Trojan.Win32.TOFSEE.KM

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、実行後、自身を削除します。

マルウェアは、ファイル、プロセスまたはレジストリ値を隠ぺいします。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、異なるファイル名を用いて以下のフォルダ内に自身のコピーを作成します。

• %User Profile%\aoc.bat

(註：%User Profile%フォルダは、現在ログオンしているユーザのプロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞" です。)

マルウェアは、以下のプロセスを追加します。

• "%System%\cmd.exe" /C mkdir %System%\{8 random lowercase letters}\;
• "%System%\cmd.exe" /C move /Y "%User Temp%\{another 8 random lowercase letters}.exe" %System%\{8 random lowercase letters}\;
• "%System%\sc.exe" create {8 random lowercase letters} binPath= "%System%\{8 random lowercase letters}\{another 8 random lowercase letters}.exe /d\"{malware file path and name}\"" type= own start= auto DisplayName= "wifi support";
• "%System%\sc.exe" description {8 random lowercase letters} "wifi internet conection";
• "%System%\sc.exe" start {8 random lowercase letters};
• "%System%\netsh.exe" advfirewall firewall add rule name="Host-process for services of Windows" dir=in action=allow program="%System%\svchost.exe" enable=yes>nul;

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

マルウェアは、以下のフォルダを作成します。

• %System%\{8 random lowercase letters}\

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

マルウェアは、実行後、自身を削除します。

自動実行方法

マルウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\{8 random lowercase letters}
ImagePath = %System%\{8 random lowercase letters}\{another 8 random lowercase letters}.exe /d"{malware file path and name}

他のシステム変更

マルウェアは、以下のファイルを改変します。

• %User Profile%\aoc.bat

(註：%User Profile%フォルダは、現在ログオンしているユーザのプロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞" です。)

マルウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\{8 random lowercase letters}
DisplayName = "wifi support"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\{8 random lowercase letters}
Start = "SERVICE_AUTO_START"

ルートキット機能

マルウェアは、ファイル、プロセスまたはレジストリ値を隠ぺいします。

作成活動

マルウェアは、以下のファイルを作成します。

• %User Temp%\{another 8 random lowercase letters}.exe
• %System%\{8 random lowercase letters}\{another 8 random lowercase letters}.exe

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

• {BLOCKED}.{BLOCKED}.75.39
• {BLOCKED}.{BLOCKED}.98.2
• {BLOCKED}.{BLOCKED}.152.6
• {BLOCKED}.{BLOCKED}.98.3
• {BLOCKED}.{BLOCKED}.158.30
• {BLOCKED}.{BLOCKED}.84.42
• {BLOCKED}.{BLOCKED}.158.32
• {BLOCKED}.{BLOCKED}.33.10
• {BLOCKED}.{BLOCKED}.179.210
• {BLOCKED}.{BLOCKED}.172.98
• {BLOCKED}.{BLOCKED}.94.84
• {BLOCKED}.{BLOCKED}.152.3
• {BLOCKED}.{BLOCKED}.131.174
• {BLOCKED}.{BLOCKED}.0.133
• {BLOCKED}.{BLOCKED}.120.207
• {BLOCKED}.{BLOCKED}.6.212
• {BLOCKED}.{BLOCKED}.190.29
• {BLOCKED}.{BLOCKED}.129.198
• {BLOCKED}.{BLOCKED}.220.163
• {BLOCKED}.{BLOCKED}.220.132
• {BLOCKED}.{BLOCKED}.152.35
• {BLOCKED}.{BLOCKED}.60.135
• {BLOCKED}.{BLOCKED}.208.34
• {BLOCKED}.{BLOCKED}.167.99
• {BLOCKED}.{BLOCKED}.250.83
• {BLOCKED}.{BLOCKED}.65.133
• {BLOCKED}.{BLOCKED}.149.210
• {BLOCKED}.{BLOCKED}.91.34
• {BLOCKED}.{BLOCKED}.43.206
• {BLOCKED}.{BLOCKED}.72.117
• {BLOCKED}.{BLOCKED}.2.216
• {BLOCKED}.{BLOCKED}.183.179
• {BLOCKED}.{BLOCKED}.29.99
• {BLOCKED}.{BLOCKED}.105.46
• {BLOCKED}.{BLOCKED}.73.4
• {BLOCKED}.{BLOCKED}.4.138
• {BLOCKED}.{BLOCKED}.130.58
• {BLOCKED}.{BLOCKED}.156.195
• {BLOCKED}.{BLOCKED}.15.19
• {BLOCKED}.{BLOCKED}.14.107
• {BLOCKED}.{BLOCKED}.220.170
• {BLOCKED}.{BLOCKED}.24.202
• {BLOCKED}.{BLOCKED}.192.7
• {BLOCKED}.{BLOCKED}.6.21
• {BLOCKED}.{BLOCKED}.143.56
• {BLOCKED}.{BLOCKED}.5.13
• {BLOCKED}.{BLOCKED}.101.33
• {BLOCKED}.{BLOCKED}.215.43
• {BLOCKED}.{BLOCKED}.165.147
• {BLOCKED}.{BLOCKED}.63.107
• {BLOCKED}.{BLOCKED}.17.186
• {BLOCKED}.{BLOCKED}.150.18
• {BLOCKED}.{BLOCKED}.48.149
• {BLOCKED}.{BLOCKED}.167.109
• {BLOCKED}.{BLOCKED}.73.196
• {BLOCKED}.{BLOCKED}.172.36
• {BLOCKED}.{BLOCKED}.251.72
• {BLOCKED}.{BLOCKED}.48.2
• {BLOCKED}.{BLOCKED}.236.193
• {BLOCKED}.{BLOCKED}.195.34
• {BLOCKED}.{BLOCKED}.37.162
• {BLOCKED}.{BLOCKED}.87.9
• {BLOCKED}.{BLOCKED}.144.76
• {BLOCKED}.{BLOCKED}.32.19
• {BLOCKED}.{BLOCKED}.13.209
• {BLOCKED}.{BLOCKED}.78.99
• {BLOCKED}.{BLOCKED}.14.33
• {BLOCKED}.{BLOCKED}.245.79
• {BLOCKED}.{BLOCKED}.221.35
• {BLOCKED}.{BLOCKED}.99.71
• {BLOCKED}.{BLOCKED}.7.75
• {BLOCKED}.{BLOCKED}.29.119
• {BLOCKED}.{BLOCKED}.24.9
• {BLOCKED}.{BLOCKED}.166.109
• {BLOCKED}.{BLOCKED}.248.20
• {BLOCKED}.{BLOCKED}.17.172
• {BLOCKED}.{BLOCKED}.202.3
• {BLOCKED}.{BLOCKED}.17.178
• {BLOCKED}.{BLOCKED}.128.57
• {BLOCKED}.{BLOCKED}.17.170
• {BLOCKED}.{BLOCKED}.183.26
• {BLOCKED}.{BLOCKED}.64.236
• {BLOCKED}.{BLOCKED}.242.123
• {BLOCKED}.{BLOCKED}.142.84
• {BLOCKED}.{BLOCKED}.154.7
• {BLOCKED}.{BLOCKED}.31.18
• {BLOCKED}.{BLOCKED}.6.22
• {BLOCKED}.{BLOCKED}.241.162
• {BLOCKED}.{BLOCKED}.228.130
• {BLOCKED}.{BLOCKED}.191.136
• {BLOCKED}.{BLOCKED}.5.229
• {BLOCKED}.{BLOCKED}.14.19
• {BLOCKED}.{BLOCKED}.220.138
• {BLOCKED}.{BLOCKED}.130.23

マルウェアは、以下を実行します。

• Uses powershell to execute the obfuscated batch script to modify %User Profile%\aoc.bat

(註：%User Profile%フォルダは、現在ログオンしているユーザのプロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞" です。)