Java/Adwind.UA
公開日:2016年05月09日
危険度:2
| 定義名称 | Java/Adwind.UA |
|---|---|
| シグネチャ検査による結果だった場合 | Java/Adwind.UA |
| 別名 | Trojan.Java.Generic(Kaspersky) |
| 種別 | トロイの木馬 |
| アドバンスドヒューリスティック検査による結果だった場合 | このオリジナルのトロイを利用した新種、亜種が検出された場合は、「NewHeur_PE」もしくは「Java/Adwind.UAの亜種 トロイの木馬」という名称で警告が出ます。 |
| 対応時期 | バージョン13046(20160217)以降 |
| 影響を受けるプラットフォーム | Microsoft Windows |
| 概要 | これは、リモートからコントロール可能なバックドア型のトロイの木馬です。詳しい活動内容については、下記をご参照ください。 |
解説
侵入(インストレーション)について
このトロイの木馬は、実行時に自身を次の場所へコピーします。
%appdata%\%variable1%\%variable2%.%variable3% (Microsoft Windows)
%userhome%/variable1%/%variable2%.%variable3% (Linux)
%userhome%/variable1%/%variable2%.%variable3% (Mac OS X)
次のレジストリーエントリーを設定する場合があります。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"%variable4%" = "%jrepath% -jar %malwarefilepath%"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"%variable4%" = "%jrepath% -jar %malwarefilepath%"
%variable1-4%には可変の文字列が入ります。
次のファイルを作成する場合があります。
%userhome%/.config/autostart/%variable4%.desktop (Linux)
%userhome%/Library/LaunchAgents/com.%variable4%.plist (Mac OS X)
これにより、システムが起動するたびに実行されるようになります。
次のファイルを作成します。
%appdata%\variable1%\Desktop.ini
情報の取得
このトロイの木馬は、次の情報を収集します。
コンピューターのIPアドレス
MACアドレス
メモリのステータス
ユーザー名
コンピューター名
OSのバージョン
開いているポート番号
国コード
国
マルウェアのバージョン
その他の情報
このトロイの木馬は、リモートのコンピューターもしくはインターネットからデータや命令を受け取ります。
1つのURLを保持しています。通信にはTCPプロトコルが使用されます。
次を実行します。
リモートのコンピューターもしくはインターネットからファイルをダウンロードする
実行ファイルを実行する
自身をバージョンアップする
特定のURLに接続する
ダイアログウィンドウを表示する
スクリーンショットを作成する
さまざまなファイルシステム操作を行う
自身をアンインストールする
実行先が特定の仮想環境内であることを検出すると、自身の実行を終了します。
次のファイルを作成する場合があります。
%temp%\wmplog11.png
%temp%\wowlog.png
%temp%\ukjaslmqwplaskmzmcnvbv.%variable%
%variable%には可変の文字列が入ります。