TROJ_DROPPR.FB

トレンドマイクロは、このマルウェアをNoteworthy（要注意）に分類しました。その理由として、マルウェアが、ファンが待望する米Appleのスマートフォン「iPhone5」をソーシャルエンジニアリングの手口として用いる点が挙げられます。この手口では、「Finally. The amazing iPhone 5. Now available in black edition」という件名で、黒のiPhone 5が発売されたことを装うスパムメールが送信されます。このスパムメールの本文にはリンクが含まれており、このリンクを誤ってクリックしてしまったユーザは、不正なファイルをダウンロードすることとなります。

侵入方法

マルウェアは、以下のリモートサイトからダウンロードされ、コンピュータに侵入します。

• http://{BLOCKED}.{BLOCKED}.229.96/iphone5.gif.exe
• http://{BLOCKED}.{BLOCKED}.252.37/iphone5.gif.exe
• http://{BLOCKED}planet.com/iphone5.gif.exe
• http://{BLOCKED}an.com/iphone5.gif.exe
• http://{BLOCKED}ersite.com/iphone5.gif.exe

マルウェアは、以下の方法でコンピュータに侵入します。

• It arrives as a link found in email messages spammed by other malware/grayware or malicious users:
  • http://{BLOCKED}ound.com/iphone5.gif.exe

インストール

マルウェアは、以下のファイルを作成します。

• %Windows%\Temp\Cookies\aliases.ini
• %Windows%\Temp\Cookies\away.txt - list of possible messages to be sent when irc is idle
• %Windows%\Temp\Cookies\control.ini
• %Windows%\Temp\Cookies\fullname.txt - list of possible fullnames to be used in connect dialog
• %Windows%\Temp\Cookies\grup - used to create a random "nick" in mirc.ini
• %Windows%\Temp\Cookies\image.jpg - image displayed to make this application appear that it is legitimate
• %Windows%\Temp\Cookies\main
• %Windows%\Temp\Cookies\point.ico
• %Windows%\Temp\Cookies\daemon.exe - legitimate mIRC client

(註：%Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。)

マルウェアは、以下のフォルダを作成します。

• %Windows%\Temp\Cookies
• %Windows%\Temp\Cookies\download
• %Windows%\Temp\Cookies\logs
• %Windows%\Temp\Cookies\sounds

(註：%Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。)

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\WinRAR SFX

HKEY_CURRENT_USER\Software\mIRC\
Channels

HKEY_CURRENT_USER\Software\mIRC\
LockOptions

作成活動

マルウェアは、以下のファイルを作成します。

• %Windows%\Temp\Cookies\catchme.bat - detected by Trend Micro as BAT_FLOODER.AF
• %Windows%\Temp\Cookies\crime.mrc - detected by Trend Micro as IRC_FLOODER.VI
• %Windows%\Temp\Cookies\hmain.exe - detected by Trend Micro as TROJ_BIRTTA.A
• %Windows%\Temp\Cookies\lock.exe - detected by Trend Micro as TROJ_BIRTTA.A
• %Windows%\Temp\Cookies\mirc.ini - detected by Trend Micro as IRC_FLOODER.AA
• %Windows%\Temp\Cookies\ok.mrc - detected by Trend Micro as IRC_FLOODER.VI
• %Windows%\Temp\Cookies\remote.ini - detected by Trend Micro as IRC_FLOODER.VI
• %Windows%\Temp\Cookies\servers.ini - detected by Trend Micro as IRC_FLOODER.VI
• %Windows%\Temp\Cookies\smain.exe - detected by Trend Micro as TROJ_BIRTTA.A
• %Windows%\Temp\Cookies\temporarly.reg - detected by Trend Micro as REG_FLOODER.BS
• %Windows%\Temp\Cookies\unlock.exe - detected by Trend Micro as TROJ_BIRTTA.A

(註：%Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。)

その他

マルウェアは、他の不正プログラムもしくはアドウェア等、または不正リモートユーザによるスパムメールの本文に埋め込まれた以下のリンクからダウンロードされ、コンピュータに侵入します。

• http://{BLOCKED}ound.com/iphone5.gif.exe

マルウェアが作成する上記のファイルは、以下のような役割を果たします。

• %Windows%\Temp\Cookies\away.txt - IRCでのやりとりがなされずアイドル状態の場合に送信されるメッセージのリスト
• %Windows%\Temp\Cookies\fullname.txt - ダイアログに接続するときに用いられる フルネームのリスト
• %Windows%\Temp\Cookies\grup - 「IRC_FLOODER.AA」がランダムなニックネームを作成するために用いる
• %Windows%\Temp\Cookies\image.jpg - 正規のアプリケーションとして装うために表示する画像
• %Windows%\Temp\Cookies\daemon.exe - 正規のmIRCクライアント

マルウェアは、「BAT_FLOODER.AF」として検出されるファイル "%Windows%\Temp\Cookies\catchme.bat" を実行します。「BAT_FLOODER.AF」は、実行されると、「REG_FLOODER.BS」として検出されるファイル "%System Root%\Temp\Cookies\temporarly.reg" を開き実行します。これにより、「REG_FLOODER.BS」は、レジストリを追加し、正規のmIRCクライアント "%Windows%\Temp\Cookies\daemon.exe" がWindows起動時に自動実行されるようにします。また、「BAT_FLOODER.AF」は、実行されると画像ファイル "image.jpg" を開き、正規のアプリケーションとして装います。