TROJ_DROPPER.XXTVF
Windows
![](/vinfo/imgFiles/JPlegend.jpg)
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のフォルダを作成します。
- %System Root%\TLead
- ADB_Tool
- App
- BitviseSSHClient
- Data
- Images
- Images\Blue
- Images\Site
- Images\Tinsoft
- Images\xChanger
- ListApp
- ListApp\Keyboar
- ListApp\TV
- Script
- Settings
- x64
- x86
- Images\App
- Images\Error
- Images\Script
- Images\Skip
- %System Root%\Documents and Settings\Wilbert
(註:%System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)
作成活動
マルウェアは、以下のファイルを作成します。
- %User Temp%\TLeadSetup.exe
- %User Temp%\tue3.exe
- __tmp_rar_sfx_access_check_377421
- TLead.exe
- ADB_Tool\adb.exe
- %System Root%\TLead\ADB_Tool\adb.exe
- ADB_Tool\AdbWinApi.dll
- ADB_Tool\AdbWinUsbApi.dll
- ADB_Tool\BSC.apk
- ADB_Tool\fastboot.exe
- ADB_Tool\sync
- ADB_Tool\tmp7
- ADB_Tool\tmp8
- ADB_Tool\uninstall.dat
- ADB_Tool\wipe.dat
- App\AppClick1 (2).bmp
- %System Root%\TLead\App\AppClick1 (2).bmp
- App\AppClick1.bmp
- App\AppClick2 (2).bmp
- App\AppClick2.bmp
- App\AppClick3.bmp
- App\AppClick4.bmp
- App\AppClick5.bmp
- App\AppClick6.bmp
- App\AppClickFinishs.bmp
- App\click_15800.bmp
- App\click_61434.bmp
- BitviseSSHClient\1080.bscp
- %System Root%\TLead\BitviseSSHClient\1080.bscp
- BitviseSSHClient\BvSsh.exe
- Data\database.db
- %System Root%\TLead\Data\database.db
- Data\ssh.txt
- Data\ssh_IN.txt
- Data\username.txt
- Images\Blue\install.bmp
- %System Root%\TLead\Images\Blue\install.bmp
- Images\Blue\open.bmp
- Images\Site\SiteDowload.bmp
- %System Root%\TLead\Images\Site\SiteDowload.bmp
- Images\Tinsoft\complete.bmp
- %System Root%\TLead\Images\Tinsoft\complete.bmp
- Images\Tinsoft\error.bmp
- Images\Tinsoft\submit.bmp
- Images\xChanger\click1.bmp
- %System Root%\TLead\Images\xChanger\click1.bmp
- Images\xChanger\click2.bmp
- Images\xChanger\default.bmp
- ListApp\Keyboar\AppClickFinish.bmp
- %System Root%\TLead\ListApp\Keyboar\AppClickFinish.bmp
- ListApp\Keyboar\click_03411.bmp
- ListApp\Keyboar\click_08772.bmp
- ListApp\Keyboar\click_21335.bmp
- ListApp\Keyboar\click_26515.bmp
- ListApp\Keyboar\click_30788.bmp
- ListApp\Keyboar\click_31482.bmp
- ListApp\Keyboar\click_33525.bmp
- ListApp\Keyboar\click_40871.bmp
- ListApp\Keyboar\click_41621.bmp
- ListApp\Keyboar\click_43222.bmp
- ListApp\Keyboar\click_43371.bmp
- ListApp\Keyboar\click_52468.bmp
- ListApp\Keyboar\click_55810.bmp
- ListApp\Keyboar\click_57277.bmp
- ListApp\Keyboar\click_68721.bmp
- ListApp\Keyboar\click_71800.bmp
- ListApp\Keyboar\click_74877.bmp
- ListApp\Keyboar\click_80532.bmp
- ListApp\Keyboar\click_81715.bmp
- ListApp\Keyboar\click_85855.bmp
- ListApp\TV\AppClick1 (2).bmp
- %System Root%\TLead\ListApp\TV\AppClick1 (2).bmp
- ListApp\TV\AppClick1.bmp
- ListApp\TV\AppClick2 (2).bmp
- ListApp\TV\AppClick2.bmp
- ListApp\TV\AppClick3.bmp
- ListApp\TV\AppClick5.bmp
- ListApp\TV\AppClick6.bmp
- ListApp\TV\AppClickFinishs.bmp
- Script\Test.txt
- %System Root%\TLead\Script\Test.txt
- Settings\bluestacks.ini
- %System Root%\TLead\Settings\bluestacks.ini
- Settings\info.ini
- Settings\rrs.ini
- Settings\tool.ini
- x64\SQLite.Interop.dll
- %System Root%\TLead\x64\SQLite.Interop.dll
- x86\SQLite.Interop.dll
- %System Root%\TLead\x86\SQLite.Interop.dll
- AutoItX3.dll
- ELibs.dll
- ImageSearchDLL.dll
- Ionic.Zip.dll
- log.txt
- MoreLinq.dll
- script.exe
- ssh.bscp
- System.Data.SQLite.dll
- %Desktop%\TLead.lnk
(註:%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.. %System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.. %Desktop%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Desktop"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\Desktop" です。.)
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- {BLOCKED}.28.79
このウイルス情報は、自動解析システムにより作成されました。
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
以下のファイルを検索し削除します。
- %User Temp%\TLeadSetup.exe
- %User Temp%\tue3.exe
- __tmp_rar_sfx_access_check_377421
- TLead.exe
- ADB_Tool\adb.exe
- %System Root%\TLead\ADB_Tool\adb.exe
- ADB_Tool\AdbWinApi.dll
- ADB_Tool\AdbWinUsbApi.dll
- ADB_Tool\BSC.apk
- ADB_Tool\fastboot.exe
- ADB_Tool\sync
- ADB_Tool\tmp7
- ADB_Tool\tmp8
- ADB_Tool\uninstall.dat
- ADB_Tool\wipe.dat
- App\AppClick1 (2).bmp
- %System Root%\TLead\App\AppClick1 (2).bmp
- App\AppClick1.bmp
- App\AppClick2 (2).bmp
- App\AppClick2.bmp
- App\AppClick3.bmp
- App\AppClick4.bmp
- App\AppClick5.bmp
- App\AppClick6.bmp
- App\AppClickFinishs.bmp
- App\click_15800.bmp
- App\click_61434.bmp
- BitviseSSHClient\1080.bscp
- %System Root%\TLead\BitviseSSHClient\1080.bscp
- BitviseSSHClient\BvSsh.exe
- Data\database.db
- %System Root%\TLead\Data\database.db
- Data\ssh.txt
- Data\ssh_IN.txt
- Data\username.txt
- Images\Blue\install.bmp
- %System Root%\TLead\Images\Blue\install.bmp
- Images\Blue\open.bmp
- Images\Site\SiteDowload.bmp
- %System Root%\TLead\Images\Site\SiteDowload.bmp
- Images\Tinsoft\complete.bmp
- %System Root%\TLead\Images\Tinsoft\complete.bmp
- Images\Tinsoft\error.bmp
- Images\Tinsoft\submit.bmp
- Images\xChanger\click1.bmp
- %System Root%\TLead\Images\xChanger\click1.bmp
- Images\xChanger\click2.bmp
- Images\xChanger\default.bmp
- ListApp\Keyboar\AppClickFinish.bmp
- %System Root%\TLead\ListApp\Keyboar\AppClickFinish.bmp
- ListApp\Keyboar\click_03411.bmp
- ListApp\Keyboar\click_08772.bmp
- ListApp\Keyboar\click_21335.bmp
- ListApp\Keyboar\click_26515.bmp
- ListApp\Keyboar\click_30788.bmp
- ListApp\Keyboar\click_31482.bmp
- ListApp\Keyboar\click_33525.bmp
- ListApp\Keyboar\click_40871.bmp
- ListApp\Keyboar\click_41621.bmp
- ListApp\Keyboar\click_43222.bmp
- ListApp\Keyboar\click_43371.bmp
- ListApp\Keyboar\click_52468.bmp
- ListApp\Keyboar\click_55810.bmp
- ListApp\Keyboar\click_57277.bmp
- ListApp\Keyboar\click_68721.bmp
- ListApp\Keyboar\click_71800.bmp
- ListApp\Keyboar\click_74877.bmp
- ListApp\Keyboar\click_80532.bmp
- ListApp\Keyboar\click_81715.bmp
- ListApp\Keyboar\click_85855.bmp
- ListApp\TV\AppClick1 (2).bmp
- %System Root%\TLead\ListApp\TV\AppClick1 (2).bmp
- ListApp\TV\AppClick1.bmp
- ListApp\TV\AppClick2 (2).bmp
- ListApp\TV\AppClick2.bmp
- ListApp\TV\AppClick3.bmp
- ListApp\TV\AppClick5.bmp
- ListApp\TV\AppClick6.bmp
- ListApp\TV\AppClickFinishs.bmp
- Script\Test.txt
- %System Root%\TLead\Script\Test.txt
- Settings\bluestacks.ini
- %System Root%\TLead\Settings\bluestacks.ini
- Settings\info.ini
- Settings\rrs.ini
- Settings\tool.ini
- x64\SQLite.Interop.dll
- %System Root%\TLead\x64\SQLite.Interop.dll
- x86\SQLite.Interop.dll
- %System Root%\TLead\x86\SQLite.Interop.dll
- AutoItX3.dll
- ELibs.dll
- ImageSearchDLL.dll
- Ionic.Zip.dll
- log.txt
- MoreLinq.dll
- script.exe
- ssh.bscp
- System.Data.SQLite.dll
- %Desktop%\TLead.lnk
手順 3
以下のフォルダを検索し削除します。
- %System Root%\TLead
- ADB_Tool
- App
- BitviseSSHClient
- Data
- Images
- Images\Blue
- Images\Site
- Images\Tinsoft
- Images\xChanger
- ListApp
- ListApp\Keyboar
- ListApp\TV
- Script
- Settings
- x64
- x86
- Images\App
- Images\Error
- Images\Script
- Images\Skip
- %System Root%\Documents and Settings\Wilbert
手順 4
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TROJ_DROPPER.XXTVF」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください