PUA.Win32.SoftCNApp.CZ

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

侵入方法

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

プログラムは、以下のフォルダを追加します。

• %AppDataLocal%\TTPlayer
• %Program Files%\TTPlayer
• %Program Files%\TTPlayer\AddIn
• %Program Files%\Baidu

(註：%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local" です。. %Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。C:\Program Files in Windows 2000(32-bit)、Server 2003(32-bit)、XP、Vista(64-bit)、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)、8.1(64-bit)、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files（x86）" です。)

プログラムは、以下のファイルを作成します。

• %User Temp%\nsn912A.tmp
• %User Temp%\nsn912B.tmp\System.dll
• %User Temp%\nsn912B.tmp\nsSkinEngine.dll
• %User Temp%\TTPlayer.exe
• %User Temp%\nsn912B.tmp\nsTTHelper.dll
• %User Temp%\BaiduASBarSilent.exe
• %User Temp%\BaiduBarSilent.exe
• %User Temp%\hao123inst.exe
• %User Temp%\nsn912B.tmp\inetc.dll
• %AppDataLocal%\TTPlayer\Light.png
• %AppDataLocal%\TTPlayer\ProgressShallow.png
• %AppDataLocal%\TTPlayer\ProgressSolid.png
• %AppDataLocal%\TTPlayer\backgroud.png
• %AppDataLocal%\TTPlayer\bottom.png
• %AppDataLocal%\TTPlayer\btn_agree.png
• %AppDataLocal%\TTPlayer\btn_cancel2.png
• %AppDataLocal%\TTPlayer\btn_changedir.png
• %AppDataLocal%\TTPlayer\cancel.png
• %AppDataLocal%\TTPlayer\close.png
• %AppDataLocal%\TTPlayer\cover.png
• %AppDataLocal%\TTPlayer\exclamation.png
• %AppDataLocal%\TTPlayer\finish.png
• %AppDataLocal%\TTPlayer\install.png
• %AppDataLocal%\TTPlayer\logo.png
• %AppDataLocal%\TTPlayer\minimize.png
• %AppDataLocal%\TTPlayer\multiselect.png
• %AppDataLocal%\TTPlayer\nav01.png
• %AppDataLocal%\TTPlayer\nav02.png
• %AppDataLocal%\TTPlayer\nav03.png
• %AppDataLocal%\TTPlayer\nav04.png
• %AppDataLocal%\TTPlayer\nav05.png
• %AppDataLocal%\TTPlayer\next.png
• %AppDataLocal%\TTPlayer\popup.png
• %AppDataLocal%\TTPlayer\prev.png
• %AppDataLocal%\TTPlayer\rotate1.png
• %AppDataLocal%\TTPlayer\rotate2.png
• %AppDataLocal%\TTPlayer\splitter.png
• %AppDataLocal%\TTPlayer\title.png
• %AppDataLocal%\TTPlayer\uninstall_face.png
• %AppDataLocal%\TTPlayer\uninstall_face01.png
• %AppDataLocal%\TTPlayer\Licence.txt
• %AppDataLocal%\TTPlayer\skin.txt
• %AppDataLocal%\TTPlayer\unskin.txt
• %AppDataLocal%\TTPlayer\app.ico
• %AppDataLocal%\TTPlayer\setup.ico
• %AppDataLocal%\TTPlayer\uninstall.ico
• %Program Files%\TTPlayer\autoupdate.ini
• %Program Files%\TTPlayer\FAQ.txt
• %Program Files%\TTPlayer\Update.txt
• %Program Files%\TTPlayer\updatebanner.bmp
• %Program Files%\TTPlayer\update.ico
• %Program Files%\TTPlayer\NetworkConfig.xml
• %Program Files%\TTPlayer\TTPlayer.exe
• %Program Files%\TTPlayer\ttpsvr.exe
• %Program Files%\TTPlayer\bdupdate.exe
• %Program Files%\TTPlayer\bdaucommon.dll
• %Program Files%\TTPlayer\ttpres.dll
• %Program Files%\TTPlayer\ttpcomm.dll
• %Program Files%\TTPlayer\BaiduMusicCtrl.dll
• %Program Files%\TTPlayer\MHttp.dll
• %Program Files%\TTPlayer\MLocalData.dll
• %Program Files%\TTPlayer\MNet.dll
• %Program Files%\TTPlayer\mp3PRO.dll
• %Program Files%\TTPlayer\msvcp100.dll
• %Program Files%\TTPlayer\msvcr100.dll
• %Program Files%\TTPlayer\MUpDownload.dll
• %Program Files%\TTPlayer\netacc.dll
• %Program Files%\TTPlayer\tak_deco_lib.dll
• %Program Files%\TTPlayer\AddIn\ttp_aac.dll
• %Program Files%\TTPlayer\AddIn\ttp_ac3dts.dll
• %Program Files%\TTPlayer\AddIn\ttp_ape.dll
• %Program Files%\TTPlayer\AddIn\ttp_asf.dll
