BKDR_DEMP.A
Trojan-Dropper.Win32.Demp.hdd (Kaspersky); Mal/Inject-EU (Sophos); Trojan.Win32.Generic.pak!cobra (Sunbelt); Trojan horse Dropper.Generic9.GKD (AVG)
Windows 2000, Windows XP, Windows Server 2003
マルウェアタイプ:
バックドア型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、実行後、自身を削除します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
他のシステム変更
マルウェアは、以下のファイルを削除します。
- %User Profile%\Local Settings\VSS.exe
(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>" です。)
作成活動
マルウェアは、以下のファイルを作成します。
- %User Temp%\~D35463.tmp
- %User Temp%\~D35464.tmp
- %User Temp%\171921
- %User Temp%\171921.lz
- %User Temp%\189171
- %User Temp%\189171.lz
- %User Profile%\Local Settings\VSS.exe
(註:%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>" です。)
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- http://{BLOCKED}.82.60:443/query.jsp?pn=imjmme1161679643G2
- http://{BLOCKED}.82.60:443/about.jsp?dh=buvtvk1161679643G2
- http://{BLOCKED}.82.60:443/index.jsp?en=qphdkf1161679643G2
- http://{BLOCKED}.82.60:443/security.jsp?po=dcfptu1161679643G2
- http://{BLOCKED}.82.60:443/user.jsp?vw=smoxfh1161679643G2
- http://{BLOCKED}.82.60:443/login.jsp?jf=vsccxj1161679643G2
- http://{BLOCKED}.82.60:443/query.jsp?qb=optcyi1161679643G2
- http://{BLOCKED}.82.60:443/about.jsp?kb=dxgiyd1161679643G2
- http://{BLOCKED}.82.60:443/security.jsp?gx=rhhuej1161679643G2
- http://{BLOCKED}.82.60:443/parse.jsp?iy=fycibs1161679643G2
- http://{BLOCKED}.82.60:443/security.jsp?ae=dvxpco1161679643G2
- http://{BLOCKED}.82.60:443/query.jsp?go=arnraj1161679643G2
- http://{BLOCKED}.82.60:443/user.jsp?tx=ewlups1161679643G2
- http://{BLOCKED}.82.60:443/process.jsp?hz=txvxjp1161679643G2
- http://{BLOCKED}.82.60:443/login.jsp?hp=ixepqd1161679643G2
- http://{BLOCKED}.82.60:443/parse.jsp?zc=lmenka1161679643G2
- http://{BLOCKED}.82.60:443/security.jsp?sj=agtqmh1161679643G2
- http://{BLOCKED}.82.60:443/index.jsp?ca=qimriv1161679643G2
- http://{BLOCKED}.82.60:443/login.jsp?fo=wprauz1161679643G2
- http://{BLOCKED}.82.60:443/login.jsp?ig=ajkmdk1161679643G2
- http://{BLOCKED}.82.60:443/user.jsp?pm=amsgfb1161679643G2
- http://{BLOCKED}.82.60:443/query.jsp?gc=qvlxsc1161679643G2
- http://{BLOCKED}.82.60:443/security.jsp?qj=irlxwb1161679643G2
- http://{BLOCKED}.82.60:443/query.jsp?fd=iguugb1161679643G2
- http://{BLOCKED}.82.60:443/default.jsp?la=mvxqyx1161679643G2
- http://{BLOCKED}.82.60:443/default.jsp?pq=vhcmov1161679643G2
- http://{BLOCKED}.82.60:443/login.jsp?xy=zgtdej1161679643G2
- http://{BLOCKED}.82.60:443/parse.jsp?zc=exfzfn1161679643G2
- http://{BLOCKED}.82.60:443/index.jsp?tp=ahbxxt1161679643G2
- http://{BLOCKED}.82.60:443/parse.jsp?oa=zdcodw1161679643G2
- http://{BLOCKED}.82.60:443/query.jsp?ey=nkuopc1161679643G2
