解析者: Jed Valderama   
 別名:

Trojan.Win32.Jorik.Totem.vu (Kaspersky), PWS-Zbot.gen.ajf (McAfee)

 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

  概要

感染経路 Eメールを介したスパム活動

トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。

マルウェアは、2012年ロンドンオリンピックの話題を利用してユーザを狙うマルウェアです。マルウェアが送信するメッセージは、オリンピック選手のスキャンダルについての動画をユーザに紹介します。ユーザは、動画を視聴する代わりに、偽の「YouTube」のWebサイトにリダイレクトされます。

マルウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。

  詳細

ファイルサイズ 66,048 bytes
タイプ EXE
メモリ常駐 はい
発見日 2012年8月4日
ペイロード URLまたはIPアドレスに接続, メッセージの送信

侵入方法

マルウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。

インストール

マルウェアは、以下のプロセスを追加します。

  • svchost.exe

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

  • "femokybhawam"

マルウェアは、以下のプロセスに自身を組み込み、システムのプロセスに常駐します。

  • previously created svchost.exe

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
femokybhawam = "%User Profile%\femokybhawam.exe"

他のシステム変更

マルウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion
femokybhawam = "{malware code}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion
AppManagement = "{hex values}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSetServices\
Tcpip\Parameters
MaxUserPort = "dword:0000FFFE"

その他

マルウェアは、以下のWebサイトにアクセスして不正なファイルをダウンロードします。

  • http://www.{BLOCKED}Xx.com/40E800105D592623DB4A9523B1FC5C244044B3256C00000012660000000076
    00000007EB0005305CB7315B6E00000000

マルウェアは、スパム活動の過程で、メッセージを作成します。この送信用メッセージは、以下のリンクを含んでいます。

  • http://{BLOCKED}aard.nl/london.html
  • http://{BLOCKED}es.ee/wp-content/videoaudio/temp/london.html
  • http://{BLOCKED}ru.com/london.html
  • http://wittdj.{BLOCKED}aradies.info/wp-content/videoaudio/temp/london.html
  • http://www.{BLOCKED}use.com/wp-content/videoaudio/temp/london.html
  • http://www.{BLOCKED}oevergast.nl/london.html
  • http://www.{BLOCKED}on.com/temp/london.html
  • http://www.{BLOCKED}o.se/london.html

マルウェアは、以下のSMTPサーバのいずれかを利用して、メッセージを送信します。

  • alt4.gmail-smtp-in.l.google.com
  • gmail-smtp-in.l.google.com
  • in1.smtp.messagingengine.com
  • mail7.digitalwaves.co.nz
  • mxs.mail.ru

また、マルウェアは、以下の無害なWebサイトにアクセスします。

  • 0-balance-transfer.com
  • 0-savings.com
  • 0a3manacor.org
  • 0avocat.ca
  • 0c0m0y0k.de
  • 0connor.com
  • 0creativity.com
  • 0ctober.com
  • 0dayguru.com
  • 0daymusic.biz
  • 0daypatch.com
  • 0degree.com
  • 0direct.info
  • 0distortion.net
  • 0divide.com
  • 0dollardomain.com
  • 0dollarmerchantaccounts.com
  • 0domainname.com
  • 0downhomemortgage.com
  • 0downhomemortgages.com
  • 0downpmt.com
  • 0downproperties.com
  • 0downtime.com
  • 0dutycigs.com
  • 0factor.com
  • 0handicap.at
  • 0kommanix.de
  • 0promotion.com
  • 0ptical.net
  • 0salvamont.ro
  • 4-debt-elimination.com
  • 4-elements.ch
  • 4-elements.se
  • 4-estateagent.com
  • 4-everandaday.com
  • 4-exports.gr
  • 4darabians.nl
  • 4dasoul.com
  • 4daysinbq.com
  • 4dbabamozi.hu
  • 4dbenelux.be
  • 4degreez.com
  • 4dmobil.at
  • 4dxgroup.com
  • 4dzsocietiez.com
  • 4e-energiezentrale.de
  • 4e-ingenieria.com
  • 4e-solutions.ch
  • 4ebooksnow.com
  • 4economics.com
  • 4ecopromotions.com
  • 4edgewater.com
  • 4educationinformation.com
  • 4eglass.com
  • 4egolifestyle.de
  • 4eigner.net
  • 4einstitute.jp
  • 4elation.com
  • 4eldoradorealestate.com
  • 4electrolysis.com
  • 4elementdesign.com
  • 4elementos.cl
  • 4elementos.es
  • 4elements.cz
  • 4elements.de-webspace.de
  • 4elements.gr
  • 4elements.net
  • 4elements.pl
  • 4elements.us
  • 4elementsaward.com
  • 4elementsinaction.com
  • 4eleven.com
  • 4emails.de
  • 4emergence.com
  • 4emotion.pl
  • 4emotions.de
  • 4emultimedia.com
  • 4enerchi.nl
  • 4energia.ee
  • 4engagementrings.com
  • 4englishexams.com
  • 4englishhotels.com
  • 4equestrian.com
  • 4ergindl.at
  • 4esnokov.ru
  • 4esport.de
  • 4esports.eu
  • 4esprit.com
  • 4essence.eu
  • 4estates.eu
  • 4estatesales.com
  • 4eternity.ch
  • 4etverg.ru
  • 4eurohouse.com
  • 4euroweb.com
  • 4evenmore.net
  • 4events.at
  • 4ever-friends.com
  • 4ever-hosting.de
  • 4everblessed.com
  • 4evercleaning.com
  • 4everdesign.com
  • 4everdreams.nl
  • 4everevents.nl
  • 4everevolving.com
  • 4everfamily.com
  • 4everfloyd.com
  • 4everfriends.net
  • 4evergifts4u.com
  • 4evergreenlawncare.com
  • 4everhomes.org
  • 4everkeepsakes.com
  • 4everlogo.com
  • 4everlost.com
  • 4evermusic.pl
  • 4evernew.com
  • 4everone.net
  • 4everphp.de
  • 4everproductions.com
  • 4everrose.com
  • 4eversoft.hu
  • 4everweb.nl
  • 4everwedding.com
  • 4every1.cc
  • 4every1.cz
  • 4everyman.com
  • 4everyone.nl
  • 4everyware.com
  • 4everywhere.com
  • 4ezdiet.com
  • 4figures.info
  • 6vrelay.com
  • 6weekstosoccermagic.com
  • 7addad-scripts.com
  • 7adharat.com
  • 8th1der.com
  • 8toinfinity.com
  • 8ung3st.de
  • 8zaamarchitecten.nl
  • 8zsmost.cz
  • 8zstabor.taborak.cz
  • 9.194.193.110.abbemae.com
  • 9ktuning.com
  • 9lupine.com
  • 9medien.de
  • 9monthproject.com
  • 9nepasa.ro
  • 9netweb.it
  • 9neunzig.de
  • 9ninehalf.com
  • 9notguilty.com
  • 9oakflooring.com
  • 9online.fr
  • 9records.com
  • 9t6grafikdesign.de
  • 9thstreetcharities.org
  • 9vad4r95bfux.sy
  • 9voltalkalinebatteries.com
  • 9voltrecords.com
  • 9volttaco.com
  • 9wallpapers.com
  • 9webhosting.net
  • 9welten.de
  • 9westjewelers.com
  • 9wishes.com
  • Running
  • WinSock 2.0
  • XNG74evernew.com
  • accordindustries.com
  • accords-bilateraux.ch
  • accordtechnologies.com
  • accountantskantoordekoning.nl
  • accountantsvirtualservices.com
  • accounting-consulting.de
  • accounting-education.com
  • accountingbusinessservice.com
  • accountingchile.com
  • accountingchum.com
  • accountingcircle.com
  • accountingformanagement.com
  • accountingmarketing.net
  • accountingsmallbusiness.net
  • accountingtechs.biz
  • hijsoft.ru
  • shanisoft.kz

マルウェアは、上述のWebサイトにランダムな30文字を付加します。これにより、マルウェアが、他の目的のために変更されたWebサイトを利用していることを示します。

  対応方法

対応検索エンジン: 9.200
初回 VSAPI パターンバージョン 9.310.08
初回 VSAPI パターンリリース日 2012年8月9日
VSAPI OPR パターンバージョン 9.311.00
VSAPI OPR パターンリリース日 2012年8月9日

手順 1

Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアのパス名およびファイル名を確認します。
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用いてウイルス検索を実行してください。「TROJ_DLOAD.BTN」で検出したパス名およびファイル名を確認し、メモ等をとってください。

手順 3

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 4

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • femokybhawam = "%User Profile%\femokybhawam.exe"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
    • femokybhawam = "{malware code}"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
    • AppManagement = "hex values"
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSetServices\Tcpip\Parameters
    • MaxUserPort = "dword:0000FFFE"

手順 5

TROJ_DLOAD.BTN として検出されたファイルを検索し削除します。

註:このファイルは、隠しファイルとして設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

不正なコンポーネントファイルの手動削除:

  1. [スタート]-[検索]-[ファイルとフォルダすべて]を選択します。
    註:Windowsのバージョンによって異なります。
  2. [ファイル名のすべてまたは一部]に、上記で検出されたファイル名を入力してください。
  3. [探す場所]の一覧から[マイコンピュータ]を選択し、[検索]を押します。
  4. 検索が終了したら、ファイルを選択し、SHIFT+DELETEを押します。これにより、ファイルが完全に削除されます。
  5. 以下のファイルに対して、この不正なコンポーネントファイルの削除の手順2.)から4.)を繰り返してください。

手順 6

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TROJ_DLOAD.BTN」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください