・実行時、以下の場所に悪質なファイルをダウンロードします。
- %USER_PROFILE%\Application Data\zdrvj.exe [非表示] [Generic.dx!spxという名前で検出]
- %Temp%\wmpscfgs.exe [Generic Downloader.x!dvgという名前で検出]
- %Temp%\81318.exe [Generic.dx!srzという名前で検出]
- %Program Files%\Internet Explorer\js.mui [Generic Downloader.x!dvgという名前で検出]
- %WINDIR%\system32\ctfmon .exe [Generic Downloader.x!dvgという名前で検出]
- %WINDIR%\system32\hkcmd .exe [Generic Downloader.x!dvgという名前で検出]
- %WINDIR%\system32\igfxtray .exe [Generic Downloader.x!dvgという名前で検出]
- %WINDIR%\system32\OLD9.tmp [Generic Downloader.x!dvgという名前で検出]
- %WINDIR%\LastGood\system32\ctfmon.exe [Generic Downloader.x!dvgという名前で検出]
- %Program Files%\Internet Explorer\wmpscfgs.exe [Generic Downloader.x!dvgという名前で検出]
- %WINDIR%\userini.exe
- %WINDIR%\Temp\wpv321274174525.exe [非表示]
- %WINDIR%\Temp\wpv231274174481.exe [非表示]
・毎日、指定された時刻にダウンロードしたファイル(wmpscfgs.exe)を実行するようにスケジュール設定された以下のジョブファイルを作成します。
- %WINDIR%\Tasks\At1.job
- %WINDIR%\Tasks\At10.job
- %WINDIR%\Tasks\At11.job
- %WINDIR%\Tasks\At12.job
- %WINDIR%\Tasks\At13.job
- %WINDIR%\Tasks\At14.job
- %WINDIR%\Tasks\At15.job
- %WINDIR%\Tasks\At16.job
- %WINDIR%\Tasks\At17.job
- %WINDIR%\Tasks\At18.job
- %WINDIR%\Tasks\At19.job
- %WINDIR%\Tasks\At2.job
- %WINDIR%\Tasks\At20.job
- %WINDIR%\Tasks\At21.job
- %WINDIR%\Tasks\At22.job
- %WINDIR%\Tasks\At23.job
- %WINDIR%\Tasks\At24.job
- %WINDIR%\Tasks\At3.job
- %WINDIR%\Tasks\At4.job
- %WINDIR%\Tasks\At5.job
- %WINDIR%\Tasks\At6.job
- %WINDIR%\Tasks\At7.job
- %WINDIR%\Tasks\At8.job
- %WINDIR%\Tasks\At9.job
・以下のレジストリキーがシステムに追加されます。
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aecq
・以下のレジストリ値がシステムに追加されます。
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aecq\]
"ImagePath" = "\??\C:\WINDOWS\System32\DRIVERS\aecq.sys"
・以下のレジストリ項目により、W32/Palevoが乗っ取ったシステムに登録され、起動のたびに実行されるようにします。
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\]
“userini” = "%WINDIR%\explorer.exe:userini.exe"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
“userini” = "%WINDIR%\explorer.exe:userini.exe"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\]
Taskman” = "%USER_PROFILE%\Application Data\zdrvj.exe"
- [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\]
“userini” = "%WINDIR%\explorer.exe:userini.exe"
- [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Run\]
“userini” = "%WINDIR%\explorer.exe:userini.exe"
・以下のレジストリ項目により、ジョブファイルが48時間以内にW32/Palevoを実行するようにします。
- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Schedule]
AtTaskMaxHours = “0x00000048”
・iexplorer.exeに自身のコードを挿入し、リモートポート80を介して94.75.[削除].139に接続します。
・また、以下のIPアドレスに接続します。
- 209.85.[削除].27、リモートポート25
- 83.133.[削除].34、リモートポート10000
- 67.210.[削除].167、リモートポート10000
- 74.222.[削除].78、リモートポート80
[%Temp%はC:\Documents and Settings\Administrator\Local Settings\Temp\、%WinDir%は\WINDOWS(Windows 9x/ME/XP/Vista)または\WINNT(Windows NT/2000)、%USERPROFILE%はデフォルトのユーザプロファイルフォルダ。例:C:\Documents and Settings\Administrator(カレントユーザが管理者の場合)]
