Trojan.XF.FORMULOAD.UFUT
TrojanDownloader:O97M/Dridex.PMSK!MTB (MICROSOFT)
Windows
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- %ProgramData%\fjkdgjknfdgfjkdgjknfdg.rtf
- %ProgramData%\api-ms-win-crt-stdio-l1-1-0.mp4
(註:%ProgramData%フォルダは、マルチユーザーシステムにおいて任意のユーザがプログラムに変更を加えることができるプログラムファイルフォルダのバージョンです。これには、すべてのユーザのアプリケーションデータが含まれます。Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData" です。Windows Server 2003(32-bit)、2000(32-bit)、XPの場合、通常 "C:\Documents and Settings\All Users" です。 )
マルウェアは、以下のプロセスを追加します。
- wmic.exe process call create 'mshta %ProgramData%\fjkdgjknfdgfjkdgjknfdg.rtf'
- wmic process call create "rundll32.exe %ProgramData%\api-ms-win-crt-stdio-l1-1-0.mp4 LZDone"
(註:%ProgramData%フォルダは、マルチユーザーシステムにおいて任意のユーザがプログラムに変更を加えることができるプログラムファイルフォルダのバージョンです。これには、すべてのユーザのアプリケーションデータが含まれます。Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData" です。Windows Server 2003(32-bit)、2000(32-bit)、XPの場合、通常 "C:\Documents and Settings\All Users" です。 )
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- https://cdn.{BLOCKED}app.com/attachments/910212171147915317/910550967668310016/WxDPscgHItkfTniggerjewhitler.mp4
- https://cdn.{BLOCKED}app.com/attachments/910212171147915317/910550751456149534/JvqwnnQpTQVAyniggerjewhitler.mp4
- https://cdn.{BLOCKED}app.com/attachments/910212171147915317/910550529279655966/qcAWeDaQPniggerjewhitler.mp4