LICAT

「LICAT」は、「ZEUS」の不正活動を展開するファイル感染型ウイルスです。このウイルスは、2010年の第4四半期中に確認され、拡張子EXEのファイルに感染することにより拡散します。最近では、スパムメールを介して拡散した亜種も確認されました。

「LICAT」ファミリの注目すべき不正活動の1つに、「CONFICKER」の不正活動として知られる、現在の協定世界時(UTC)　に基づいたドメイン名の生成があります。

インストール

ウイルスは、以下のファイルを作成します。

• %Application Data%\{random2}\{random}.{3 random alpha character extension name}
• %User Temp%\{random}.TMP

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。. %User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

ウイルスは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %Application Data%\{random1}\{random}.exe

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

ウイルスは、以下のフォルダを作成します。

• %Application Data%\{random1}
• %Application Data%\{random2}

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

自動実行方法

ウイルスは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{GUID} = "%Application Data%\{random1}\{random}.exe"

他のシステム変更

ウイルスは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
{random}

その他

ウイルスは、以下の不正なWebサイトにアクセスします。

• http://{pseudorandom alpha characters}.biz/forum/
• http://{pseudorandom alpha characters}.org/forum/
• http://{pseudorandom alpha characters}.info/forum/
• http://{pseudorandom alpha characters}.net/forum/
• http://{pseudorandom alpha characters}.com/forum/