TROJ_DROPPR.UT

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、実行後、自身を削除します。

ファイルサイズ 155,648 bytes

タイプ EXE

メモリ常駐なし

発見日 2013年10月25日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

他のシステム変更

マルウェアは、以下のファイルを削除します。

%User Profile%\Local Settings\WmdmPmSN.exe

(註：%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞" です。)

作成活動

マルウェアは、以下のファイルを作成します。

%User Temp%\~D35463.tmp
%User Temp%\~D35464.tmp
%User Profile%\Local Settings\WmdmPmSN.exe

(註：%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。. %User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞" です。)

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

http://roudan.{BLOCKED}tp.com:443/default.jsp?nn=nojvdg1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/page.jsp?uz=plfjhc1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/index.jsp?bd=koxddd1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/default.jsp?ot=zlkgtt1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/login.jsp?at=rtctbi1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/default.jsp?mk=gkmiit1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/security.jsp?jl=bydxst1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/page.jsp?ex=pieblj1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/process.jsp?vw=cagbbi1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/security.jsp?ll=oclmur1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/page.jsp?zt=dbsekd1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/index.jsp?mg=jcsyvr1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/index.jsp?of=hluqej1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/parse.jsp?ou=qvuktg1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/query.jsp?kw=tgfvyg1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/default.jsp?ac=yddyxg1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/query.jsp?pu=wjitdn1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/index.jsp?ie=jkjdxe1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/parse.jsp?ko=xvxclu1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/parse.jsp?tx=yloxry1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/parse.jsp?yo=etapft1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/page.jsp?ll=jhgrsb1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/default.jsp?ck=nvnqrt1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/index.jsp?zx=jcfejc1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/login.jsp?fj=iovdca1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/default.jsp?ic=bglyab1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/user.jsp?nr=erojcl1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/default.jsp?ms=yzmdpm1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/query.jsp?xt=uyxvzs1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/default.jsp?ms=gyurbe1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/security.jsp?gg=insnnp1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/login.jsp?ze=wgouws1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/about.jsp?iz=ximwmr1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/security.jsp?qk=ktrbvx1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/login.jsp?bf=abwsbs1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/login.jsp?pi=jffoxw1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/default.jsp?rf=fkgths1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/parse.jsp?qr=guhdiu1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/process.jsp?om=qxyzkt1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/security.jsp?iv=eetltk1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/user.jsp?sa=djdqlb1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/security.jsp?bi=unlgqw1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/user.jsp?yg=dzemuk1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/page.jsp?lq=tjhyef1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/login.jsp?iu=ogszqg1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/parse.jsp?xj=mmgyqw1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/parse.jsp?ln=hnltus1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/page.jsp?pq=kvzejq1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/process.jsp?ir=hjlvaw1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/process.jsp?ik=udxclt1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/default.jsp?zh=ywthqp1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/login.jsp?gl=hdicus1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/default.jsp?oh=wlsjeg1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/index.jsp?sa=ihyjhn1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/about.jsp?eu=jzogbr1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/security.jsp?dr=ktwwgw1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/page.jsp?au=efstng1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/query.jsp?jv=uadauw1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/index.jsp?mu=lcxcsl1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/login.jsp?nl=vafcae1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/page.jsp?eb=nhydcs1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/process.jsp?as=igvoiw1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/index.jsp?ze=fxsuhv1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/page.jsp?rv=uwjivy1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/user.jsp?ts=votdwm1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/login.jsp?km=skocej1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/page.jsp?xq=xnxcxc1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/query.jsp?ml=auqjbd1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/page.jsp?rn=hkozkx1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/user.jsp?yu=ekfepx1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/login.jsp?eo=pnzezd1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/default.jsp?to=srnkkq1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/login.jsp?bm=xjdanz1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/page.jsp?bp=pbctnq1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/query.jsp?bk=hitivv1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/default.jsp?ny=ujvszk1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/security.jsp?jf=ucaerb1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/query.jsp?oq=xchfdj1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/login.jsp?ii=feyepy1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/security.jsp?of=dtpoke1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/page.jsp?zz=putbvb1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/index.jsp?ln=nqbxzn1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/index.jsp?jl=tkgmzg1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/login.jsp?ye=vlkbph1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/default.jsp?jn=fscwnx1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/parse.jsp?co=jxvnng1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/page.jsp?xg=axgbmh1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/about.jsp?mf=ftjfyb1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/process.jsp?ei=ujcsgx1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/user.jsp?yy=gvwebe1161670G5G9F
http://roudan.{BLOCKED}tp.com:80/page.jsp?gx=ytwxgg1161670G5G9F

マルウェアは、実行後、自身を削除します。

このウイルス情報は、自動解析システムにより作成されました。

対応検索エンジン: 9.300

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

以下のファイルを検索し削除します。

[ 詳細 ]

コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

%User Temp%\~D35463.tmp
%User Temp%\~D35464.tmp
%User Profile%\Local Settings\WmdmPmSN.exe

手順 3

最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TROJ_DROPPR.UT」と検出したファイルはすべて削除してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 4

以下のファイルをバックアップを用いて修復します。なお、マイクロソフト製品に関連したファイルのみ修復されます。このマルウェア／グレイウェア／スパイウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。

%User Profile%\Local Settings\WmdmPmSN.exe

ご利用はいかがでしたか？　アンケートにご協力ください

概要

詳細

対応方法

リソース

サポート

会社概要

東京本社

TROJ_DROPPR.UT

概要

詳細

対応方法

リソース

サポート

会社概要

東京本社

The Americas

Asia Pacific

Europe, Middle East & Africa