Trend Micro Security

VBS_DLOADR.YYSVC

2018年1月16日
 解析者: Nikko Tamana   

 別名:

VBS/DwnLdr-UZE (Sophos)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染確認数:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


マルウェアは、「Registry Shell Spawning」という手法で特定のレジストリキーまたはレジストリ値を変更します。これにより、他のアプリケーションが実行されると、このマルウェアも自動実行されます。

マルウェアは、Internet Explorer(IE)のセキュリティ設定を変更します。これにより、マルウェアは、悪意のあるWebサイトへのアクセスが可能になり、感染コンピュータはさらなる脅威にさらされることとなります。


  詳細

ファイルサイズ 134,210 bytes
タイプ VBS
発見日 2018年1月9日

インストール

マルウェアは、以下のファイルを作成します。

  • %ProgramData%\{random letters}\System
  • %ProgramData%\{random numbers}.exe

(註:%ProgramData%フォルダは、Windows Vista および 7 の場合、通常、"C:\ProgramData"、Windows 2000、XP (32ビット)、Server 2003 の場合、"C:\Program Files"、Windows XP (64ビット) の場合、"C:\Program Files (x86)" です。)

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %ProgramData%\{random letters}\{random letters}.vbs

(註:%ProgramData%フォルダは、Windows Vista および 7 の場合、通常、"C:\ProgramData"、Windows 2000、XP (32ビット)、Server 2003 の場合、"C:\Program Files"、Windows XP (64ビット) の場合、"C:\Program Files (x86)" です。)

自動実行方法

マルウェアは、作成されたコンポーネントがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKCU\Software\Microsoft\
Windows\CurrentVersion\Run
ChromeUpdater = %ProgramData%\{random numbers}.exe

マルウェアは、「Registry Shell Spawning」という手法で以下のレジストリキーまたはレジストリ値を変更します。これにより、特定のファイル形式のファイルが開かれると、このマルウェアも自動実行されます。

HKLM\SOFTWARE\Classes\
{random letters}\shell\open\
command
{Default} = "%ProgramData%\{random letters}\System" "%ProgramData%\{random letters}\{random letters}.vbs" "%1 %2 %3 %4 %5 %6 %7 %8 %9"

HKLM\SOFTWARE\Classes\
{random letters}\shell\runas\
command
{Default} = "%ProgramData%\{random letters}\System" "%ProgramData%\{random letters}\{random letters}.vbs" "%1 %2 %3 %4 %5 %6 %7 %8 %9"

HKLM\SOFTWARE\Classes\
{random letters}\shell\runas
HasLUAShield = {Default}

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKLM\SOFTWARE\Classes\
{random letters}

HKLM\SOFTWARE\Classes\
{random letters}\shell

HKLM\SOFTWARE\Classes\
{random letters}\shell\open

HKLM\SOFTWARE\Classes\
{random letters}\shell\open\
command

HKLM\SOFTWARE\Classes\
{random letters}\shell\runas

HKLM\SOFTWARE\Classes\
{random letters}\shell\runas\
command

HKLM\SOFTWARE\Classes\
{random letters}\DefaultIcon

HKLM\SOFTWARE\Classes\
.

HKCU\Software\Vaalberit

マルウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKLM\SOFTWARE\Classes\
{random letters}\DefaultIcon
{Default} = %1

HKCU\Software\Vaalberit
black = !TEST.EXE!

HKCU\Software
Vaalberit = {random letters}

HKLM\SOFTWARE\Classes\
.exe
{Default} = {random letters}

HKLM\SOFTWARE\Classes\
.
{Default} = exefile

HKCU\Software\Vaalberit
black = 0!0

Webブラウザのホームページおよび検索ページの変更

マルウェアは、IEのゾーン設定を変更します。

ダウンロード活動

マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。

  • %ProgramData%\{random letters}\{random alphanumeric characters}.exe

(註:%ProgramData%フォルダは、Windows Vista および 7 の場合、通常、"C:\ProgramData"、Windows 2000、XP (32ビット)、Server 2003 の場合、"C:\Program Files"、Windows XP (64ビット) の場合、"C:\Program Files (x86)" です。)

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

  • http://54.36{BLOCKED}75//////////ars//////gate.php?os={OS version}&user={Username}&av={installed AV product}&fw={Disk space, Processor, Video card installed}&hwid={Hardware ID}
  • http://54.36{BLOCKED}75//////////ars//////gateb.php?