TROJ_RAMNIT.JT

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• %User Temp%\{random}.sys
• %AppDataLocal%\{random}.log
• %ProgramData%\{random}.log (Windows Vista and 7 only)
• %All Users Profile%\{random}.log (Windows Vista and 7 only)
• %All Users Application Data%\{random}.log (versions other than Windows Vista and 7)

(註：%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。. %AppDataLocal%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local" です。. %ProgramData%フォルダは、Windows Vista および 7 の場合、通常、"C:\ProgramData"、Windows 2000、XP (32ビット)、Server 2003 の場合、"C:\Program Files"、Windows XP (64ビット) の場合、"C:\Program Files (x86)" です。)

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %User Temp%\{random}.exe
• %AppDataLocal%\{random}\{random}.exe

(註：%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。. %AppDataLocal%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local" です。)

マルウェアは、以下のフォルダを作成します。

• %AppDataLocal%\{random}

(註：%AppDataLocal%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local" です。)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random} = "%AppDataLocal%\{random}\{random}.exe"

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = "%System%\userinit.exe,,"%AppDataLocal%\{random}\{random}.exe""

(註：変更前の上記レジストリ値は、「"%System%\userinit.exe,"」となります。)

マルウェアは、Windows起動時に自動実行されるよう＜スタートアップ＞フォルダ内に以下のファイルを作成します。

• %User Startup%\{random}.exe

(註：%User Startup%フォルダは、Windows 98 および ME の場合、通常、"C:\Windows\Profiles\＜ユーザ名＞\Start Menu\Programs\Startup"、Windows NT の場合、"C:\WINNT\Profiles\＜ユーザ名＞\Start Menu\Programs\Startup" および "C:\Documents and Settings\＜ユーザ名＞\Start Menu\Programs\Startup" です。)

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Micorsoft Windows Service

マルウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusOverride = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusDisableNotify = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallDisableNotify = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallOverride = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UpdatesDisableNotify = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UacDisableNotify = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
DisableNotifications = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
DoNotAllowExceptions = "0"

マルウェアは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\MpsSvc
Start = "4"

(註：変更前の上記レジストリ値は、「"2"」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\WinDefend
Start = "4"

(註：変更前の上記レジストリ値は、「"2"」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\wscsvc
Start = "4"

(註：変更前の上記レジストリ値は、「"2"」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\wuauserv
Start = "4"

(註：変更前の上記レジストリ値は、「"2"」となります。)

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

• {BLOCKED}.{BLOCKED}.62.76
• {BLOCKED}.{BLOCKED}.45.67