VBS_DLOADR.YYSVC
VBS/DwnLdr-UZE (Sophos)
Windows
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
マルウェアは、「Registry Shell Spawning」という手法で特定のレジストリキーまたはレジストリ値を変更します。これにより、他のアプリケーションが実行されると、このマルウェアも自動実行されます。
マルウェアは、Internet Explorer(IE)のセキュリティ設定を変更します。これにより、マルウェアは、悪意のあるWebサイトへのアクセスが可能になり、感染コンピュータはさらなる脅威にさらされることとなります。
詳細
インストール
マルウェアは、以下のファイルを作成します。
- %ProgramData%\{random letters}\System
- %ProgramData%\{random numbers}.exe
(註:%ProgramData%フォルダは、Windows Vista および 7 の場合、通常、"C:\ProgramData"、Windows 2000、XP (32ビット)、Server 2003 の場合、"C:\Program Files"、Windows XP (64ビット) の場合、"C:\Program Files (x86)" です。)
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %ProgramData%\{random letters}\{random letters}.vbs
(註:%ProgramData%フォルダは、Windows Vista および 7 の場合、通常、"C:\ProgramData"、Windows 2000、XP (32ビット)、Server 2003 の場合、"C:\Program Files"、Windows XP (64ビット) の場合、"C:\Program Files (x86)" です。)
自動実行方法
マルウェアは、作成されたコンポーネントがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKCU\Software\Microsoft\
Windows\CurrentVersion\Run
ChromeUpdater = %ProgramData%\{random numbers}.exe
マルウェアは、「Registry Shell Spawning」という手法で以下のレジストリキーまたはレジストリ値を変更します。これにより、特定のファイル形式のファイルが開かれると、このマルウェアも自動実行されます。
HKLM\SOFTWARE\Classes\
{random letters}\shell\open\
command
{Default} = "%ProgramData%\{random letters}\System" "%ProgramData%\{random letters}\{random letters}.vbs" "%1 %2 %3 %4 %5 %6 %7 %8 %9"
HKLM\SOFTWARE\Classes\
{random letters}\shell\runas\
command
{Default} = "%ProgramData%\{random letters}\System" "%ProgramData%\{random letters}\{random letters}.vbs" "%1 %2 %3 %4 %5 %6 %7 %8 %9"
HKLM\SOFTWARE\Classes\
{random letters}\shell\runas
HasLUAShield = {Default}
他のシステム変更
マルウェアは、以下のレジストリキーを追加します。
HKLM\SOFTWARE\Classes\
{random letters}
HKLM\SOFTWARE\Classes\
{random letters}\shell
HKLM\SOFTWARE\Classes\
{random letters}\shell\open
HKLM\SOFTWARE\Classes\
{random letters}\shell\open\
command
HKLM\SOFTWARE\Classes\
{random letters}\shell\runas
HKLM\SOFTWARE\Classes\
{random letters}\shell\runas\
command
HKLM\SOFTWARE\Classes\
{random letters}\DefaultIcon
HKLM\SOFTWARE\Classes\
.
HKCU\Software\Vaalberit
マルウェアは、インストールの過程で、以下のレジストリ値を追加します。
HKLM\SOFTWARE\Classes\
{random letters}\DefaultIcon
{Default} = %1
HKCU\Software\Vaalberit
black = !TEST.EXE!
HKCU\Software
Vaalberit = {random letters}
HKLM\SOFTWARE\Classes\
.exe
{Default} = {random letters}
HKLM\SOFTWARE\Classes\
.
{Default} = exefile
HKCU\Software\Vaalberit
black = 0!0
Webブラウザのホームページおよび検索ページの変更
マルウェアは、IEのゾーン設定を変更します。
ダウンロード活動
マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。
- %ProgramData%\{random letters}\{random alphanumeric characters}.exe
(註:%ProgramData%フォルダは、Windows Vista および 7 の場合、通常、"C:\ProgramData"、Windows 2000、XP (32ビット)、Server 2003 の場合、"C:\Program Files"、Windows XP (64ビット) の場合、"C:\Program Files (x86)" です。)
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- http://54.36{BLOCKED}75//////////ars//////gate.php?os={OS version}&user={Username}&av={installed AV product}&fw={Disk space, Processor, Video card installed}&hwid={Hardware ID}
- http://54.36{BLOCKED}75//////////ars//////gateb.php?