解析者: Karl Dominguez   
 プラットフォーム:

Windows 2000, XP, Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:

  • マルウェアタイプ:
    ファイル感染型

  • 破壊活動の有無:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

  概要

感染経路 ファイルに感染, リムーバブルドライブを介した感染活動, 共有ネットワークフォルダを介した感染活動

ウイルスは、リムーバブルドライブを介してコンピュータに侵入します。 ウイルスは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。 ウイルスは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

ウイルスは、標的とするホストファイルの末尾に自身のコードを追記することにより感染活動を実行します。

ウイルスは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

  詳細

ファイルサイズ 242,688 bytes
タイプ EXE
メモリ常駐 はい
発見日 2010年11月16日
ペイロード プロセスの強制終了, システムセキュリティへの感染活動, ファイルの作成, ファイルのダウンロード, サービスの無効

侵入方法

ウイルスは、リムーバブルドライブを介してコンピュータに侵入します。

ウイルスは、ネットワーク共有フォルダを経由してコンピュータに侵入します。

ウイルスは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。

ウイルスは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

インストール

ウイルスは、以下のコンポーネントファイルを作成します。

  • %System%\dmutilio.dll - detected as TROJ_HORST.JY
  • %System%\{random characters}.sys - detected as RTKT_JADTRE.Y, which is used by this malware to hide its files, registry entries, and process
  • %System Root%\Documents and Settings\Infotmp.txt - file where this malware saves information about the affected system
  • %System Root%\Users\Infotmp.txt - file where this malware saves information about the affected system

(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。. %System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

自動実行方法

ウイルスは、作成されたコンポーネントがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{malware filename}
Start = 3

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{malware filename}
Type = 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{malware filename}
ImagePath = %System%\{malware filename}.sys



(Note: It creates these registry entries so that RTKT_JADTRE.Y automatically executes during startup.)

ファイル感染

ウイルスは、以下のファイルに感染します。

  • %System%\appmgmts.dll
  • %System%\qmgr.dll
  • %System%\shsvcs.dll
  • %System%\mspmsnsv.dll
  • %System%\xmlprov.dll
  • %System%\es.dll
  • %System%\ntmssvc.dll
  • %System%\upnphost.dll
  • %System%\ssdpsrv.dll
  • %System%\netman.dll
  • %System%\mswsock.dll
  • %System%\tapisrv.dll
  • %System%\browser.dll
  • %System%\cryptsvc.dll
  • %System%\pchsvc.dll
  • %System%\regsvc.dll
  • %System%\schedsvc.dll


It does this by overwriting the said system files with a copy of itself. The said system files are DLLs of the following services:
  • AppMgmt
  • BITS
  • FastUserSwitchingCompatibility
  • WmdmPmSN
  • xmlprov
  • EventSystem
  • Ntmssvc
  • upnphost
  • SSDPSRV
  • Netman
  • Nla
  • Tapisrv
  • Browser
  • Themes
  • CryptSvc
  • helpsvc
  • RemoteRegistry
  • Schedule


As a result of modifying the said files, this file infector is able to automatically execute itself upon system startup.

(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

ウイルスは、以下の形式のファイルに感染します。

  • .EXE
  • .HTM
  • .ASP
  • .HTML
  • .ASPX


Trend Micro detects infected .EXE files as PE_JADTRE.Y while infected .HTM, .HTML, .ASP, and .ASPX files are detected as HTML_JADTRE.Y.

ウイルスは、標的とするホストファイルの末尾に自身のコードを追記することにより感染活動を実行します。

ウイルスは、以下の文字列を含むフォルダには感染しません。

  • Thunder Network
  • Thunder
  • WinRAR
  • WindowsUpdate
  • Windows NT
  • Windows Media Player
  • Outlook Express
  • NetMeeting
  • MSN Gaming Zone
  • Movie Maker
  • microsoft frontpage
  • Messenger
  • Internet Explorer
  • InstallShield Installation Information
  • ComPlus Applications
  • Common Files
  • RECYCLER
  • System Volume Information
  • Documents and Settings
  • WinNT
  • WINDOWS

感染活動

ウイルスは、すべてのリムーバブルドライブ内に以下のフォルダを作成します。

  • [drive letter]:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}

ウイルスは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。

  • [drive letter]:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\uninstall.exe

ウイルスは、ユーザが感染コンピュータ上のドライブへアクセスすると自身のコピーが自動実行するように、"AUTORUN.INF" を作成します。

上記INFファイルには、以下の文字列が含まれています。

[autorun]
OPEN=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\uninstall.exe
shell\open=´ò¿ª(&O)
shell\open\Command=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\uninstall.exe Show
shell\open\Default=1//
shell\explore=×ÊÔ´¹ÜÀíÆ÷(&X)
shell\explore\Command=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\uninstall.exe Show

