Trend Micro Security

TSPY_TRAVNET.AA

2013年9月7日
 解析者: Nikko Tamana   
 別名:

Mal/Travnet-A (Sophos), TrojanSpy:Win32/Travnet.B (Microsoft)

 プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 危険度:
 感染確認数:
 システムへの影響:
 情報漏えい:


  • マルウェアタイプ: スパイウェア
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 102,400 bytes
タイプ EXE
発見日 2013年4月26日

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、以下のファイルを作成します。

  • %Application Data%\Adobe\enumfs.ini
  • %Application Data%\Adobe\netmgr.dll
  • %Application Data%\Adobe\netmgr.exe
  • %Application Data%\Adobe\perf2012.ini
  • %Application Data%\Adobe\sysinfo2012.dll
  • %Application Data%\Microsoft\Protect\S-1-5-21-1614895754-436374069-682003330-1003\41e46acf-c7ae-41e9-bdb7-e5e862b59bfb

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。)

自動実行方法

スパイウェアは、Windows起動時に自動実行されるよう<スタートアップ>フォルダ内に以下のファイルを作成します。

  • %User Startup%\netmgr.lnk

(註:%User Startup%フォルダは、Windows 98 および ME の場合、通常、"C:\Windows\Profiles\<ユーザ名>\Start Menu\Programs\Startup"、Windows NT の場合、"C:\WINNT\Profiles\<ユーザ名>\Start Menu\Programs\Startup" および "C:\Documents and Settings\<ユーザ名>\Start Menu\Programs\Startup" です。)

その他

スパイウェアは、以下の不正なWebサイトにアクセスします。

  • fortnews43.{BLOCKED}ns.net