McAfee for Small Businesses

・MultiDropper-JWはトロイの木馬で、ターゲットマシンに悪質なソフトウェアをドロップ（作成）します。MultiDropper-JWは、以下の複数のコンポーネントで構成されます。

・HTMLファイルは、暗号化されたVBSスクリプトを含んでいます。このHTMLファイルは、添付ファイルとしてスパムメールで送信されました。

• EXCHANGERS.ZIP（10,209バイト）：以下のファイルを含む
• EXCHANGERS.HTM（18,364バイト）

・このHTMLファイルを開くと、以下のページが表示されます。

・HTMLファイル内のVBSは、上記のエンジン/定義ファイルでVBS/MultiDropper-JW.genとして検出されます。このVBSスクリプトは、ターゲットマシンに以下のEXEファイルをドロップ（作成）して、実行します。

• NOTEPAD.EXE（7,168バイト）

・NOTEPAD.EXEファイルは、上記のエンジン/定義ファイルでMultiDropper-JWとして検出されます。NOTEPAD.EXEファイルが実行されると、以下の別のEXEファイルをドロップ（作成）します。

• %WinDir%\USERINIT.EXE（14,336バイト）

・%WinDir%\USERINIT.EXEファイルも、上記のエンジン/定義ファイルでMultiDropper-JWとして検出されます。%WinDir%\USERINIT.EXEファイルが実行されると、ターゲットマシンに別のトロイの木馬をドロップ（作成）します。

• %WinDir%\CSRSS.EXE（11,264バイト）

・CSRSS.EXEファイルは、上記のエンジン/定義ファイルでStartPage-CGとして検出されます。

・システムの再起動時にトロイの木馬CSRSS.EXEファイルをドロップ（作成）/実行するために、以下のレジストリキーを改変します。

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\ CurrentVersion\Winlogon "userinit"

改変前：

• %SysDir%\USERINIT.EXE

改変後：

• %WinDir%\USERINIT.EXE

・さらにトロイの木馬StartPage-CGが、Internet Explorerのセキュリティ設定を変更します。以下のキー値を変更します。

• HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Internet Settings\Zones\3

・以下のキー値も、すべて"0x00000000"に設定します。

• "1001"
• "1004"
• "1200"
• "1201"
• "1405"
• "1406"