TSPY_LLAC.SM
Kaspersky: Trojan.Win32.Llac.has
Windows 2000, Windows XP, Windows Server 2003
- マルウェアタイプ: スパイウェア
- 破壊活動の有無: なし
- 暗号化: はい
- 感染報告の有無: はい
概要
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
スパイウェアは、以下のコンポーネントファイルを作成します。
- %User Temp%\{OS version}7
- %User Temp%\{OS version}8
- %User Profile%\Application Data\winxplog.dat
(註:%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>" です。)
スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %System Root%\directory\CyberGate\install\server.exe
(註:%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)
スパイウェアは、以下のフォルダを作成します。
- %System Root%\directory
- %System Root%\directory\CyberGate
- %System Root%\directory\CyberGate\install
(註:%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)
スパイウェアは、自身(コンピュータに侵入して最初に自身のコピーを作成したスパイウェア)を終了し、侵入したコンピュータ内で作成した自身のコピーの方を実行します。
自動実行方法
スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
Explorer\Run
Policies = %SystemRoot%\directory\CyberGate\install\server.exe
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Run
Policies = %SystemRoot%\directory\CyberGate\install\server.exe
他のシステム変更
スパイウェアは、インストールの過程で、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{R4EI0PTD-T664-2FH3-83N0-64B8876VL1R2}
StubPath = "%System Root%\directory\CyberGate\install\server.exe Restart"
HKEY_CURRENT_USER\Software\remote
FirstExecution = "{date and time of malware execution"
HKEY_CURRENT_USER\Software\remote
NewGroup = ""
HKEY_CURRENT_USER\Software\remote
NewIdentification = "remote"
スパイウェアは、インストールの過程で、以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{R4EI0PTD-T664-2FH3-83N0-64B8876VL1R2}
HKEY_CURRENT_USER\Software\remote