MSIL/Lardosy.A

公開日:2016年03月17日

危険度:1

定義名称 MSIL/Lardosy.A
シグネチャ検査による結果だった場合 MSIL/Lardosy.A
別名 Trojan-Dropper.Win32.Sysn.bhxs(Kaspersky)、Trojan:Win32/Dynamer!ac(Microsoft)
種別 ワーム
アドバンスドヒューリスティック検査による結果だった場合 このオリジナルのトロイを利用した新種、亜種が検出された場合は、「NewHeur_PE」もしくは「MSIL/Lardosy.Aの亜種 ワーム」という名称で警告が出ます。
対応時期 バージョン12726(20151215)以降
影響を受けるプラットフォーム Microsoft Windows
概要 このワームは、リムーバブルメディアを介して感染を広げます。サイトのアクセスカウンターを増加させるために、バナー広告をクリックするようなHTTPリクエストを送信します。詳しい活動内容については、下記をご参照ください。

解説

侵入(インストレーション)について

このトロイの木馬は、実行時に自身を次の場所にコピーします。

C:\Users\%username%\Dosyalarim.exe

システムが起動するたびに実行されるよう、次のレジストリーエントリーを登録します。

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft.Net" = "C:\Users\%username%\Dosyalarim.exe"

次のレジストリーエントリーを設定します。

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FEATURE_BROWSER_EMULATION]
"%malwarefilename%" = %variable%
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FEATURE_AJAX_CONNECTIONS]
"%malwarefilename%" = 1
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
\FEATURE_ENABLE_CLIPCHILDREN_OPTIMIZATION]
"%malwarefilename%" = 1
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
\FEATURE_MANAGE_SCRIPT_CIRCULAR_REFS]
"%malwarefilename%" = 1
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FEATURE_DOM_STORAGE]
"%malwarefilename%" = 1
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FEATURE_GPU_RENDERING]
"%malwarefilename%" = 1
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
\FEATURE_IVIEWOBJECTDRAW_DMLT9_WITH_GDI]
"%malwarefilename%" = 0
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
\FEATURE_DISABLE_LEGACY_COMPRESSION]
"%malwarefilename%" = 1
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FEATURE_LOCALMACHINE_LOCKDOWN]
"%malwarefilename%" = 0
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FEATURE_BLOCK_LMZ_OBJECT]
"%malwarefilename%" = 0
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FEATURE_BLOCK_LMZ_SCRIPT]
"%malwarefilename%" = 0
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
\FEATURE_DISABLE_NAVIGATION_SCRIPT]
"%malwarefilename%" = 1
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FEATURE_SCRIPTURL_MITIGATION]
"%malwarefilename%" = 1
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FEATURE_SPELLCHECKING]
"%malwarefilename%" = 0
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FEATURE_STATUS_BAR_THROTTLING]
"%malwarefilename%" = 1
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FEATURE_TABBED_BROWSING]
"%malwarefilename%" = 1
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FEATURE_VALIDATE_NAVIGATE_URL]
"%malwarefilename%" = 1
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FEATURE_WEBOC_DOCUMENT_ZOOM]
"%malwarefilename%" = 1
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FEATURE_WEBOC_POPUPMANAGEMENT]
"%malwarefilename%" = 0
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FEATURE_WEBOC_MOVESIZECHILD]
"%malwarefilename%" = 1
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FEATURE_ADDON_MANAGEMENT]
"%malwarefilename%" = 0
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FEATURE_WEBSOCKET]
"%malwarefilename%" = 1
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FEATURE_WINDOW_RESTRICTIONS]
"%malwarefilename%" = 0
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FEATURE_XMLHTTP]
"%malwarefilename%" = 1

%variable%には可変の数字が入ります。

■リムーバブルメディアへの感染について

このワームは、次の名前を使用してリムーバブルドライブのルートフォルダーに自身をコピーします。

Dosyalarim.exe

■その他の情報

このワームは、リモートのコンピューターもしくはインターネットからデータや命令を受け取ります。

3つのURLを保持しています。通信にはHTTPプロトコルが使用されます。

サイトのアクセスカウンターを増加させるために、バナー広告をクリックするようなHTTPリクエストを送信します。

このワームが動作するには、Microsoft .NET Frameworkが起動している必要があります。