ウイルスは、以下のユーザ名およびパスワードを用いて、パスワード保護された共有フォルダにアクセスします。

  • User names:
    • Administrator
    • admin
    • Guest
    • Root
  • Passwords:
    • 0
    • 0
    • 1
    • 7
    • 12
    • 110
    • 111
    • 123
    • 520
    • 1111
    • 1234
    • 1313
    • 2002
    • 2003
    • 2112
    • 2600
    • 5150
    • 6969
    • 7777
    • 12345
    • 54321
    • 111111
    • 121212
    • 123123
    • 123456
    • 654321
    • 901100
    • 1234567
    • 5201314
    • 11111111
    • 12345678
    • 88888888
    • 123456789
    • 1234qwer
    • 123abc
    • 123asd
    • 123qwe
    • a
    • aaa
    • abc
    • abc
    • abc123
    • abcd
    • admin
    • admin123
    • administrator
    • alpha
    • asdf
    • baseball
    • ccc
    • computer
    • database
    • enable
    • fish
    • fuck
    • fuckyou
    • god
    • godblessyou
    • golf
    • harley
    • home
    • havenopass
    • letmein
    • login
    • Login
    • love
    • mustang
    • mypass
    • mypass123
    • mypc
    • mypc123
    • owner
    • pass
    • pass
    • passwd
    • password
    • pat
    • patrick
    • pc
    • pussy
    • pw
    • pw123
    • pwd
    • qq520
    • qwer
    • qwerty
    • root
    • server
    • sex
    • shadow
    • super
    • sybase
    • temp
    • temp123
    • test
    • test123
    • win
    • xp
    • xxx
    • yxcv
    • zxcv

バックドア活動

ウイルスは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

  • {BLOCKED}.{BLOCKED}.144.21

プロセスの終了

ウイルスは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

  • RavMonD.exe
  • 360tray.exe
  • MPSVC.exe

ダウンロード活動

ウイルスは、以下のファイル名でダウンロードしたファイルを保存します。

  • %Windows%\Temp\{random characters}.rar
  • %Windows%\Temp\{random characters}.exe

(註:%Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。)

その他

ウイルスは、以下のWebサイトにアクセスしてインターネット接続を確認します。

  • www.baidu.com

  対応方法

対応検索エンジン: 8.900
初回 VSAPI パターンバージョン 7.626.04
初回 VSAPI パターンリリース日 2010年11月16日

手順 1

Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

この「PE_JADTRE.Y-O」が作成、あるいは、ダウンロードした以下のファイルを検索し、検索した場合は削除してください。

    TROJ_HORST.JY
    RTKT_JADTRE.Y
    HTML_JADTRE.Y
    PE_JADTRE.Y

手順 3

スタートアップディスク、または、回復コンソールを用いて、「PE_JADTRE.Y-O」として検出されたファイルを確認し削除します。

[ 詳細 ]

手順 4

このレジストリキーを削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    • {Application Name}
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
    • {Malware Filename}


    Note: {Application Name} refers to the following:
    • 360SoftMgrSvc.exe
    • 360hotfix.exe
    • 360rp.exe
    • 360rpt.exe
    • 360safe.exe
    • 360safebox.exe
    • 360sd.exe
    • 360se.exe
    • 360speedld.exe
    • 360tray.exe
    • AvastUI.exe
    • CCenter.exe
    • FilMsg.exe
    • KVMonXP.exe
    • KVMonXP.kxp
    • KVSrvXP.exe
    • MPMon.exe
    • MPSVC.exe
    • MPSVC1.exe
    • MPSVC2.exe
    • McNASvc.exe
    • McProxy.exe
    • McSACore.exe
    • Mcagent.exe
    • Mcods.exe
    • Mcshield.exe
    • MpfSrv.exe
    • RavMonD.exe
    • RavTask.exe
    • RsAgent.exe
    • RsTray.exe
    • ScanFrm.exe
    • SfCtlCom.exe
    • SpIDerMl.exe
    • TMBMSRV.exe
    • TmProxy.exe
    • Twister.exe
    • UfSeAgnt.exe
    • afwServ.exe
    • ast.exe
    • avcenter.exe
    • avfwsvc.exe
    • avgnt.exe
    • avguard.exe
    • avmailc.exe
    • avp.exe
    • avshadow.exe
    • avwebgrd.exe
    • bdagent.exe
    • ccSvcHst.exe
    • dwengine.exe
    • egui.exe
    • ekrn.exe
    • kavstart.exe
    • kissvc.exe
    • kmailmon.exe
    • kpfw32.exe
    • kpfwsvc.exe
    • kpopserver.exe
    • krnl360svc.exe
    • ksmgui.exe
    • ksmsvc.exe
    • kswebshield.exe
    • kwatch.exe
    • kwstray.exe
    • kxedefend.exe
    • kxesapp.exe
    • kxescore.exe
    • kxeserv.exe
    • kxetray.exe
    • livesrv.exe
    • mcmscsvc.exe
    • mcsysmon.exe
    • mcvsshld.exe
    • msksrver.exe
    • qutmserv.exe
    • rsnetsvr.exe
    • safeboxTray.exe
    • sched.exe
    • seccenter.exe
    • spideragent.exe
    • spidernt.exe
    • spiderui.exe
    • vsserv.exe
    • zhudongfangyu.exe
    • ÐÞ¸´¹¤¾ß.exe

手順 5

以下のフォルダを検索し削除します。

[ 詳細 ]
註:このフォルダは、隠しフォルダとして設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。 [drive letter]:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}

手順 6

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。 %System Root%\Documents and Settings\Infotmp.txt
%System Root%\Users\Infotmp.txt

手順 7

「PE_JADTRE.Y-O」が作成した AUTORUN.INF を検索し削除します。このファイルには、以下の文字列が含まれています。

[ 詳細 ]
[autorun]
OPEN=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\uninstall.exe
shell\open=´ò¿ª(&O)
shell\open\Command=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\uninstall.exe Show
shell\open\Default=1//
shell\explore=×ÊÔ´¹ÜÀíÆ÷(&X)
shell\explore\Command=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\uninstall.exe Show

手順 8

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「PE_JADTRE.Y-O」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください

関連マルウェア