VBS_AGENT.GQG

マルウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。 マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、特定のレジストリ値を削除するため、アプリケーションやプログラムが正しく起動しなくなります。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

マルウェアは、ダウンロードしたファイルを実行します。

マルウェアは、感染コンピュータや感染ユーザから特定の情報を収集します。

侵入方法

マルウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のフォルダを作成します。

• %Application Data%\Dropebox{username}{number}

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.)

他のシステム変更

マルウェアは、以下のファイルを削除します。

• %User StartUp%\AdobeUpdateManagementTool.lnk
• %User Temp%\swf.ico"

(註：%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。.)

マルウェアは、以下のレジストリ値を削除します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce
AdobeUpdateManagementTool = ""

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion
c_last = ""

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• info - Get System Information
• proc - Get running processes
• scrin - Take screenshot
• exe - Download and execute binary
• vbs - Download and execute VB Script
• ps1 - Download and execute powershell command
• dll - Not used
• delete - Uninstall self
• scrrunr - Not used

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

• http://{BLOCKED}al.strideindustrialusa.com

ダウンロード活動

マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。

• %Application Data%\Dropebox{username}{number}\screenshot__.ps1 - take screenshot
• %Application Data%\Dropebox{username}{number}\screenshot__.png - screenshot
• %Application Data%\Dropebox{username}{number}\exe__.exe - downloaded binary
• %Application Data%\Dropebox{username}{number}\vb__.vbs - downloaded VB script
• %Application Data%\Dropebox{username}{number}\ps1__.ps1 - downloaded powershell

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.)

マルウェアは、ダウンロードしたファイルを実行します。

情報漏えい

マルウェアは、以下の情報を収集します。

• OS Information:
  • OS Name
  • Version
  • Service Pack
  • OS Manufacturer
  • Windows Directory
  • Locale
  • Available Physical Memory
  • Total Virtual Memory
  • Available Virtual Memory
• System Information:
  • System Name
  • System Manufacturer
  • System Model
  • Time Zone
  • Total Physical Memory
  • Processor System Type
  • Processor
  • BIOS Version
• Networking information:
  • Computer name
  • Domain
  • User name
  • IP Address
  • Mac Address
• Screenshot
• List of Processes