BKDR_MATSNU.A

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェア マルウェアは、自身（コンピュータに侵入して最初に自身のコピーを作成した マルウェア ）を削除します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

• %User Temp%\{random file name 2}.{random extension}
• %User Temp%\{random folder name}\{random file name 1}.exe

(註：%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

マルウェアは、以下のプロセスにコードを組み込みます。

• svchost.exe
• ctfmon.exe
• explorer.exe

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random name} = "%User Temp%\{random folder name}\{random file name 1}.exe"

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

• http://{BLOCKED}tory.net/UTP402HEAD.php
• http://{BLOCKED}bspace-apo.com/user-057708/forum.php
• http://{BLOCKED}sx.com/a.php
• http://{BLOCKED}z.com/a.php
• http://{BLOCKED}rz.com/a.php
• http://{BLOCKED}ppf.com/a.php
• http://{BLOCKED}ieg.com/a.php
• http://{BLOCKED}kiu.com/odriw0/forum.php
• http://{BLOCKED}w.com/a.php
• http://{BLOCKED}sje.com/a.php
• http://{BLOCKED}sxf.com/UTP402HEAD.php
• http://{BLOCKED}z.com/UTP402HEAD.php
• http://{BLOCKED}xrz.com/UTP402HEAD.php
• http://{BLOCKED}hppf.com/UTP402HEAD.php
• http://{BLOCKED}wieg.com/UTP402HEAD.php
• http://{BLOCKED}vw.com/UTP402HEAD.php
• http://{BLOCKED}vsje.com/UTP402HEAD.php
• http://{BLOCKED}oum.com/typo3.php
• http://{BLOCKED}tory.net/UTP402HEAD.php
• http://{BLOCKED}tory.net/forum.php
• http://{BLOCKED}olderx.net/UTP402HEAD.php
• http://{BLOCKED}olderxx.com/a.php
• http://{BLOCKED}neh.com/incoming.php

マルウェア は、自身（コンピュータに侵入して最初に自身のコピーを作成した マルウェア ）を削除します。