Trend Micro Security

PUA.Win32.OpenCandy.GA

2019年3月27日
 解析者: John Anthony Banes   
 別名:

Downloader.Win32.OpenCandy.lc (Kaspersky); a variant of Win32/MagicalJellyBean.B (NOD32)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: 潜在的に迷惑なアプリケーション
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。 プログラムは、ユーザの手動インストールにより、コンピュータに侵入します。

ただし、情報公開日現在、このWebサイトにはアクセスできません。

  詳細

ファイルサイズ 1,199,992 bytes
タイプ EXE
発見日 2019年3月4日

侵入方法

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

プログラムは、ユーザの手動インストールにより、コンピュータに侵入します。

インストール

プログラムは、以下のフォルダを追加します。

  • %Program Files%\Magical Jelly Bean
  • %Start Menu%\Programs\KeyFinder
  • %User Temp%\is-{random}.tmp
  • %User Temp%\is-{random}.tmp\_isetup

(註:%Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。Windows 2000、Server 2003、XP(32-bit),Vista(32-bit)、7(32-bit)、8(32-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)の場合、通常 "C:\Program Files(x86)" です。. %Start Menu%フォルダは、現在ログオンしているユーザのスタートメニューフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Windows\Start Menu" または "C:\Documents and Settings\<ユーザ名>\Start Menu" です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu" です。. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)

プログラムは、以下のファイルを作成します。

  • %Program Files%\Magical Jelly Bean\is-{random}.tmp
  • %Program Files%\Magical Jelly Bean\keyfinder.cfg
  • %Program Files%\Magical Jelly Bean\keyfinder.exe
  • %Program Files%\Magical Jelly Bean\unins000.dat
  • %Program Files%\Magical Jelly Bean\unins000.exe
  • %Program Files%\Magical Jelly Bean\unins000.msg
  • %Start Menu%\Programs\KeyFinder\KeyFinder on the Web.url
  • %Start Menu%\Programs\KeyFinder\KeyFinder.lnk
  • %Start Menu%\Programs\KeyFinder\Uninstall KeyFinder.lnk
  • %User Temp%\is-{random}.tmp\_isetup\_shfoldr.dll
  • %User Temp%\is-{random}.tmp\{installer filename}.tmp
  • %User Temp%\is-{random}.tmp\OCSetupHlp.dll

(註:%Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。Windows 2000、Server 2003、XP(32-bit),Vista(32-bit)、7(32-bit)、8(32-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)の場合、通常 "C:\Program Files(x86)" です。. %Start Menu%フォルダは、現在ログオンしているユーザのスタートメニューフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Windows\Start Menu" または "C:\Documents and Settings\<ユーザ名>\Start Menu" です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu" です。. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)

他のシステム変更

プログラムは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
KeyFinder_is1
Inno Setup: Setup Version = 5.5.2 (u)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
KeyFinder_is1
Inno Setup: Icon Group = KeyFinder

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
KeyFinder_is1
Inno Setup: User = {user name}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
KeyFinder_is1
Inno Setup: Selected Tasks = ""

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
KeyFinder_is1
Inno Setup: Deselected Tasks = desktopicon,quicklaunchicon

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
KeyFinder_is1
Inno Setup: Language = default

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
KeyFinder_is1
DisplayName = Magical Jelly Bean KeyFinder

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
KeyFinder_is1
DisplayIcon = %Program Files%\Magical Jelly Bean\keyfinder.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
KeyFinder_is1
UninstallString = %Program Files%\Magical Jelly Bean\unins000.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
KeyFinder_is1
QuietUninstallString = %Program Files%\Magical Jelly Bean\unins000.exe /SILENT

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
KeyFinder_is1
DisplayVersion = 2.0.9.8

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
KeyFinder_is1
Publisher = Magical Jelly Bean

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
KeyFinder_is1
URLInfoAbout = http://www.{BLOCKED}jellybean.com/keyfinder/

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
KeyFinder_is1
HelpLink = http://www.{BLOCKED}ljellybean.com/keyfinder/

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
KeyFinder_is1
URLUpdateInfo = http://www.{BLOCKED}ljellybean.com/keyfinder/

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
KeyFinder_is1
NoModify = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
KeyFinder_is1
NoRepair = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
KeyFinder_is1
InstallDate = {yyyymmdd}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
KeyFinder_is1
MajorVersion = 2

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
KeyFinder_is1
MinorVersion = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
KeyFinder_is1
EstimatedSize = 1972

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
KeyFinder_is1
Inno Setup: App Path = %Program Files%\Magical Jelly Bean

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
KeyFinder_is1
InstallLocation = %Program Files%\Magical Jelly Bean\

その他

プログラムは、以下の不正なWebサイトにアクセスします。

  • http://api.{BLOCKED}ndy.com?bn={value}&bv={version}&clientv={value}&cltzone={value}&language={value}&method=get_offers&mstime=0.187&os={OS name}&product_key={value}&v={version}&signature={value}
  • http://api.{BLOCKED}ndy.com?clientv={value}&method=track_product_installed&mstime={value}&product_key={value}&v={value}&signature={value}

ただし、情報公開日現在、このWebサイトにはアクセスできません。

  対応方法

対応検索エンジン: 9.850
SSAPI パターンバージョン: 2.159.00
SSAPI パターンリリース日: 2019年3月28日

トレンドマイクロのお客様:

    最新のバージョン(パターンファイル および エンジン)を導入したセキュリティ対策製品を用い、ウイルス検索を実行してください。検出したファイルはすべて「削除」し、検出したウイルスはすべて「駆除」してください。削除対象となるファイルには、トロイの木馬型マルウェアやスクリプト系、上書き感染型ウイルス(overwriting virus)、ジョーク・プログラムなど「駆除」できないマルウェアがあげられ、これらのファイルを検出した場合は、すべて「削除」してください。

インターネットをご利用の皆様:

  • トレンドマイクロの「オンラインスキャン」を使って、あなたの PC がウイルスに侵されていないかどうかを簡単にチェックすることが可能です。オンラインスキャンはあなたのコンピュータの中に不正なプログラムが存在するかどうかをチェックします。
  • 今日、PCやネットワークをセキュリティ上の脅威から守り、安全なIT環境を維持するためには、セキュリティ製品を活用することが最も有効な方法となっています。トレンドマイクロは、一般の個人ユーザだけでなく、企業ユーザやインターネット・サービス・プロバイダ(ISP)向けに、ウイルス対策製品やコンテンツセキュリティ対策をご提供しています。トレンドマイクロの製品・サービスについては、こちらをご参照ください。


ご利用はいかがでしたか? アンケートにご協力ください