TSPY_NOON.JKS
Win32.Trojan-spy.Noon.Hufq (Tencent), Troj.Spy.W32.Noon!c (AegisLab)
Windows
- マルウェアタイプ: スパイウェア/情報窃取型
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
スパイウェアは、以下のファイルを作成します。
- %Application Data%\468-5O42\468log.ini
- %Application Data%\468-5O42\468logim.jpeg
- %Application Data%\468-5O42\468logrf.ini
- %Application Data%\468-5O42\468logri.ini
- %Application Data%\468-5O42\468logrv.ini
(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.)
スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %Program Files%\{random folder name}\{random filename}.exe
(註:%Program Files%フォルダは、プログラムファイルのフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Program Files"、64bitのOS上で32bitのアプリケーションを実行している場合、 "C:\Program Files (x86)" です。.)
スパイウェアは、以下のフォルダを作成します。
- %Program Files%\{random folder name}
- %Application Data%\468-5O42
(註:%Program Files%フォルダは、プログラムファイルのフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Program Files"、64bitのOS上で32bitのアプリケーションを実行している場合、 "C:\Program Files (x86)" です。.. %Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.)
その他
スパイウェアは、以下の不正なWebサイトにアクセスします。
- http://www.{BLOCKED}ngpros.com/po
- http://www.{BLOCKED}schmidt.com/po
- http://www.{BLOCKED}imes.com/po
- http://www.{BLOCKED}s.com/po
- http://www.{BLOCKED}valenorth.net/po
- http://www.{BLOCKED}ay.com/po
- http://www.{BLOCKED}tybinges.com/po
- http://www.{BLOCKED}tenews.com/po
- http://www.{BLOCKED}althinsurancepro.com/po
- http://www.{BLOCKED}rutour-pangandaran.com/po
- http://www.{BLOCKED}sterbooster.com/po
- http://www.{BLOCKED}esbeauty.info/po
- http://www.{BLOCKED}88.com/po