Win32/Seeav.I
公開日:2016年05月09日
危険度:1
| 定義名称 | Win32/Seeav.I |
|---|---|
| シグネチャ検査による結果だった場合 | Win32/Seeav.I |
| 別名 | TrojanDownloader:Win32/Picproot.A!dha(Microsoft)、Trojan.DownLoader12.19458(Dr.Web) |
| 種別 | トロイの木馬、ワーム |
| アドバンスドヒューリスティック検査による結果だった場合 | このオリジナルのトロイを利用した新種、亜種が検出された場合は、「NewHeur_PE」もしくは「Win32/Seeav.Iの亜種 トロイの木馬またはワーム」という名称で警告が出ます。 |
| 対応時期 | バージョン11369(20150324)以降 |
| 影響を受けるプラットフォーム | Microsoft Windows |
| 概要 | このワームは、リムーバブルメディアを介して感染を広げる機能を備えています。さまざまな個人情報を収集します。詳しい活動内容については、下記をご参照ください。 |
解説
侵入(インストレーション)について
このワームは、実行時に自身を次の場所にコピーします。
%commondocuments%\..\Local Settings\Microsoft\UsbKey\rusbmon3.exe
%commondocuments%\..\Local Settings\Microsoft\UsbKey\rusbmon.exe
実行時に次のファイルを作成します。
%commondocuments%\..\Local Settings\Microsoft\UsbKey\rusbmon.dll
%commondocuments%\..\Local Settings\Microsoft\UsbKey\rusbmon.dat
%commondocuments%\..\Local Settings\Microsoft\UsbKey\desktop.ins
%commondocuments%\..\Local Settings\Microsoft\UsbKey\desktop.bat
%appdata%\Microsoft\Windows\Desktop.ini
システムが起動するたびに実行されるよう、次のレジストリーエントリーを設定します。
[HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\Run]
"UsbKey" = ""%commondocuments%\..\Local Settings\Microsoft\UsbKey\rusbmon.exe" Embedding"
"UsbKeydog" = ""%commondocuments%\..\Local Settings\Microsoft\UsbKey\rusbmon.dll" Embedding"
次のレジストリーエントリーを設定します。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "0"
"HideFileExt" = "1"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap]
"phVer" = "20150120"
次のプロセスを起動します。
rundll32.exe "%commondocuments%\..\Local Settings\Microsoft\UsbKey\rusbmon.dll" StartWork
rundll32.exe "%commondocuments%\..\Local Settings\Microsoft\UsbKey\rusbmon.dll" Embedding
%commondocuments%\..\Local Settings\Microsoft\UsbKey\rusbmon.exe Embedding
%system%\regini.exe %appdata%\Microsoft\Windows\Desktop.ini
%commondocuments%\..\Local Settings\Microsoft\UsbKey\desktop.bat
インストール終了後、元の実行ファイルを削除します。
リムーバブルメディアへの感染について
このワームは、リムーバブルメディアを介して感染を広げる場合があります。
既存のファイルまたはフォルダーの名前に基づいたファイル名を使用して、リムーバブルドライブのルートフォルダーに自身をコピーします。
情報の取得
このワームは、次の情報を収集します。
Internet Explorerのバージョン
OSのバージョン
インストールされているアンチウイルスソフトウェア
Microsoft Wordのバージョン
プロキシサーバーの設定
コンピューター名
収集した情報をリモートのコンピューターに送信しようとします。
その他の情報
このワームは、リモートのコンピューターもしくはインターネットからデータや命令を受け取ります。
3つのURLを保持しています。通信にはHTTPプロトコルが使用されます。
次を実行します。
リモートのコンピューターもしくはインターネットからファイルをダウンロードする
実行ファイルを実行する
シェルコマンドを実行する
個人情報を盗み出す
インターネットに接続されているかどうかを確認するため、次のURLへの接続を試みます。
http://www.yahoo.com
UDP 60250番ポートを開きます。
32ビットおよび64ビット両方のプログラムのコンポーネントを保持しています。