■侵入について

主に、無料のソフトウェアのインストールやウェブページなどのアクセス時にインストールされます。

■活動について

主な特徴として、

• いくつかのセキュリティソフトウェアを停止しようとする場合があります。
• リモート先にシステム環境等の情報を送信します。

インストール時、次のファイルがインストールされます。

c:\windows\system32\[nombre al azar].dll c:\windows\system32\geede.dll c:\windows\system32\gebcd.dll

また、Internet Explorer のプロセスにインジェクトします。これにより、Internet Explorerの起動時に自動的に実行されるようになります。

次のレジストリを登録します。

HKLM\SOFTWARE\Classes\CLSID \{EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} HKLM\Software\Microsoft\Windows \CurrentVersion\Explorer\Browser Helper Objects \{EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} HKLM\SOFTWARE\Microsoft\Windows NT \CurrentVersion\Winlogon\Notify\[nombre del troyano] HKLM\SOFTWARE\Microsoft\Windows \CurrentVersion\Explorer\ShellExecuteHooks {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} = ""

システム環境に次のファイルが存在する場合、プロセスにインジェクトしようと試みます。

AD-AWARE.EXE

次のプロセスが稼働中の場合、停止を試みます。

GCASSERVALERT.EXE

メモリ内で一度も実行されていない次のミューテックスを作成します。

awx_mutant _ConsprMutex

次のアドレスに接続し、情報を送信します。

http://ushuistov.net/ http://202.67.220.235/

また、他のアーカイブなどの情報を送信するための指示が含まれています。

リモートのアタックにより指示が入るため攻撃と言えます。そのため一般的には考えられないシステムであると見ています。