Trend Micro Security

TSPY_LLAC.SM

2014年2月13日
 解析者: MarfelTi   
 別名:

Kaspersky: Trojan.Win32.Llac.has

 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 感染確認数:
 システムへの影響:
 情報漏えい:


  • マルウェアタイプ: スパイウェア
  • 破壊活動の有無: なし
  • 暗号化: はい
  • 感染報告の有無: はい

  概要


スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 303,616 bytes
タイプ EXE
メモリ常駐 はい
発見日 2011年3月4日

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、以下のコンポーネントファイルを作成します。

  • %User Temp%\{OS version}7
  • %User Temp%\{OS version}8
  • %User Profile%\Application Data\winxplog.dat

(註:%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>" です。)

スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %System Root%\directory\CyberGate\install\server.exe

(註:%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

スパイウェアは、以下のフォルダを作成します。

  • %System Root%\directory
  • %System Root%\directory\CyberGate
  • %System Root%\directory\CyberGate\install

(註:%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

スパイウェアは、自身(コンピュータに侵入して最初に自身のコピーを作成したスパイウェア)を終了し、侵入したコンピュータ内で作成した自身のコピーの方を実行します。

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
Explorer\Run
Policies = %SystemRoot%\directory\CyberGate\install\server.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Run
Policies = %SystemRoot%\directory\CyberGate\install\server.exe

他のシステム変更

スパイウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{R4EI0PTD-T664-2FH3-83N0-64B8876VL1R2}
StubPath = "%System Root%\directory\CyberGate\install\server.exe Restart"

HKEY_CURRENT_USER\Software\remote
FirstExecution = "{date and time of malware execution"

HKEY_CURRENT_USER\Software\remote
NewGroup = ""

HKEY_CURRENT_USER\Software\remote
NewIdentification = "remote"

スパイウェアは、インストールの過程で、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{R4EI0PTD-T664-2FH3-83N0-64B8876VL1R2}

HKEY_CURRENT_USER\Software\remote