JAVA_EXPLOYT.YYS

マルウェアは、Webサイトに組み込まれており、ユーザがアクセスすると実行されます。

侵入方法

マルウェアは、Webサイトに組み込まれており、ユーザがアクセスすると実行されます。

ダウンロード活動

マルウェアは、以下のソフトウェアに存在する脆弱性を利用して感染活動をします。これにより、不正ファイルがダウンロードされます。

• Oracle Java SE Remote Java Runtime Environment Vulnerability (CVE-2012-0507)

マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。

• %User Temp%\{random file name 1}.tmp
• %User Temp%\{random file name 2}.tmp

(註：%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

マルウェアは、特定のWebサイトから不正なファイルをダウンロードします。マルウェアがアクセスするWebサイトは、このマルウェアのコンポーネントから取得する以下のパラメータにより決まります。

• data
• jar
• lhost
• lport

その他

このマルウェアは、ダウンロードした2つのファイルを以下の名前で1つのファイルに結合します。

• %User Temp%\{random file name 3}.cpl

このマルウェアは、以下のコマンドを含むバッチファイル "%User Temp%\{random file name 3}.bat" を作成することで上記の結合を行います。

copy "%User Temp%\{random file name 1}.tmp" /b + "%User Temp%\{random file name 2}.tmp" %User Temp%\{random file name 4}.cpl /y"

このマルウェアは、Windowsのタスクスケジューラを用いて、"{random file name 3}.bat" および "{random file name 4}.cpl" の「スケジュールされたタスク」を作成します。このタスクにおいて、"{random file name 3}.bat" は、「JAVA_EXPLOYT.YYS」が実行されてから10分後に一度実行されます。また、"{random file name 4}.cpl"は、「JAVA_EXPLOYT.YYS」が実行されてから11分後に一度実行されます。