解析者: Michelle Morales   

 別名:

Trojan:Win32/EqtonDrag.A!dha (Microsoft); HEUR:Trojan.Win32.EquationDrug.gen (Kaspersky); Trojan.Win32.Dottun (Ikarus); a variant of Win32/Dottun.AA (ESET); Trojan.Equdrug (Symantec)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

  概要

感染経路 インターネットからのダウンロード

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、感染コンピュータをスキャンし、ウイルスおよびセキュリティ対策製品に関連するレジストリキーを確認します。この動作は、マルウェアが感染コンピュータ上での検出を避けるためにするものと考えられます。

マルウェアは、作成したファイルを実行します。

  詳細

ファイルサイズ 380,928 bytes
タイプ EXE
メモリ常駐 はい
発見日 2015年2月17日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

他のシステム変更

マルウェアは、感染コンピュータをスキャンし、ウイルスおよびセキュリティ対策製品に関連する以下のレジストリキーを確認します。

Zone Labs\TrueVector

Zone Labs\ZoneAlarm

KasperskyLab

Network Ice\BlackIce

Agnitum\Outpost Firewall

Sygate Technologies, Inc.\Sygate Personal Firewall

Norman

Data Fellows\F-Secure

PWI, Inc.

rising

Softwin

network associates\tvd\shared components\
on access scanner\behaviourblocking\FileBlockEnabled_27!=0

network associates\tvd\shared components\
on access scanner\behaviourblocking\FileBlockEnabled_28!=0

network associates\tvd\shared components\
on access scanner\behaviourblocking\FileBlockEnabled_29!=0

network associates\tvd\shared components\
on access scanner\behaviourblocking\FileBlockEnabled_30!=0

McAfee\ePolicy Orchestrator\Application Plugins\
VIRUSCAN8600

Sophos

CA\CAPF

CA\HIPSEngine

Cisco

Symantec\IDS

Symantec\Norton 360

Symantec\Internet Security\SuiteOwnerGuid

Symantec\Norton AntiBot

Symantec\Symantec Endpoint Protection

Tiny Software\Tiny Firewall

CyberMedia Inc\Guard Dog

McAfee\Guard Dog

McAfee\McAfee Firewall

McAfee\Personal Firewall

McAfee.com\Personal Firewall

Network Associates\McAfee Fire

Kerio

BullGuard Ltd.\BullGuard

TheGreenBow

Panda Software\Firewall

TrendMicro\PC-cillin

ComputerAssociates\eTrust Suite Personal\pfw

Grisoft\Firewall\

作成活動

マルウェアは、以下のファイルを作成します。

  • %System%\msnadt.exe --> this file deletes itself after execution

(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

マルウェアは、作成したファイルを実行します。

  対応方法

対応検索エンジン: 9.700
初回 VSAPI パターンバージョン 11.484.01
初回 VSAPI パターンリリース日 2015年2月17日
VSAPI OPR パターンバージョン 11.485.00
VSAPI OPR パターンリリース日 2015年2月18日

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TROJ_DOTTUN.VTH」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください