解析者: jasperm   

 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
    なし

  • 感染報告の有無 :
    はい

  概要

パラメータ「DNS {IP address 1},{IP address 2}」を用いて実行されたとき、マルウェアは、コンピュータによって利用されているDNSサーバを{IP address 1}および{IP address 2}に置換します。パラメータ「md5 -s {file name 1} -d {file name 2}」を用いて実行されたとき、マルウェアは、{file name 1}内にランダムなデータを加え、{file name 2}として保存します。

マルウェアは、「TROJ_FKEPLAYR.CH」が特定のパラメータを用いることによって実行され、ファイル "ipseccmd.exe" および "setup{numbers}.exe" を作成します。

パラメータ内のファイル "s0001.xml" および "dsop7.xml" マルウェアは、暗号化されたファイルです。これらのファイルは、「TROJ_FKEPLAYR.CH」によって作成されたマルウェアのパッケージに含まれています。

「TROJ_FKEPLAYR.CH」は、感染コンピュータとある特定のIPアドレス間の通信をブロックするために、特定のパラメータを用いて、ファイル "ipseccmd.exe" を実行します。このファイルは、IPセキュリティポリシーを設定するために用いられる正規のマイクロソフトファイルです。

「TROJ_FKEPLAYR.CH」は、メインとなるマルウェアのコンポーネントをインストールするために、パラメータ「"/VERYSILENT /NORESTART"」を用いて、ファイル "setup{numbers}.exe" を実行します。このファイルは、「TROJ_GORIADU.DRP」として検出されます。

マルウェアは、他のマルウェアに作成され、コンピュータに侵入します。

マルウェアは、作成されたファイルを実行します。

  詳細

ファイルサイズ 不定
タイプ PE
メモリ常駐 はい
発見日 2011年1月24日

侵入方法

マルウェアは、以下のマルウェアに作成され、コンピュータに侵入します。

  • TROJ_FKEPLAYR.CH

作成活動

マルウェアは、作成されたファイルを実行します。

その他

パラメータ「DNS {IP address 1},{IP address 2}」を用いて実行されたとき、マルウェアは、コンピュータによって利用されているDNSサーバを{IP address 1}および{IP address 2}に置換します。パラメータ「md5 -s {file name 1} -d {file name 2}」を用いて実行されたとき、マルウェアは、{file name 1}内にランダムなデータを加え、{file name 2}として保存します。

マルウェアは、「TROJ_FKEPLAYR.CH」が以下のパラメータを用いることによって実行され、ファイル "ipseccmd.exe" および "setup{numbers}.exe" を作成します。

  • msfsg.exe uncompress -s s0001.xml -d ipseccmd.exe
  • msfsg.exe md5 -s ipseccmd.exe -d ipseccmd.exe -l 10000000
  • msfsg.exe uncompress -s dsop7.xml -d setup756432.exe

パラメータ内のファイル "s0001.xml" および "dsop7.xml" は、暗号化されたファイルです。これらのファイルは、「TROJ_FKEPLAYR.CH」によって作成されたマルウェアのパッケージに含まれています。

「TROJ_FKEPLAYR.CH」は、、感染コンピュータとある特定のIPアドレス間の通信をブロックするために、以下のパラメータを用いて、ファイル "ipseccmd.exe" を実行します。このファイルは、IPセキュリティポリシーを設定するために用いられる正規のマイクロソフトファイルです。

  • sc start PolicyAgent
  • ipseccmd -p Block1 -r BlockTCP -f 119.147.91.*+0 -n BLOCK -x
  • ipseccmd -p Block2 -r BlockNEW -f 119.188.4.*+0 -n BLOCK -x
  • ipseccmd -p Block3 -r BlockTWO -f 122.70.130.*+0 -n BLOCK -x
  • ipseccmd -p Block4 -r BlockTHREE -f 124.238.243.*+0 -n BLOCK -x
  • ipseccmd -p Block5 -r Block5 -f 124.238.244.*+0 -n BLOCK -x
  • ipseccmd -p Block6 -r Block6 -f 125.39.100.*+0 -n BLOCK -x
  • ipseccmd -p Block7 -r Block7 -f 125.39.102.*+0 -n BLOCK -x
  • ipseccmd -p Block8 -r Block8 -f 220.181.126.*+0 -n BLOCK -x
  • ipseccmd -p Block9 -r Block9 -f 221.194.142.*+0 -n BLOCK -x
  • ipseccmd -p Block0 -r Block0 -f 118.145.31.*+0-n BLOCK -x

「TROJ_FKEPLAYR.CH」は、メインとなるマルウェアのコンポーネントをインストールするために、パラメータ「"/VERYSILENT /NORESTART"」を用いて、ファイル "setup{numbers}.exe" を実行します。このファイルは、「TROJ_GORIADU.DRP」として検出されます。

  対応方法

対応検索エンジン: 8.900
初回 VSAPI パターンバージョン 7.792.09
初回 VSAPI パターンリリース日 2011年1月25日
VSAPI OPR パターンバージョン 7.793.00
VSAPI OPR パターンリリース日 2011年1月25日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

この「TROJ_GORIADU.SMX」が作成、あるいは、ダウンロードした以下のファイルを検索し、検索した場合は削除してください。

手順 3

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TROJ_GORIADU.SMX」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください

関連マルウェア