PUA_DEXON

プログラムは、他のマルウェアまたはグレイウェアのパッケージとともにコンポーネントとして、コンピュータに侵入します。

侵入方法

プログラムは、他のマルウェアまたはグレイウェアのパッケージとともにコンポーネントとして、コンピュータに侵入します。

インストール

プログラムは、以下のファイルを作成します。

• %System%\dat\Dexon\Agent\Agent.exe
• %System%\dat\Dexon\Agent\Agent_Distrib.exe
• %System%\dat\Dexon\Agent\dexon_browser.exe
• %System%\dat\Dexon\Agent\Dial_w.exe
• %System%\dat\Dexon\Agent\DynamicService.exe
• %System%\dat\Dexon\Agent\HD_Agent.exe
• %System%\dat\Dexon\Agent\logmessages.dll
• %System%\dat\Dexon\Agent\module01.dll
• %System%\dat\Dexon\Agent\module02.dll
• %System%\dat\Dexon\Agent\module04.dll
• %System%\dat\Dexon\Agent\module05.dll
• %System%\dat\Dexon\Agent\module09.dll
• %System%\dat\dxn\{random letters}.dat
• %User Profile%\Public\Documents\dat\dxn\{random letters}.dat
• %AppDataLocal%\VirtualStore\Windows\System32\dat\dxn\{random letters}.dat

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞" です。.. %AppDataLocal%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local" です。)

プログラムは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• "%System%\dat\Dexon\Agent\dummy.exe"

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

プログラムは、以下のフォルダを作成します。

• %AppDataLocal%\VirtualStore\Windows\System32\dat\Dexon
• %AppDataLocal%\VirtualStore\Windows\System32\dat\Dexon\Agent
• %AppDataLocal%\VirtualStore\Windows\System32\dat\dxn
• %User Profile%\Public\Documents\dat\dxn
• %System%\dat\Dexon
• %System%\dat\Dexon\Agent
• %System%\dat\dxn

(註：%AppDataLocal%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local" です。. %User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞" です。.. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

自動実行方法

プログラムは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\DexonAgent
Type = "110"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\DexonAgent
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\DexonAgent
ErrorControl = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\DexonAgent
ImagePath = "%System%\dat\Dexon\Agent\dummy.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\DexonAgent
DisplayName = "DexonAgent"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\DexonAgent
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\DexonAgent
DelayedAutostart = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\DexonAgent
FailureActions = "{hex values}"

プログラムは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Dexon = "%System%\dat\Dexon\Agent\dummy.exe"

プログラムは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\DexonAgent

他のシステム変更

プログラムは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Classes\
VirtualStore\MACHINE\SOFTWARE\
Dexon

HKEY_CURRENT_USER\Software\Classes\
VirtualStore\MACHINE\SOFTWARE\
Dexon\DAT

HKEY_CURRENT_USER\Software\Classes\
VirtualStore\MACHINE\SOFTWARE\
Dexon

HKEY_CURRENT_USER\Software\Classes\
VirtualStore\MACHINE\SOFTWARE\
Dexon\DAT

プログラムは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Classes\
VirtualStore\MACHINE\SOFTWARE\
Dexon\DAT
{random letters} = {random characters}

HKEY_CURRENT_USER\Software\Classes\
VirtualStore\MACHINE\SOFTWARE\
Dexon\DAT
{random letters} = {random characters}