• %Program Files%\TTPlayer\AddIn\ttp_clienc.dll
• %Program Files%\TTPlayer\AddIn\ttp_enc.dll
• %Program Files%\TTPlayer\AddIn\ttp_flac.dll
• %Program Files%\TTPlayer\AddIn\ttp_lrcsh.dll
• %Program Files%\TTPlayer\AddIn\ttp_mod.dll
• %Program Files%\TTPlayer\AddIn\ttp_mpc.dll
• %Program Files%\TTPlayer\AddIn\ttp_ogg.dll
• %Program Files%\TTPlayer\AddIn\ttp_rm.dll
• %Program Files%\TTPlayer\AddIn\ttp_tak.dll
• %Program Files%\TTPlayer\Skin\Let's Seven.skn
• %Program Files%\TTPlayer\Skin\PurpleMyth.skn
• %Program Files%\TTPlayer\Skin\TTP Classic.skn
• %Program Files%\TTPlayer\Skin\Thebes.skn
• %Program Files%\TTPlayer\Skin\WMP10.skn
• %Program Files%\TTPlayer\Skin\Winamp Modern.skn
• %Program Files%\TTPlayer\Skin\orange.skn
• %Program Files%\Baidu\bdsyn\1.0.5.0\BaiduApkCtrl.dll
• %Program Files%\Baidu\bdsyn\1.0.5.0\Uninst.exe
• %Program Files%\Baidu\bdsyn\1.0.5.0\apkprocess.exe
• %Program Files%\Baidu\bdsyn\1.0.5.0\autoupdate.ini
• %Program Files%\Baidu\bdsyn\1.0.5.0\bdaucommon.dll
• %Program Files%\Baidu\bdsyn\1.0.5.0\bdupdate.exe
• %Program Files%\Baidu\bdsyn\1.0.5.0\APKMgr\AdbWinApi.dll
• %Program Files%\Baidu\bdsyn\1.0.5.0\APKMgr\AdbWinUsbApi.dll
• %Program Files%\Baidu\bdsyn\1.0.5.0\APKMgr\ApkMgr.dll
• %Program Files%\Baidu\bdsyn\1.0.5.0\APKMgr\aapt.exe
• %Program Files%\Baidu\bdsyn\1.0.5.0\APKMgr\dummyInstall.txt
• %Program Files%\Baidu\bdsyn\1.0.5.0\APKMgr\ttpdaemon.exe
• %Program Files%\Baidu\bdsyn\1.0.5.0\APKMgr\ttpdev32.exe
• %Program Files%\Baidu\bdsyn\1.0.5.0\APKMgr\ttpdev64_amd.exe
• %Program Files%\Baidu\bdsyn\1.0.5.0\APKMgr\ttpdev64_ia.exe
• %Program Files%\TTPlayer\Uninst.exe
• %AppDataLocal%\TTPlayer\ThirdPartConfig.xml
• %Desktop%\千千靜聽百度音樂版.lnk
• %Application Data%\Microsoft\Internet Explorer\Quick Launch\千千靜聽（百度音樂版）.lnk
• %User Temp%\bdg139.tmp
• %Application Data%\Mozilla\Firefox\Profiles\dxxbjsgn.default\prefs2.js
• %Application Data%\baidu\hao123\hao123.1.0.0.1096.exe
• %Common Programs%\千千靜聽（百度音樂版）\千千靜聽（百度音樂版）.lnk
• %Common Programs%\千千靜聽（百度音樂版）\卸載千千靜聽（百度音樂版）.lnk
• %User Temp%\nsc243.tmp
• %Program Files%\Baidu\AddressBar.dll
• %User Temp%\nsx61A.tmp
• %Program Files%\Baidu\Toolbar\BaiduBarX_Tmp\BaiduBarX.dll
• %Desktop%\hao123.lnk
• %Common Programs%\台灣hao123桌面版\hao123.lnk
• %Common Programs%\台灣hao123桌面版\解除安裝hao123.lnk
• %Application Data%\Microsoft\Internet Explorer\Quick Launch\hao123.lnk
• %Program Files%\Baidu\conf.xml
• %Program Files%\Baidu\ASBarBroker.exe
• %All Users Profile%\Baidu\ttplayercht\AutoUpdate\updatelog\autoupdate_20250806104407_2320.log
• %Program Files%\Baidu\BaiduUpdate\bdupdate.exe
• %Program Files%\Baidu\BaiduUpdate\bdaucommon.dll
• %Program Files%\Baidu\Toolbar\BaiduBarX_Tmp\rc.dll
• sers\dyituser_732\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\hao123.lnk
• %Program Files%\Baidu\Toolbar\BaiduBarX_Tmp\BarBroker.exe
• \AppData\Local\Temp\BaiduBarSilent.execreate
• %Program Files%\Baidu\Toolbar\BaiduBarX.dll
• %Program Files%\Baidu\Toolbar\BarBroker.exe
• %Program Files%\Baidu\Toolbar\rc.dll
• %Common Programs%\百度工具栏\屏蔽列表.url
• %Common Programs%\百度工具栏\伴侣导航.url
• %Common Programs%\百度工具栏\帮助指南.url
• %Common Programs%\百度工具栏\广告拦截.url
• %Common Programs%\百度工具栏\垃圾清理.url
• %Common Programs%\百度工具栏\修复功能.url
• %Common Programs%\百度工具栏\隐私保护.url
• %Common Programs%\百度工具栏\个性化首页.url
• %Common Programs%\百度工具栏\自定义按钮.url
• %Common Programs%\百度工具栏\卸载百度工具栏.lnk
• %Common Programs%\Startup\千千靜聽（百度音樂版）.lnk
• %AppDataLocal%\TTPlayer\feedback
• %Program Files%\TTPlayer\dummyInstall.txt

