TROJ_DIDKR.A

トレンドマイクロは、このマルウェアをNoteworthy（要注意）に分類しました。

マルウェアは、韓国の特定の韓国政府関連Webサイトおよびニュース系Webサイトに影響を及ぼしたセキュリティインシデントに関連しています。サイバー犯罪者は、ファイル共有ソフトウェアの改変された不正なバージョンを拡散するために、このソフトウェアの自動更新機能を悪用していました。

これは、トレンドマイクロの製品では、ファイル共有ソフトウェア「SimDisk」の改変されたバージョンの検出名です。マルウェアは、感染コンピュータ上に更新プログラムをダウンロードします。

コンピュータ上で実行されると、マルウェアは、他のコンポーネントをダウンロードします。ダウンロードされたコンポーネントは、Torクライアント、環境設定ファイルおよびTorネットワークにアクセスするファイルを含んでいます。このマルウェアはTorを悪用することにより感染コンピュータのユーザから自身の不正活動を隠ぺいします。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成し実行します。

• %User Temp%\RarSFX0\SimDisk.exe
• %User Temp%\RarSFX0\SimDiskup.exe - detected as TROJ_DIDKR.A

(註：%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

ダウンロード活動

マルウェアは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。

• http://www.{BLOCKED}g.co.kr/images/korea/c.jpg - detected as TROJ_DIDKR.A

その他

マルウェアが作成する以下のファイルは、このマルウェアとして検出されます。

• %User Temp%\RarSFX0\SimDiskup.exe
• %Application Data%\Identities\{GUID}\{Random File Name 1}

またマルウェアは、Torクライアントである以下のファイルも作成します。

• %Application Data%\Identities\{GUID}\{Random FileName 2}

マルウェアがダウンロードする以下のファイルは、このマルウェアとして検出されます。

• http://www.＜省略＞g.co.kr/images/korea/c.jpg

作成された不正なファイル "SimDiskUp.exe" は、上述のWebサイトにアクセスし、他のマルウェアをダウンロードします。そしてダウンロードされたファイルは、実行されると、以下のフォルダを作成します。

• %Application Data%\tor
• %Application Data%\Identities\{GUID}

マルウェアは、正規のファイルとして扱われるために、正規のファイルと類似したファイル名を利用します。

マルウェアは、以下のコンポーネントファイルを作成します。

• %Application Data%\Identities\{GUID}\config.ini - Torクライアントのファイル名、感染コンピュータのIPアドレスや国名を含む