更新者 : Jay Garcia
 別名:

W32/FusionCore.A.gen!Eldorado (FPROT); a variant of Win32/FusionCore.L potentially unwanted application (NOD32)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    潜在的に迷惑なアプリケーション

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 1,063,424 bytes
タイプ EXE
メモリ常駐 なし
発見日 2019年10月4日

侵入方法

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

プログラムは、以下のファイルを作成します。

  • %Program Files%\Rene.E Laboratory\PDFAide\unins000.exe
  • %Program Files%\Rene.E Laboratory\PDFAide\msvcp100.dll
  • %Program Files%\Rene.E Laboratory\PDFAide\msvcr100.dll
  • %Program Files%\Rene.E Laboratory\PDFAide\QtCore4.dll
  • %Program Files%\Rene.E Laboratory\PDFAide\QtGui4.dll
  • %Program Files%\Rene.E Laboratory\PDFAide\QtNetwork4.dll
  • %Program Files%\Rene.E Laboratory\PDFAide\QtWebKit4.dll
  • %Program Files%\Rene.E Laboratory\PDFAide\QtXml4.dll
  • %Program Files%\Rene.E Laboratory\PDFAide\RsCrashRestarter.exe
  • %Program Files%\Rene.E Laboratory\PDFAide\vcredist_x86.exe
  • %Program Files%\Rene.E Laboratory\PDFAide\cmap\cmap_cns.dll
  • %Program Files%\Rene.E Laboratory\PDFAide\cmap\cmap_gb.dll
  • %Program Files%\Rene.E Laboratory\PDFAide\cmap\cmap_japan.dll
  • %Program Files%\Rene.E Laboratory\PDFAide\cmap\cmap_korea.dll
  • %Program Files%\Rene.E Laboratory\PDFAide\imageformats\qgif4.dll
  • %Program Files%\Rene.E Laboratory\PDFAide\imageformats\qjpeg4.dll
  • %Program Files%\Rene.E Laboratory\PDFAide\imageformats\qtiff4.dll
  • %Program Files%\Rene.E Laboratory\PDFAide\sample\chi_sim_text.jpg
  • %Program Files%\Rene.E Laboratory\PDFAide\sample\chi_tra_text.jpg
  • %Program Files%\Rene.E Laboratory\PDFAide\sample\eng_text.jpg
  • %Program Files%\Rene.E Laboratory\PDFAide\sample\jap_text.jpg
  • %Program Files%\Rene.E Laboratory\PDFAide\sample\kor_text.jpg
  • %Program Files%\Rene.E Laboratory\PDFAide\sample\link_test.pdf
  • %Program Files%\Rene.E Laboratory\PDFAide\sample\Pdf2Office.pdf
  • %Program Files%\Rene.E Laboratory\PDFAide\watermark\watermark_chn.pdf
  • %Program Files%\Rene.E Laboratory\PDFAide\watermark\watermark_kor.pdf
  • %Program Files%\Rene.E Laboratory\PDFAide\libeay32.dll
  • %Program Files%\Rene.E Laboratory\PDFAide\ocrconfig.dat
  • %Program Files%\Rene.E Laboratory\PDFAide\PdfAide.exe
  • %Program Files%\Rene.E Laboratory\PDFAide\ReFB.exe
  • %Program Files%\Rene.E Laboratory\PDFAide\ReneeUpdater.exe
  • %Program Files%\Rene.E Laboratory\PDFAide\ReTW.exe
  • %Program Files%\Rene.E Laboratory\PDFAide\ssleay32.dll

(註:%Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。C:\Program Files in Windows 2000(32-bit)、Server 2003(32-bit)、XP、Vista(64-bit)、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)、8.1(64-bit)、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files(x86)" です。)

プログラムは、以下のプロセスを追加します。

  • "%Program Files%\Rene.E Laboratory\PDFAide\vcredist_x86.exe" /norestart /q

(註:%Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。C:\Program Files in Windows 2000(32-bit)、Server 2003(32-bit)、XP、Vista(64-bit)、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)、8.1(64-bit)、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files(x86)" です。)

プログラムは、以下のフォルダを作成します。

  • %Program Files%\Rene.E Laboratory
  • %Program Files%\Rene.E Laboratory\PDFAide\imageformats
  • %Program Files%\Rene.E Laboratory\PDFAide
  • %Program Files%\Rene.E Laboratory\PDFAide\watermark
  • %All Users Profile%\Microsoft\Windows\Start Menu\Programs\Rene.E Laboratory\PDFAide
  • %Program Files%\Rene.E Laboratory\PDFAide\cmap
  • %All Users Profile%\Microsoft\Windows\Start Menu\Programs\Rene.E Laboratory
  • %Program Files%\Rene.E Laboratory\PDFAide\sample

