HackTool.MSIL.SharpStay.A

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

プログラムは、ワーム活動の機能を備えていません。

プログラムは、バックドア活動の機能を備えていません。

プログラムは、情報収集する機能を備えていません。

侵入方法

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

感染活動

プログラムは、ワーム活動の機能を備えていません。

バックドア活動

プログラムは、バックドア活動の機能を備えていません。

ルートキット機能

プログラムは、ルートキット機能を備えていません。

情報漏えい

プログラムは、情報収集する機能を備えていません。

その他

マルウェアは、以下のパラメータを受け取ります。

• [action=ElevatedRegistryKey] [keyname={name of the key}] [keypath={Registry Key Path}] [command={Registry value}] → Adds a registry key that requires elevated privileges.
• [action=UserRegistryKey] [keyname={name of the key}] [keypath={Registry Key Path}] [command={Registry value}] → Adds a registry key for the current user.
• [action=UserInitMprLogonScriptKey] [command={File Path}] → Sets a logon script.
• [action=ElevatedUserInitKey] [command={File Path}] → Sets a logon script that requires elevated privileges.
• [action=ScheduledTask] [taskname={Task Name}] [command={File Path}] [runasuser={username}] [triggertype=logon] [author={author}] [description={description}] [logonuser={username}] → Creates a scheduled task.
• [action=ScheduledTaskAction] [taskname={Task Name}] [command={File Path}] [folder={directory}] [actionid={actionid}] → Adds an action to an existing scheduled task.
• [action=SchTaskCOMHijack] [clsid={CLSID}] [dllpath={DLL file path}] → Hijacks a COM handler for a scheduled task.
• [action=CreateService] [servicename={Service Name}] [command={File Path}] → Creates a new service.
• [action=WMIEventSub] [command={File Path}] [eventname={Event Name}] [attime=startup] → Sets up a WMI event.
• [action=JunctionFolder] [dllpath={DLL file path}] [guid={GUID}] → Creates a junction folder.
• [action=NewLNK] [filepath={File Path}] [lnkname={LNK File Name}] [lnktarget={File Path}] [lnkicon={Icon File Path}] → Creates a new shortcut (LNK file).
• [action=BackdoorLNK] [command={File Path}] [lnkpath={File Path}] → Creates a backdoor shortcut.
• action=ListTaskNames → Lists the names of scheduled tasks.
• action=ListScheduledTasks → Lists all scheduled tasks.
• action=ListRunningServices → Lists all running services.
• action=GetScheduledTaskCOMHandler → Retrieves COM handlers for scheduled tasks.

プログラムは、脆弱性を利用した感染活動を行いません。

<補足>

プログラムは、以下のパラメータを受け取ります。

• [action=ElevatedRegistryKey] [keyname={キー名}] [keypath={レジストリキーのパス}] [command={レジストリ値}] → 昇格された権限を必要とするレジストリキーを追加する
• [action=UserRegistryKey] [keyname={キー名}] [keypath={レジストリキーのパス}] [command={レジストリ値}] → 現在ログオンしているユーザに対するレジストリキーを追加する
• [action=UserInitMprLogonScriptKey] [command={ファイルパス] → ログオンスクリプトを設定する
• [action=ElevatedUserInitKey] [command={ファイルパス] → 昇格された権限を必要とするログオンスクリプトを設定する
• [action=ScheduledTask] [taskname={タスク名}] [command={ファイルパス] [runasuser={ユーザ名}] [triggertype=logon] [author={作成者}] [description={説明}] [logonuser={ユーザ名}] → スケジュールされたタスクを作成する
• [action=ScheduledTaskAction] [taskname={タスク名}] [command={ファイルパス] [folder={ディレクトリ}] [actionid={アクションID}] → 既存のスケジュールされたタスクにアクションを追加する
• [action=SchTaskCOMHijack] [clsid={CLSID}] [dllpath={DLLファイルのパス] → スケジュールされたタスクに対するCOMハンドラをハイジャックする
• [action=CreateService] [servicename={サービス名}] [command={ファイルパス] → 新たなサービスを作成する
• [action=WMIEventSub] [command={ファイルパス] [eventname={イベント名}] [attime=startup] → WMIイベントを設定する
• [action=JunctionFolder] [dllpath={DLLファイルのパス] [guid={GUID}] → ジャンクションフォルダを作成する
• [action=NewLNK] [filepath={ファイルパス] [lnkname={LNKファイルの名前}] [lnktarget={ファイルパス] [lnkicon={Iconファイルのパス] → 新しいショートカット（LNKファイル）を作成する
• [action=BackdoorLNK] [command={ファイルパス] [lnkpath={ファイルパス] → バックドアのショートカットを作成する
• action=ListTaskNames → スケジュールされたタスクの名前を一覧表示する
• action=ListScheduledTasks → スケジュールされたすべてのタスクを一覧表示しする
• action=ListRunningServices → 実行中のすべてのサービスを一覧表示する
• action=GetScheduledTaskCOMHandler → スケジュールされたタスクに対するCOMハンドラを取得する