解析者: Jasen Sumalapao   
 別名:

ARC:RAR, ARC:[1.doc]:Embedded (Kaspersky), Trojan.ADH.2 (Symantec), Trojan.Win32.Generic!BT (Sunbelt), PUA.Win32.Packer.Armadillo-92 (Clamav), Trojan-Downloader, Trojan-Downloader (Ikarus), probably unknown NewHeur_PE virus, probably unknown NewHeur_PE virus (NOD32), New unknown virus W32/Obfuscated.D3!genr (Norman), [WINWORD.exe]:Suspicious file (Panda), is suspected of Trojan.Downloader.gen.h (VBA32)

 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。 マルウェアは、ユーザの手動インストールにより、コンピュータに侵入します。

マルウェアは、ファイル作成する際、よくあるファイル名を用いて正規のアプリケーションを装います。 作成されたファイルは、すべての実行中プロセスに組み込まれ、システムのプロセスに常駐します。

  詳細

ファイルサイズ 143,098 bytes
タイプ EXE
発見日 2012年8月1日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、ユーザの手動インストールにより、コンピュータに侵入します。

インストール

マルウェアは、以下のコンポーネントファイルを作成します。

  • %User Temp%\WINWORD.EXE
  • %User Temp%\1.doc

(註:%User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\<ユーザー名>\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\TEMP" です。)

マルウェアは、よく用いられるファイルアイコンを使用し、正規ファイルとして装います。

作成されたファイルは、すべての実行中プロセスに組み込まれ、システムのプロセスに常駐します。

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
load = %User Temp%\WINWORD.exe

ダウンロード活動

マルウェアは、以下のWebサイトにアクセスして自身のコンポーネントファイルをダウンロードします。

  • http://{BLOCKED}t.{BLOCKED}t.com/images/index.html
  • http://www.{BLOCKED}soft.com/images/index.html