- http://{BLOCKED}.82.60:443/user.jsp?wy=gspjfx1161679643G2
- http://{BLOCKED}.82.60:443/query.jsp?yg=iqgjpg1161679643G2
- http://{BLOCKED}.82.60:443/security.jsp?kx=wwvvin1161679643G2
- http://{BLOCKED}.82.60:443/page.jsp?if=aqtoom1161679643G2
- http://{BLOCKED}.82.60:443/parse.jsp?zm=tusfty1161679643G2
- http://{BLOCKED}.82.60:443/login.jsp?lk=fekmks1161679643G2
- http://{BLOCKED}.82.60:443/index.jsp?mr=hojbay1161679643G2
- http://{BLOCKED}.82.60:443/page.jsp?ae=uhgqhp1161679643G2
- http://{BLOCKED}.82.60:443/process.jsp?ll=eijshg1161679643G2
- http://{BLOCKED}.82.60:443/parse.jsp?bh=gpgmny1161679643G2
- http://{BLOCKED}.82.60:443/query.jsp?jd=ffldlv1161679643G2
- http://{BLOCKED}.82.60:443/default.jsp?ki=uvdlau1161679643G2
- http://{BLOCKED}.82.60:443/default.jsp?ng=gacwmz1161679643G2
- http://{BLOCKED}.82.60:443/about.jsp?ev=zruwip1161679643G2
- http://{BLOCKED}.82.60:443/login.jsp?vv=plydqf1161679643G2
- http://{BLOCKED}.82.60:443/login.jsp?jj=xwnlxp1161679643G2
- http://{BLOCKED}.82.60:443/login.jsp?ul=reafyv1161679643G2
- http://{BLOCKED}.82.60:443/default.jsp?ss=ljsxfc1161679643G2
- http://{BLOCKED}.82.60:443/index.jsp?kk=vwhhuv1161679643G2
- http://{BLOCKED}.82.60:443/user.jsp?tw=kdtycc1161679643G2
- http://{BLOCKED}.82.60:443/default.jsp?uf=xloctp1161679643G2
- http://{BLOCKED}.82.60:443/parse.jsp?ky=rqynwb1161679643G2
- http://{BLOCKED}.82.60:443/page.jsp?df=xrgjhx1161679643G2
- http://{BLOCKED}.82.60:443/security.jsp?sj=yaixlg1161679643G2
- http://{BLOCKED}.82.60:443/index.jsp?rk=itblon1161679643G2
- http://{BLOCKED}.82.60:443/page.jsp?li=fkjncd1161679643G2
- http://{BLOCKED}.82.60:443/index.jsp?jo=iycajl1161679643G2
- http://{BLOCKED}.82.60:443/query.jsp?pz=myfsnu1161679643G2
- http://{BLOCKED}.82.60:443/index.jsp?kt=avboiy1161679643G2
- http://{BLOCKED}.82.60:443/default.jsp?bm=pvpzez1161679643G2
- http://{BLOCKED}.82.60:443/page.jsp?ev=hocpgl1161679643G2
- http://{BLOCKED}.82.60:443/index.jsp?da=xccxaa1161679643G2
- http://{BLOCKED}.82.60:443/default.jsp?qu=obnblw1161679643G2
- http://{BLOCKED}.82.60:443/about.jsp?gs=viexiz1161679643G2
マルウェアは、実行後、自身を削除します。
このウイルス情報は、自動解析システムにより作成されました。
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
以下のファイルを検索し削除します。
- %User Temp%\~D35463.tmp
- %User Temp%\~D35464.tmp
- %User Temp%\171921
- %User Temp%\171921.lz
- %User Temp%\189171
- %User Temp%\189171.lz
- %User Profile%\Local Settings\VSS.exe
手順 3
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「BKDR_DEMP.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 4
以下のファイルをバックアップを用いて修復します。なお、マイクロソフト製品に関連したファイルのみ修復されます。このマルウェア/グレイウェア/スパイウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。
- %User Profile%\Local Settings\VSS.exe
ご利用はいかがでしたか? アンケートにご協力ください