Win32/Tofsee BKDR_TOFSEEウイルス強制インストール感染被害
ネットサーフィン中にドライブ・バイ・ダウンロード攻撃を食らってしまい、バックドア Tofsee というマルウェアが強制インストールされる感染被害の成功です。 

- ドライブバイ・ダウンロード攻撃による強制感染 ← 今回はコッチの想定で
- 英語表記な迷惑メール(スパムメール)の添付ファイルから自爆感染

iexplore.exe の下層にナゾの実行ファイル(A7A4.tmp)が強制的に起動し、
ドライブ・バイ・ダウンロードが正常に行われウイルスの感染に成功した瞬間
セキュリティソフト導入でウイルス対策バッチリできてるという思い込みも感染被害を招きます。 

セキュリティ会社の脅威情報
■ BKDR_TOFSEE Mal_BigTof - Trend Micro
■ W32.Tofsee - Symantec
■ Backdoor:Win32/Tofsee - Microsoft
https://www.microsoft.com/security/portal/threat/encyclopedia/search.aspx?query=Win32/Tofsee
http://blogs.technet.com/b/mmpc/archive/2014/11/11/msrt-november-2014-tofsee.aspx
Tofsee のメイン機能としては、ウイルス付き迷惑メール(スパムメール)の送信する目的があって、操られるボットネットを構築するそうです。 



さらに、追加でダウンロードできる拡張プラグインの仕組みもあって
- 仮想通貨のマイニング
- FTPソフトやブラウザなどから機密情報を引っこ抜く
- DDoS攻撃
- Skype・Facebook・Twitter経由でメッセージの送信
- USBメモリーに拡散するワーム
みたいな処理を行える多機能な遠隔操作プログラムのようです。
● Tofsee レジストリ

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
値の名前 → MSConfig
データ → C:\Users\[ユーザー名]\[ランダム 長さ8文字].exe
起動用パラメータは、ユーザーを欺くためかシステム構成ウィンドウを彷彿させる同じ名前が使われてます。
MSConfig … M/S/C が特徴的なアルファベット大文字
◆ システム構成を使う (msconfig) - Windows ヘルプ
http://windows.microsoft.com/ja-jp/windows/using-system-configuration
http://windows.microsoft.com/ja-jp/windows/using-system-configuration
● Tofsee ファイル


C:\Users\[ユーザー名]\[ランダム 長さ8文字].exe
(例 chgjafxt.exe 、tyxarwok.exe、iroxpyxf.exe)
マルウェアの実行ファイルは、ランダムなアルファベット小文字で8文字の長さ、ファイルの属性が 隠しファイル になってます。
<ファイルサイズがやたらデカく30MB台

ファイル自体は Visual Basic 製みたいです。
● Tofsee プロセス
Windowsのシステムに元からあるMicrosoft由来の実行ファイル
svchost.exe
Windowsサービスのホストプロセス

Tofseeウイルスが起動した直後のプロセスでは実体を確認できるけど…
に自分自身をインジェクト(注入)するので、ランダムなアルファベット小文字の実行ファイルはプロセス上で確認できず、不正な挙動を隠蔽しようとします。