Trend Micro Security

W2KM_UPATRE.A

2015年10月9日
 解析者: Mar Philip Elaurza   
 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 95,744 bytes
タイプ DOC
発見日 2015年10月9日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、異なるファイル名を用いて以下のフォルダ内に自身のコピーを作成します。

  • %Temp%\287.rtf
  • %Temp%\288.rtf
  • %Temp%\w12.exe

(註:%Temp%フォルダは、一時的にファイルが保存されるフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Windows\Temp" です。.)

その他

マルウェアは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。

  • http://icanhazip.com

マルウェアは、以下の不正なWebサイトにアクセスします。

  • http://{BLOCKED}.{BLOCKED}.11.51:443/limto1.tar
  • http://{BLOCKED}.{BLOCKED}.203.43:443/limto1.tar
  • http://{BLOCKED}.{BLOCKED}.49.11:443/limto1.tar
  • http://{BLOCKED}.{BLOCKED}.247.74:443/limto1.tar
  • http://{BLOCKED}.{BLOCKED}.31.6:443/limto1.tar
  • http://{BLOCKED}.{BLOCKED}.117.66:443/limto1.tar
  • http://{BLOCKED}.{BLOCKED}.64.160:443/limto1.tar
  • http://{BLOCKED}.{BLOCKED}.203.154:443/limto1.tar
  • http://{BLOCKED}.{BLOCKED}.93.231:443/limto1.tar
  • http://{BLOCKED}.{BLOCKED}.122.150:443/limto1.tar
  • http://{BLOCKED}.{BLOCKED}.163.46:443/limto1.tar
  • http://{BLOCKED}.{BLOCKED}.164.10:443/limto1.tar
  • http://{BLOCKED}.{BLOCKED}.199.21:443/limto1.tar
  • http://{BLOCKED}.{BLOCKED}.51.92:443/limto1.tar
  • http://{BLOCKED}.{BLOCKED}.56.83:443/limto1.tar
  • http://{BLOCKED}.{BLOCKED}.89.57:443/limto1.tar
  • http://{BLOCKED}.{BLOCKED}.57.155:443/limto1.tar
  • http://{BLOCKED}.{BLOCKED}.197.50:443/limto1.tar
  • http://{BLOCKED}.{BLOCKED}.68.78:443/limto1.tar
  • http://{BLOCKED}.{BLOCKED}.123.130:443/limto1.tar
  • http://{BLOCKED}.{BLOCKED}.138.154:443/limto1.tar
  • http://{BLOCKED}.{BLOCKED}.217.188:443/limto1.tar
  • http://{BLOCKED}.{BLOCKED}.131.116:443/limto1.tar
  • http://{BLOCKED}.{BLOCKED}.20.53:443/limto1.tar
  • http://{BLOCKED}.{BLOCKED}.144.177:443/limto1.tar
  • http://{BLOCKED}.{BLOCKED}.159.18:443/limto1.tar
  • http://{BLOCKED}.{BLOCKED}.13.21:443/limto1.tar
  • http://{BLOCKED}.{BLOCKED}.252.207:443/limto1.tar
  • http://{BLOCKED}.{BLOCKED}.135.178:443/limto1.tar
  • http://{BLOCKED}.{BLOCKED}.201.105:443/limto1.tar
  • http://{BLOCKED}.{BLOCKED}.201.61:443/limto1.tar
  • http://{BLOCKED}.{BLOCKED}.242.203:443/limto1.tar
  • http://{BLOCKED}.{BLOCKED}.171.44:443/limto1.tar
  • http://{BLOCKED}.{BLOCKED}.204.114:443/limto1.tar
  • http://{BLOCKED}.{BLOCKED}.82.80:443/limto1.tar
  • http://{BLOCKED}.{BLOCKED}.101.67:443/limto1.tar
  • http://{BLOCKED}.{BLOCKED}.233.105:443/limto1.tar
  • http://{BLOCKED}.{BLOCKED}.76.211:443/limto1.tar
  • http://{BLOCKED}.{BLOCKED}.64.45:443/limto1.tar
  • http://{BLOCKED}.{BLOCKED}.144.37:443/limto1.tar
  • http://{BLOCKED}.{BLOCKED}.65.67:443/limto1.tar
  • http://{BLOCKED}.{BLOCKED}.168.205:443/limto1.tar
  • http://{BLOCKED}.{BLOCKED}.236.122:443/limto1.tar
  • http://{BLOCKED}.{BLOCKED}.236.148:443/limto1.tar
  • http://{BLOCKED}.{BLOCKED}.20.189:443/limto1.tar
  • http://{BLOCKED}.{BLOCKED}.172.232:443/limto1.tar
  • http://{BLOCKED}.{BLOCKED}.155.22:443/limto1.tar
  • http://{BLOCKED}.{BLOCKED}.82.239:443/limto1.tar
  • http://{BLOCKED}.{BLOCKED}.82.66:443/limto1.tar