TROJ_DROPR.DHF

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、実行後、自身を削除します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

作成活動

マルウェアは、以下のファイルを作成します。

• %User Temp%\~D35463.tmp
• %User Temp%\~D35464.tmp
• %User Temp%\tmp.dat
• %User Temp%\tmp.dll
• %User Temp%\88062
• %User Temp%\88062.lz
• %User Temp%\94250
• %User Temp%\95906
• %User Temp%\97578
• %User Temp%\94250.lz
• %User Temp%\99187
• %User Temp%\100968
• %User Temp%\104453
• %User Temp%\109125
• %User Temp%\95906.lz
• %User Temp%\97578.lz
• %User Temp%\109125.lz
• %User Temp%\99187.lz
• %User Temp%\100968.lz
• %User Temp%\104453.lz
• %User Profile%\LOCALS~1\WinHttp.exe

(註：%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。. %User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞" です。)

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

• http://{BLOCKED}.70.163:443/user.jsp?xe=pbyczu1161670G290G
• http://{BLOCKED}.70.163:443/page.jsp?hv=vlxtwr1161670G290G
• http://{BLOCKED}.70.163:443/index.jsp?wr=qfytqt1161670G290G
• http://{BLOCKED}.70.163:443/query.jsp?yl=cpxwyg1161670G290G
• http://{BLOCKED}.70.163:443/about.jsp?us=ywafgp1161670G290G
• http://{BLOCKED}.70.163:443/index.jsp?fk=lzkzok1161670G290G
• http://{BLOCKED}.70.163:443/security.jsp?xg=bgviib1161670G290G
• http://{BLOCKED}.70.163:443/index.jsp?bj=nztqga1161670G290G
• http://{BLOCKED}.70.163:443/login.jsp?lu=wpkeyn1161670G290G
• http://{BLOCKED}.70.163:443/page.jsp?ur=avdbst1161670G290G
• http://{BLOCKED}.70.163:443/parse.jsp?xv=wgrqzg1161670G290G
• http://{BLOCKED}.70.163:443/process.jsp?su=pkweio1161670G290G
• http://{BLOCKED}.70.163:443/page.jsp?ae=uhgqhp1161670G290G
• http://{BLOCKED}.70.163:443/user.jsp?in=lbbitj1161670G290G
• http://{BLOCKED}.70.163:443/default.jsp?gm=ccfoue1161670G290G
• http://{BLOCKED}.70.163:443/user.jsp?gn=dpmlgy1161670G290G
• http://{BLOCKED}.70.163:443/index.jsp?kz=ikbeog1161670G290G
• http://{BLOCKED}.70.163:443/process.jsp?eu=ovwqqy1161670G290G
• http://{BLOCKED}.70.163:443/index.jsp?ci=amcnsy1161670G290G
• http://{BLOCKED}.70.163:443/default.jsp?vb=gtgtvb1161670G290G
• http://{BLOCKED}.70.163:443/query.jsp?dr=woufzc1161670G290G
• http://{BLOCKED}.70.163:443/default.jsp?lo=aenbho1161670G290G
• http://{BLOCKED}.70.163:443/query.jsp?us=pddlun1161670G290G
• http://{BLOCKED}.70.163:443/default.jsp?eo=yhplhs1161670G290G
• http://{BLOCKED}.70.163:443/process.jsp?ss=ljteho1161670G290G
• http://{BLOCKED}.70.163:443/user.jsp?jz=mcorez1161670G290G
• http://{BLOCKED}.70.163:443/default.jsp?ku=clhyft1161670G290G
• http://{BLOCKED}.70.163:443/about.jsp?qt=gydstw1161670G290G
• http://{BLOCKED}.70.163:443/security.jsp?rc=xamnvu1161670G290G
• http://{BLOCKED}.70.163:443/default.jsp?xp=asrvjs1161670G290G
• http://{BLOCKED}.70.163:443/process.jsp?mo=tzppmg1161670G290G
• http://{BLOCKED}.70.163:443/user.jsp?rt=llhwkl1161670G290G
• http://moeapid.{BLOCKED}t.tw:443/parse.jsp?ui=vucswm1161670G290G
• http://moeapid.{BLOCKED}t.tw:80/parse.jsp?dc=bexdqs1161670G290G
• http://moeapid.{BLOCKED}i.tw:443/default.jsp?va=uzomse1161670G290G
• http://211.{BLOCKED}{BLOCKED}.70.163http://moeapid.sdti.tw:80/login.jsp?kn=eppwqg1161670G290G
• http://{BLOCKED}.70.163:443/login.jsp?hh=vjxenw1161670G290G
• http://{BLOCKED}.70.163:443/process.jsp?hk=cgbawg1161670G290G
• http://{BLOCKED}.70.163:443/user.jsp?ds=zljrpc1161670G290G
• http://{BLOCKED}.70.163:443/query.jsp?wr=hpabmw1161670G290G
• http://{BLOCKED}.70.163:443/default.jsp?fx=mhbeul1161670G290G
• http://{BLOCKED}.70.163:443/login.jsp?nb=lyyipr1161670G290G
• http://{BLOCKED}.70.163:443/default.jsp?xo=znawnk1161670G290G

マルウェアは、実行後、自身を削除します。

このウイルス情報は、自動解析システムにより作成されました。