1. jpegに偽装されたscr(スクリーンセーバ)を実行すると、
まず%UserProfile%直下にランダムな数字のシステム&隠し属性フォルダを作り、
その中に「winsvc.exe」(A)をシステム&隠し属性で保存します。
2. Paintのエラー画面を偽装して表示し、終了します。
3. (A)は、下記を実行します。
3-A-a. WIPmaniaのAPIにアクセスし、IPアドレスから国情報を取得します。
3-A-b. %Temp%直下にランダムな数字の.exeまたは.sysを(B)として保存します。
3-A-c. 「HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run」に自身を
「Microsoft Windows Update」という名前をもつスタートアップとして登録します。
3-A-d. rootkit(usermode)の手法で(A)の実行ファイルとレジストリを隠蔽、IEの通信もフックして妨害します。
* rootkitを使わない簡易バージョンもある模様
3-A-e. Windowsルート以外のドライブのファイルをシステム&隠し属性にして、削除されたように見せかけます。
3-A-f. (B)を実行します。
4. (B)は、下記を実行します。
4-B-a. SkypeにSkypeAPI要求を出し、キーボードエミュレーションでそれを許可します。
4-B-b. Skype経由で友達に対して相手のIDを含むURLの記載されたチャットを発行します。
このとき、チャットの言語が英語ではなく3-A-a.によって取得された言語になるバージョンが存在します。
5. (A)は(B)の終了やレジストリの変更を検知し、検知した場合3.を繰り返します。
* 検知しない簡易バージョンもある模様
まず%UserProfile%直下にランダムな数字のシステム&隠し属性フォルダを作り、
その中に「winsvc.exe」(A)をシステム&隠し属性で保存します。
2. Paintのエラー画面を偽装して表示し、終了します。
3. (A)は、下記を実行します。
3-A-a. WIPmaniaのAPIにアクセスし、IPアドレスから国情報を取得します。
3-A-b. %Temp%直下にランダムな数字の.exeまたは.sysを(B)として保存します。
3-A-c. 「HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run」に自身を
「Microsoft Windows Update」という名前をもつスタートアップとして登録します。
3-A-d. rootkit(usermode)の手法で(A)の実行ファイルとレジストリを隠蔽、IEの通信もフックして妨害します。
* rootkitを使わない簡易バージョンもある模様
3-A-e. Windowsルート以外のドライブのファイルをシステム&隠し属性にして、削除されたように見せかけます。
3-A-f. (B)を実行します。
4. (B)は、下記を実行します。
4-B-a. SkypeにSkypeAPI要求を出し、キーボードエミュレーションでそれを許可します。
4-B-b. Skype経由で友達に対して相手のIDを含むURLの記載されたチャットを発行します。
このとき、チャットの言語が英語ではなく3-A-a.によって取得された言語になるバージョンが存在します。
5. (A)は(B)の終了やレジストリの変更を検知し、検知した場合3.を繰り返します。
* 検知しない簡易バージョンもある模様
コメント