TSPY_MUMA
2012年10月9日
プラットフォーム:
Windows 2000, Windows XP, Windows Server 2003
危険度:
感染確認数:
システムへの影響:
情報漏えい:
- マルウェアタイプ: スパイウェア
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
詳細
メモリ常駐 はい
ペイロード 情報収集
インストール
スパイウェアは、以下のコンポーネントファイルを作成します。
- %System%\IPCPass.txt
- %System%\psexec.exe
- %System%\kavfind.exe
- %System%\last.exe
(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)
スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %System%\mumu.exe
- Admin$\system32\mumu.exe
- Admin$\Winnt\MUMU.EXE
(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)
他のシステム変更
スパイウェアは、インストールの過程で、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\mumu
{first 3 octet of the machine's IP address} = "{random hex}"
スパイウェアは、インストールの過程で、以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\mumu