【解析対象ファイル】

ファイル名：setup.exe
※解析難度
このプログラムはC#で作られたものであり、解析の難度としては高いものではありません。

【暴露系ウイルス(kenzero/kenzo)の動作例】

ウイルス実行時に必要な一部情報を悪質サイト（http://www.warezer.net/ ）との接続により取得するため、現在確認ができない部分があることをご了承ください。

1.インターネット接続状態の確認

2.ランダムに生成したユーザーIDの取得
※ユーザーIDは「abcdefghijlkmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789」の中からランダムに選んだ３０文字の文字列です

3.ユーザーアカウンﾄ、ドメイン名、コンピュータ名、OS名（バージョン）、コンピュータ起動時間、物理メモリ容量、カレントフォルダ（パス）の取得

4.悪質サイト(http://www.warezer.net/)に接続し、ユーザーが使用しているグローバルIPアドレスと逆引きしたホスト名の取得

5.画面の解像度の取得

6.クリップボードの取得

7.インストールプログラム名の取得

8.作業用フォルダの作成（C:\ユーザーID）

9.スクリーンショット（サムネイル含む）の取得・保存
（イメージ図：アップロードされてしまった複数のスクリーンショット）

10.インターネットエクスプローラーのお気に入り（Favorites）情報の取得・保存
（イメージ図）

11.ハードディスク等のデバイス情報の取得・保存

12.ファイル使用履歴の取得・保存

13.インストール済みプログラム情報の取得・保存

14.保存した情報（10.11.12.13.）、スクリーンショット（サムネイル）を悪質サイトへアップロード
※ユーザーが使用しているブラウザ情報、使用言語は、接続先のサーバ側で取得されていると推定されます

15.インストール画面の表示
※途中でインストール作業をキャンセルした場合でも、動作途中まで収集された情報がウイルスによりアップロードされます

16.使用許諾契約書の表示・確認

17.インストール先の表示・確認・取得

18.ユーザー入力情報画面の表示・取得
（イメージ図）
※ 以下入力項目例（インストールしようとするプログラム、亜種等によって異なります）

1. ユーザー名（姓名）
2. 性別
3. 誕生日
4. 年齢
5. メールアドレス
6. パスワード
7. 秘密の質問と答え
8. 郵便番号
9. 都道府県
10. 住所
11. 電話番号
12. FAX番号
13. 携帯電話番号
14. 携帯電話メールアドレス
15. 家族構成
16. 住居
17. 勤務先
18. 年収
19. ローン
20. 趣味
21. 特技
22. ゲームで使用する主人公、恋人、友達の名前
23. 購入の動機・理由
24. 作品へ意見・感想

19.取得したユーザー情報（2.3.4.5.6.7.17.18.）を悪質サイトへアップロード

20.支払い督促用情報の取得（ユーザー名、インストールプログラム名、実行日時、支払い期日）

21.ユーザーのスクリーンショットに壁紙を変更

22.悪質サイトに送信されたユーザー情報（スクリーンショット画像を含む）をブラウザで表示

23.【著作権侵害に関する重要なお知らせ】としたユーザーへの警告情報の表示

24.作業用フォルダおよびファイルの削除