Trojan.Win32.LOADSELL.A

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。 ただし、情報公開日現在、このWebサイトにはアクセスできません。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のプロセスを追加します。

• To delete itself:
  • "%System%\cmd.exe" /c taskkill /im "{Malware Filename}.exe" /f & erase "{Malware Filepath}\{Malware Filename}.exe" & exit
• If download is successful:
  • "%System%\cmd.exe" /c start /I "" "{4 Random Characters}-{5 Random Characters}-{4 Random Characters}-{5 Random Characters}\{11 Random Numbers}.exe"
  • "%System%\cmd.exe" /c start /I "" "{4 Random Characters}-{5 Random Characters}-{4 Random Characters}-{5 Random Characters}\{11 Random Numbers}.exe" /{mix, eu or us depending on the country}

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

マルウェアは、以下のフォルダを作成します。

• %User Temp%\{4 Random Characters}-{5 Random Characters}-{4 Random Characters}-{5 Random Characters}\ → Hidden

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

ダウンロード活動

マルウェアは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。

• http://{BLOCKED}artners.in/dlc/distribution.php?pub={string} → Depending on the {User Agent} used. It may receive a file or a secondary download link
• {Received secondary download link}

マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。

• %User Temp%\{4 Random Characters}-{5 Random Characters}-{4 Random Characters}-{5 Random Characters}\{11 Random Numbers}.exe

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

情報漏えい

マルウェアは、以下の情報を収集します。

• Username
• IP Address
• Country
• Keyboard Layout/Language

その他

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• {BLOCKED}n.biz/decision.php?pub={String}
• {BLOCKED}partners.in/stats/remember.php?pub={String}&user={username}
• {BLOCKED}partners.in/stats/statistics.php?trackid={track id}&postback={postback value}
• {BLOCKED}partners.in/stats/itscis.php?pub={String}
• Where depending on the country the infected machine is located in, {String} can be the following:
  • ustwo
  • euthree
  • mixsix
  • eutwo
  • usthree
  • pmix
  • peu
  • pus
  • umix
  • ueu
  • uus
  • cashmix
  • casheu
  • cashus
  • willmix
  • willeu
  • willus
  • usone
  • mixone
  • euone
  • usfour
  • eufour
  • pux
  • eux
  • mixthree
  • eufive
  • usfive
  • cafive
  • mixfive
  • mixseven
  • euinte
  • usinte
  • cainte
  • mixinte

マルウェアは、以下を実行します。

• It will terminate and delete itself if it finds any of the following:
  • The following folders:
    • %User Desktop%\Garbage Cleaner
  • The following registry keys:
    • HKEY_CURRENT_USER\Software\GCleaner
  • The system's locale or language:
    • Russian
    • Ukrainian
    • Kazakh
• It connects to the following url(s) to log the Connecting Machine's IP Address:
  • http://{BLOCKED}ger.org/{characters} → accessible
    • where depending on the {String} used, {Characters} can be the following:
      • /1SbGr7
      • /1S3Jr7
      • /1SVGr7
      • /1SDGr7
      • /1SXGr7
      • /1RGrt7
      • /1B6de7
      • /1B8de7
      • /1B9de7
      • /1exB47
      • /1ecB47
      • /1evB47
      • /1KWC77
      • /1KEC77
      • /1KRC77
      • /11juE
      • /11cuE
      • /11QuE
      • /1SMHr7
      • /1SvGr7
      • /1SZGr7
      • /1xA9f7
      • /1xF9f7
      • /1BaHp7
      • /1Uvu47
      • /1SEGr7
      • /17xdv7
      • /17vdv7
      • /17bdv7
      • /17mdv7
      • /1SGGr7
      • /1stmu7
      • /1ssmu7
      • /1sdmu7
      • /1u3ha7

ただし、情報公開日現在、このWebサイトにはアクセスできません。