Trend Micro Security

WORM_PHULLI.A

2018年7月3日
 解析者: Kiyoshi Obuchi   
 別名:

Trojan-FMHF!57E8168BF614 (McAfee); HEUR:Trojan.MSIL.Generic (Kaspersky)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: ワーム
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要

感染経路 他のマルウェアからの作成

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 1,299,928 bytes
タイプ EXE
発見日 2017年3月31日
ペイロード ファイルの作成, URLまたはIPアドレスに接続

侵入方法

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %Application Data%\svchost.exe

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.)

ワームは、以下のファイルを作成します。

  • %User Temp%\SysInfo.txt
  • %Cookies%\index.dat
  • %AppDataLocal%\GDIPFONTCACHEV1.DAT
  • %User Temp%\{Random Numbers}.bat
  • %Application Data%\pid.txt
  • %Application Data%\pidloc.txt
  • %User Temp%\CabEF7.tmp
  • %User Temp%\Cab58E7.tmp
  • %User Temp%\TarF03.tmp
  • %User Temp%\Tar58F2.tmp
  • %Application Data%\Windows Update.exe
  • %Application Data%\WindowsUpdate.exe
  • %Application Data%\hawkeye.exe
  • {Removable Drive)\Sys.exe
  • {Removable Drive}\autorun.inf

(註:%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.. %Cookies%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>\Cookies"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Cookies" です。. %AppDataLocal%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local" です。. %Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.)

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Update = %Application Data%\svchost.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Update = %Application Data%\svchost.exe

その他

ワームは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。

  • {BLOCKED}myipaddress.{BLOCKED}

ワームは、以下の不正なWebサイトにアクセスします。

  • {BLOCKED}.{BLOCKED}.com
  • {BLOCKED}.{BLOCKED}rt.com