・実行時、以下の場所に自身をコピーします。
- %Windir%\spoolsv.exe (隠しファイル)
- %Windir%\svchost.exe (隠しファイル)
- %Windir%\system32\explorer.exe (隠しファイル)
- %Userprofile%\Local Settings\Application Data\mrsys.exe (隠しファイル)
・また、以下のファイルをドロップ(作成)します。
・上記のジョブファイルは、悪質なファイルである「svchost.exe」を48時間ごとに実行するようスケジュール設定されます。
・以下のレジストリキーがシステムに追加されます。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}
・以下のレジストリ値がシステムに追加されます。
- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Schedule\]
“AtTaskMaxHours: “ = “0x00000048”
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule\]
“AtTaskMaxHours:” = “ 0x00000048”
・以下のレジストリ項目により、Windowsが起動するたびにSwisyn.vが実行されるようにします。
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}\]
“StubPath:” = "%userprofile%\Local Settings\Application Data\mrsys.exe MR"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\]
“Explorer:” = "%Windir%\system32\explorer.exe RO"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\]
“Svchost:” = "%Windir%\svchost.exe RO"
・以下のレジストリ値が改変されます。
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\]
“Shell:” = "%Windir%\explorer.exe, %Windir%\system32\explorer.exe"
・上記のレジストリ項目により、Windowsが起動するたびにSwisyn.vが実行されるようにします。
・Windowsファイアウォールを無効にし、以下のレジストリ値を改変して、乗っ取ったユーザが隠しファイルを表示できないようにします。
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\]
“Start:” = “ 0x00000004”
- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\]
“Start:” = “0x00000004”
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\]
“Start:” = “0x00000004”
- [HKEY_USERS\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\]
“ShowSuperHidden:” = “ 0x00000000”
・以下のサイトに接続し、他の悪質なファイルをダウンロードする可能性があります。
- x10ho[削除].com
- ne[削除]i.net
- 1[削除]b.com
- 0[削除].net
- ats[削除].com
- 50[削除].com
- xtre[削除].com
- z[削除].net
- fate[削除].com
- t[削除].com
- l4r[削除].com
- 20[削除].com
- gofre[削除].com
- sur[削除].com
- freeho[削除].com
- co[削除].com
- php[削除].us
- freewe[削除].com
- fre[削除].com
- 00f[削除].net
・乗っ取ったユーザの個人情報を盗み出し、以下のSMTPサーバを介してリモート攻撃者に送信します。
- hotmail.com
- live.com
- yahoo.com
- gmail.com
- msn.com
- lycos.com
- aol.com
- mail.com
- netscape.com
- tiscali.com
- freeserve.com
- supanet.com
・また、リムーバブルドライブ、ネットワーク共有を介して拡散します。
注:「%WinDir%はデフォルトのWindowsフォルダ(例:C:\WINNT、C:\WINDOWSなど)、%UserProfile%はC:\Documents and Settings\[ユーザ名]