(註:%Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。C:\Program Files in Windows 2000(32-bit)、Server 2003(32-bit)、XP、Vista(64-bit)、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)、8.1(64-bit)、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files(x86)" です。. %All Users Profile%フォルダは、ユーザの共通プロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\All Users” です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData” です。)

他のシステム変更

プログラムは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
{GUID}_is1

HKEY_CURRENT_USER\Software\Trolltech\
OrganizationDefaults

プログラムは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Rene.E Laboratory\
PDFAide
iProgramLanguage = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{GUID}_is1
Inno Setup: Setup Version = "5.5.4 (u)"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{GUID}_is1
Inno Setup: App Path = "%Program Files%\Rene.E Laboratory\PDFAide"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{GUID}_is1
InstallLocation = "%Program Files%\Rene.E Laboratory\PDFAide"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{GUID}_is1
Inno Setup: Icon Group = "Rene.E Laboratory\PDFAide"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{GUID}_is1
Inno Setup: User = "{username}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{GUID}_is1
Inno Setup: Language = "en"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{GUID}_is1
DisplayName = "Renee PDF Aide 2016.10.13.71"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{GUID}_is1
UninstallString = "%Program Files%\Rene.E Laboratory\PDFAide\unins000.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{GUID}_is1
QuietUninstallString = "%Program Files%\Rene.E Laboratory\PDFAide\unins000.exe /SILENT"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{GUID}_is1
DisplayVersion = "2016.10.13.71"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{GUID}_is1
Publisher = "Rene.E Laboratory"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{GUID}_is1
URLInfoAbout = "http://www.{BLOCKED}ab.com"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{GUID}_is1
HelpLink = "http://www.{BLOCKED}ab.com"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{GUID}_is1
URLUpdateInfo = "http://www.{BLOCKED}ab.com"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{GUID}_is1
NoModify = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{GUID}_is1
NoRepair = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{GUID}_is1
InstallDate = "{date}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{GUID}_is1
MajorVersion = "2016"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{GUID}_is1
MinorVersion = "10"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{GUID}_is1
EstimatedSize = "52030"

HKEY_CURRENT_USER\Software\Rene.E Laboratory
JoinOperationShare = "1"

HKEY_CURRENT_USER\Software\Trolltech\
OrganizationDefaults\Qt Plugin Cache 4.8.false\%Program Files%\
Rene.E Laboratory\PDFAide\imageformats
qgif4.dll = "\x00\x00\x00\x00"

HKEY_CURRENT_USER\Software\Trolltech\
OrganizationDefaults\Qt Factory Cache 4.8\com.trolltech.Qt.QImageIOHandlerFactoryInterface:\
%Program Files%\Rene.E Laboratory\PDFAide\
imageformats
qgif4.dll = "\x00\x00"

HKEY_CURRENT_USER\Software\Trolltech\
OrganizationDefaults\Qt Plugin Cache 4.8.false\%Program Files%\
Rene.E Laboratory\PDFAide\imageformats
qjpeg4.dll = "\x00\x00\x00\x00"

HKEY_CURRENT_USER\Software\Trolltech\
OrganizationDefaults\Qt Factory Cache 4.8\com.trolltech.Qt.QImageIOHandlerFactoryInterface:\
%Program Files%\Rene.E Laboratory\PDFAide\
imageformats
qjpeg4.dll = "\x00\x00\x00"

HKEY_CURRENT_USER\Software\Trolltech\
OrganizationDefaults\Qt Plugin Cache 4.8.false\%Program Files%\
Rene.E Laboratory\PDFAide\imageformats
qtiff4.dll = "\x00\x00\x00\x00"

HKEY_CURRENT_USER\Software\Trolltech\
OrganizationDefaults\Qt Factory Cache 4.8\com.trolltech.Qt.QImageIOHandlerFactoryInterface:\
%Program Files%\Rene.E Laboratory\PDFAide\
imageformats
qtiff4.dll = "\x00\x00\x00"

HKEY_CURRENT_USER\Software\Rene.E Laboratory\
PDFAide
FreeVersionDaysEntry = "{hex data}"

その他

プログラムは、以下の不正なWebサイトにアクセスします。

  • http://rp.{BLOCKED}uardapp.com/
  • http://os.{BLOCKED}uardapp.com/FusionReneeLab/
  • http://os2.{BLOCKED}uardapp.com/FusionReneeLab/
  • http://os.{BLOCKED}uardapp.com/FusionReneeLab/

  対応方法

対応検索エンジン: 9.850
SSAPI パターンバージョン: 2.203.00
SSAPI パターンリリース日: 2019年8月8日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

自身のアンインストールオプションを使用し、「PUA.Win32.FusionCore.SMBD」を削除します。

[ 詳細 ]
マルウェアのプロセスの削除

手順 3

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「PUA.Win32.FusionCore.SMBD」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください