更新者 : Adrian Cofreros
 別名:

RDN/Downloader.a!ti (McAfee); Trojan.Asprox.B (Symantec); Trojan-Downloader.Win32.Goo.pqa (Kaspersky); Troj/Wonton-IR (Sophos); Trojan.Win32.Generic!BT (Sunbelt); Trojan horse Inject2.AWYN (AVG)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 71,168 bytes
タイプ EXE
メモリ常駐 はい
発見日 2014年10月21日
ペイロード URLまたはIPアドレスに接続, ファイルのダウンロード

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

  • MD7H82HHF7EH2D73

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\SOFTWARE\NVIDIA Corporation\
Global\nvUpdSrv

マルウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\NVIDIA Corporation\
Global\nvUpdSrv
value = {ininitally the installed version of malware which is "12140920"}

HKEY_CURRENT_USER\Software\NVIDIA Corporation\
Global\nvUpdSrv
GUID = {GUID}

ダウンロード活動

マルウェアは、以下のWebサイトにアクセスして自身のコンポーネントファイルをダウンロードします。

  • {BLOCKED}.{BLOCKED}.180.16:32136
  • {BLOCKED}.{BLOCKED}.119.253:18625
  • {BLOCKED}.{BLOCKED}.103.78:36034
  • {BLOCKED}.{BLOCKED}.211.42:58264
  • {BLOCKED}.{BLOCKED}.9.198:29296
  • {BLOCKED}.{BLOCKED}.137.9:51340
  • {BLOCKED}.{BLOCKED}.160.220:49878
  • {BLOCKED}.{BLOCKED}.138.236:46116
  • {BLOCKED}.{BLOCKED}.116.234:35621
  • {BLOCKED}.{BLOCKED}.219.16:49976
  • {BLOCKED}.{BLOCKED}.97.247:30577
  • {BLOCKED}.{BLOCKED}.143.244:48775
  • {BLOCKED}.{BLOCKED}.186.250:16193
  • {BLOCKED}.{BLOCKED}.62.4:16660
  • {BLOCKED}.{BLOCKED}.175.20:49105
  • {BLOCKED}.{BLOCKED}.42.114:18397
  • {BLOCKED}.{BLOCKED}.72.1:19919
  • {BLOCKED}.{BLOCKED}.223.18:22740
  • {BLOCKED}.{BLOCKED}.92.3:53109
  • {BLOCKED}.{BLOCKED}.227.173:19592
  • {BLOCKED}.{BLOCKED}.72.235:49719
  • {BLOCKED}.{BLOCKED}.227.1:29071
  • {BLOCKED}.{BLOCKED}.233.149:35173
  • {BLOCKED}.{BLOCKED}.250.108:19004
  • {BLOCKED}.{BLOCKED}.192.206:41023
  • {BLOCKED}.{BLOCKED}.171.130:13586
  • {BLOCKED}.{BLOCKED}.76.42:29178
  • {BLOCKED}.{BLOCKED}.1.10:49891
  • {BLOCKED}.{BLOCKED}.4.190:19413
  • {BLOCKED}.{BLOCKED}.148.126:58046
  • {BLOCKED}.{BLOCKED}.51.32:33008
  • {BLOCKED}.{BLOCKED}.84.52:12825
  • {BLOCKED}.{BLOCKED}.82.43:51515
  • {BLOCKED}.{BLOCKED}.243.115:25603
  • {BLOCKED}.{BLOCKED}.211.203:32872
  • {BLOCKED}.{BLOCKED}.48.190:61307
  • {BLOCKED}.{BLOCKED}.145.14:37470
  • {BLOCKED}.{BLOCKED}.119.254:38354
  • {BLOCKED}.{BLOCKED}.73.170:27174
  • {BLOCKED}.{BLOCKED}.94.2:11754
  • {BLOCKED}.{BLOCKED}.11.115:15396
  • {BLOCKED}.{BLOCKED}.215.209:15551
  • {BLOCKED}.{BLOCKED}.149.150:62059
  • {BLOCKED}.{BLOCKED}.26.250:19285
  • {BLOCKED}.{BLOCKED}.155.156:30111
  • {BLOCKED}.{BLOCKED}.151.187:39179
  • {BLOCKED}.{BLOCKED}.9.199:25127
  • {BLOCKED}.{BLOCKED}.82.41:21999
  • {BLOCKED}.{BLOCKED}.58.68:23480
  • {BLOCKED}.{BLOCKED}.38.236:28654
  • {BLOCKED}.{BLOCKED}.88.50:61107
  • {BLOCKED}.{BLOCKED}.104.204:60098
  • {BLOCKED}.{BLOCKED}.153.26:51982
  • {BLOCKED}.{BLOCKED}.139.225:26545
  • {BLOCKED}.{BLOCKED}.148.25:10925
  • {BLOCKED}.{BLOCKED}.32.138:10315
  • {BLOCKED}.{BLOCKED}.126.77:33918
  • {BLOCKED}.{BLOCKED}.179.119:64167
  • {BLOCKED}.{BLOCKED}.2.42:31710
  • {BLOCKED}.{BLOCKED}.117.15:39361
  • {BLOCKED}.{BLOCKED}.145.233:54275
  • {BLOCKED}.{BLOCKED}.144.4:33816
  • {BLOCKED}.{BLOCKED}.48.52:41628
  • {BLOCKED}.{BLOCKED}.255.157:10238
  • {BLOCKED}.{BLOCKED}.250.34:33906
  • {BLOCKED}.BLOCKED}.162.167:25833
  • {BLOCKED}.{BLOCKED}.10.10:47298
  • {BLOCKED}.{BLOCKED}.248.42:36427
  • {BLOCKED}.{BLOCKED}.139.127:58914
  • {BLOCKED}.{BLOCKED}.223.12:49116
  • {BLOCKED}.{BLOCKED}.128.22:12898
  • {BLOCKED}.{BLOCKED}.205.159:51633
  • {BLOCKED}.{BLOCKED}.65.70:48741
  • {BLOCKED}.{BLOCKED}.86.17:42737
  • {BLOCKED}.{BLOCKED}.30.17:36991
  • {BLOCKED}.{BLOCKED}.36.253:35367
  • {BLOCKED}.{BLOCKED}.195.163:44937
  • {BLOCKED}.{BLOCKED}.118.200:31973
  • {BLOCKED}.{BLOCKED}.227.159:27247
  • {BLOCKED}.{BLOCKED}.96.17:16107
  • {BLOCKED}.{BLOCKED}.224.67:40259
  • {BLOCKED}.{BLOCKED}.146.9:26084
  • {BLOCKED}.{BLOCKED}.4.167:13737
  • {BLOCKED}.{BLOCKED}.113.172:48166
  • {BLOCKED}.{BLOCKED}.165.113:30007
  • {BLOCKED}.{BLOCKED}.137.179:17653
  • {BLOCKED}.{BLOCKED}.140.57:22512
  • {BLOCKED}.{BLOCKED}.197.36:31571
  • {BLOCKED}.{BLOCKED}.50.2:54663
  • {BLOCKED}.{BLOCKED}.0.237:33097
  • {BLOCKED}.{BLOCKED}.102.111:46975
  • {BLOCKED}.{BLOCKED}.43.92:41780
  • {BLOCKED}.{BLOCKED}.190.54:26630
  • {BLOCKED}.{BLOCKED}.70.40:17896
  • {BLOCKED}.{BLOCKED}.143.129:21583
  • {BLOCKED}.{BLOCKED}.126.61:60541
  • {BLOCKED}.{BLOCKED}.0.216:37288
  • {BLOCKED}.{BLOCKED}.152.141:31643
  • {BLOCKED}.{BLOCKED}.118.230:49649
  • {BLOCKED}.{BLOCKED}.107.132:19796
  • {BLOCKED}.{BLOCKED}.140.51:16549

    マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。

    • %User Temp%\nvu{random}.tmp.exe - it executes this file

    (註:%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。)

    その他

    以下のファイル名で保存したファイルは、マルウェアにより実行されます。

    • %User Temp%\nvu{random}.tmp.exe

    マルウェアは、以下のHTTP GETリクエストを送信することにより上述のIPアドレスを通知します。そして、ダウンロード前に追加の応答を待ちます。

    • stat?uid={value}&downlink={value}&uplink={value}&id={value}&statpass={value}&version={installed version}&features={value}&guid={guid}&comment={value}&p={value}&s={value}

    ただし、情報公開日現在、このリクエストは機能しません。

    マルウェアは、通信上の情報を受信し、以下のレジストリの値を更新することが可能です。

    HKEY_CURRENT_USER\Software\NVIDIA Corporation\Global\nvUpdSr
    value = {value}

    また、マルウェアは、上述のIPアドレス以外へもアクセスし、他の情報を受信することも可能です。マルウェアは、この新しい通信上でもダウンロードが可能です。

    マルウェアは、ルートキット機能を備えていません。

    マルウェアは、脆弱性を利用した感染活動を行いません。

  対応方法

対応検索エンジン: 9.700
初回 VSAPI パターンバージョン 11.230.05
初回 VSAPI パターンリリース日 2015年8月23日
VSAPI OPR パターンバージョン 11.231.00
VSAPI OPR パターンリリース日 2015年8月24日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 3

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 4

不明なレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_CURRENT_USER\SOFTWARE\NVIDIA Corporation\Global
    • nvUpdSrv

手順 5

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。  
  • %User Temp%\nvu{random}.tmp.exe

手順 6

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TROJ_CARBERP.ERO」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください