exe
• "%System Root%\Program Files\Windows Media Player\wmpnetwk.exe"
• %System%\svchost.exe -k NetworkService
• "%Program Files%\Internet Explorer\IEXPLORE.EXE" SCODEF:2408 CREDAT:275457 /prefetch:2
• "%Program Files%\Internet Explorer\IEXPLORE.EXE" SCODEF:3436 CREDAT:275457 /prefetch:2
• "%Program Files%\Internet Explorer\IEXPLORE.EXE" SCODEF:4016 CREDAT:275457 /prefetch:2
• "%Program Files%\Internet Explorer\IEXPLORE.EXE" SCODEF:1244 CREDAT:275457 /prefetch:2

(註：%System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.. %Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。C:\Program Files in Windows 2000(32-bit)、Server 2003(32-bit)、XP、Vista(64-bit)、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)、8.1(64-bit)、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files（x86）" です。)

他のシステム変更

スパイウェアは、以下のファイルを削除します。

• %AppDataLocal%Low\Microsoft\Internet Explorer\Services\search_{0633EE93-D776-472f-A0FF-E1416B8B2E3A}.ico

(註：%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local" です。)

スパイウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\NetworkList\
Nla\Cache\Intranet
{89BCDCB3-5725-45A2-94AB-2D6B641209B0} = "\x00PV\xbc\x0f\x1d"

スパイウェアは、以下のレジストリキーを削除します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Ext\
Settings\{72853161-30C5-4D22-B7F9-0BBC1D38A37E}\NewInstallPromptCount

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Ext\
Settings\{72853161-30C5-4D22-B7F9-0BBC1D38A37E}\CompatBlockPromptCount

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Ext\
Settings\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\NewInstallPromptCount

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Ext\
Settings\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\CompatBlockPromptCount

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Ext\
Settings\{DBC80044-A445-435B-BC74-9C25C1C588A9}\NewInstallPromptCount

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Ext\
Settings\{DBC80044-A445-435B-BC74-9C25C1C588A9}\CompatBlockPromptCount

作成活動

スパイウェアは、以下のファイルを作成します。

• %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\RecoveryStore.{730EA8AB-51E8-11EA-B228-005056BC05B5}.dat
• %All Users Profile%\Microsoft\Windows\DRM\v3ks.sec
• %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\RecoveryStore.{08B3ED2D-51E8-11EA-B228-005056BC05B5}.dat
• %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{5D8A7873-51E8-11EA-B228-005056BC05B5}.dat
• %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\RecoveryStore.{5D8A7871-51E8-11EA-B228-005056BC05B5}.dat
• %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{08B3ED2F-51E8-11EA-B228-005056BC05B5}.dat
• %AppDataLocal%\Microsoft\Media Player\CurrentDatabase_372.wmdb
• %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{730EA8AD-51E8-11EA-B228-005056BC05B5}.dat
• %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{357BD057-51E8-11EA-B228-005056BC05B5}.dat
• %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\RecoveryStore.{357BD055-51E8-11EA-B228-005056BC05B5}.dat
• %All Users Profile%\Microsoft\Windows\DRM\drmstore.hds

(註：%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local" です。. %All Users Profile%フォルダは、ユーザの共通プロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\All Users” です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData” です。)

その他

スパイウェアは、以下の不正なWebサイトにアクセスします。

• http://go.{BLOCKED}oft.com
• http://api.{BLOCKED}g.com
• http://www.{BLOCKED}g.com
• http://support33.{BLOCKED}oft.com
• http://sqm.{BLOCKED}try.microsoft.com
• http://{BLOCKED}lkwwq2t.com
• http://{BLOCKED}ha1ww.com
• http://{BLOCKED}nn25s.com

このウイルス情報は、自動解析システムにより作成されました。

---

  対応方法

ご利用はいかがでしたか？　アンケートにご協力ください