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。. %AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local" です。. %Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。C:\Program Files in Windows 2000(32-bit)、Server 2003(32-bit)、XP、Vista(64-bit)、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)、8.1(64-bit)、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files（x86）" です。. %Desktop%フォルダは、現在ログオンしているユーザのデスクトップです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Desktop" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\Desktop" です。. %Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。. %Common Programs%フォルダは、共通プログラムグループが含まれるフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\All Users\Start Menu\Programs" です。また、Windows Vista、7、8の場合、通常 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs" です。. %All Users Profile%フォルダは、ユーザの共通プロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\All Users” です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData” です。)

プログラムは、以下のプロセスを追加します。

• %User Temp%\BaiduBarSilent.exe -TN=44059078_cb
• %User Temp%\BaiduASBarSilent.exe -TN=44059078_adr
• %User Temp%\hao123inst.exe tn=44059078_2_hao_pg
• %Program Files%\TTPlayer\bdupdate.exe" --installgau
• %User Temp%\hao123inst.exenew processfirst_exec_from_inst
• %User Temp%\BaiduBarSilent.exenew process"%Program Files%\Baidu\Toolbar\BarBroker.exe" -RegServer

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。. %Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。C:\Program Files in Windows 2000(32-bit)、Server 2003(32-bit)、XP、Vista(64-bit)、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)、8.1(64-bit)、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files（x86）" です。)

他のシステム変更

プログラムは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Baidu\
TTPlayer
oemid = 44059078

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Baidu.ApkCtrl.1

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Baidu.ApkCtrl.1\CLSID

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Baidu.ApkCtrl

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Baidu.ApkCtrl\CurVer

その他

プログラムは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Baid

HKEY_CURRENT_USER\Software\Baidu\
TTPlayer

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Baidu.ApkCtrl.1

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Baidu.ApkCtrl.1\CLSID

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Baidu.ApkCtrl

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Baidu.ApkCtrl\CurVer

プログラムは、以下の不正なWebサイトにアクセスします。

• http://{BLOCKED}anmini.baidu.com/app/passport/passport_phoenix.html
• http://{BLOCKED}k.qianqian.com/poprecommend/pop.php?ver=7.1.0&ci=18646d5527585a5c264444141c464808425e5353011d01&oemid=44059078
• http://{BLOCKED}k.qianqian.com/packs.html?id=44059078&ver=458752&cht=0&shownum=3
• http://{BLOCKED}nt.baidu.com/hao123/desk/tw/update-tw?ver=1096.0.0.2.1:ggMAAAAAAQAAAEe450wAAKgA++WbO-FSMUeHn0uJgfsmQgIAAAAjuudMAGATADdVvqXR8GZMlhMQgRmocuUCAAAA87jnTABwWwB2oQGMmH0wSI1Lr98OvrdFAgAAAN2550wA4AIApWb+EsP7y0aj+4XZCo92qQIAAAAA&ver4=MAA=&ver5=OGMyNzQ5ZDA3OTE0OTg4ZWQ4MzAyNTg1ZTk2NWJlNzMA
• http://{BLOCKED}anqian.com/dll/ttp_ver.asp?ver=7.1.0.0718&id=44059078&ci=18646d5527585a5c264444141c464808425e5353011d01&skn=5454506C617965725F3630&ska=5454706C61796572&fst=1&hp=0&lrc=0&TTPSvr=1
• http://{BLOCKED}nc.qianqian.com/dll/ttp_ver.asp?ver=7.1.0.0718&id=44059078&ci=18646d5527585a5c264444141c464808425e5353011d01&skn=5454506C617965725F3630&ska=5454706C61796572&fst=1&hp=0&lrc=0&TTPSvr=1
• http://{BLOCKED}t.qianqian.com/dll/ttp_ver.asp?ver=7.1.0.0718&id=44059078&ci=18646d5527585a5c264444141c464808425e5353011d01&skn=5454506C617965725F3630&ska=5454706C61796572&fst=1&hp=0&lrc=0&TTPSvr=1
• http://{BLOCKED}t2.qianqian.com/dll/ttp_ver.asp?ver=7.1.0.0718&id=44059078&ci=18646d5527585a5c264444141c464808425e5353011d01&skn=5454506C617965725F3630&ska=5454706C61796572&fst=1&hp=0&lrc=0&TTPSvr=1