解析者: Erika Bianca Mendoza   
 プラットフォーム:

Windows 2000, Windows XP,Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
    なし

  • 感染報告の有無 :
    はい

  概要

マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

マルウェアは、ユーザが特定のWebサイトにアクセスできないように、感染コンピュータのHOSTSファイルを改変します。

マルウェアは、実行後、自身を削除します。

  詳細

ファイルサイズ 66,560 bytes
タイプ EXE
メモリ常駐 はい
発見日 2011年4月21日
ペイロード HOSTSファイルの改変, ファイルの作成

侵入方法

マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

インストール

マルウェアは、以下のコンポーネントファイルを作成します。

  • %System%\w.dll - detected by Trend Micro as TROJ_BAMITAL.CW

(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

マルウェアは、以下の無害なファイルを作成します。

  • %System%\dll
  • %Windows%\Temp\explorer.dat
  • %Windows%\Temp\winlogon.dat
  • %System Root%\Documents and Settings\All Users\Documents\dll

(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。. %Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。. %System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

マルウェアのDLLコンポーネントは、以下のプロセスに組み込まれます。

  • iexplore.exe
  • chrome.exe
  • firefox.exe
  • opera.exe

HOSTSファイルの改変

マルウェアは、ユーザが以下のWebサイトにアクセスできないように、感染コンピュータのHOSTSファイルを改変します。

  • 127.0.0.1 82.165.237.14
  • 127.0.0.1 82.165.250.33
  • 127.0.0.1 akamai.avg.com
  • 127.0.0.1 antivir.es
  • 127.0.0.1 anti-virus.by
  • 127.0.0.1 avast.com
  • 127.0.0.1 avg.com
  • 127.0.0.1 avp.com
  • 127.0.0.1 avp.ru
  • 127.0.0.1 avp.ru/download/
  • 127.0.0.1 avpg.crsi.symantec.com
  • 127.0.0.1 backup.avg.cz
  • 127.0.0.1 bancoguayaquil.com
  • 127.0.0.1 bcpzonasegura.viabcp.com
  • 127.0.0.1 bitdefender.com
  • 127.0.0.1 clamav.net
  • 127.0.0.1 comodo.com
  • 127.0.0.1 customer.symantec.com
  • 127.0.0.1 dispatch.mcafee.com
  • 127.0.0.1 download.mcafee.com
  • 127.0.0.1 download.microsoft.com
  • 127.0.0.1 downloads.microsoft.com
  • 127.0.0.1 downloads1.kaspersky-labs.com
  • 127.0.0.1 downloads1.kaspersky-labs.com/products/
  • 127.0.0.1 downloads1.kaspersky-labs.com/updates/
  • 127.0.0.1 downloads2.kaspersky-labs.com
  • 127.0.0.1 downloads2.kaspersky-labs.com/products/
  • 127.0.0.1 downloads2.kaspersky-labs.com/updates/
  • 127.0.0.1 downloads3.kaspersky-labs.com
  • 127.0.0.1 downloads3.kaspersky-labs.com/products/
  • 127.0.0.1 downloads3.kaspersky-labs.com/updates/
  • 127.0.0.1 downloads4.kaspersky-labs.com
  • 127.0.0.1 downloads4.kaspersky-labs.com/products/
  • 127.0.0.1 downloads4.kaspersky-labs.com/updates/
  • 127.0.0.1 downloads5.kaspersky-labs.com
  • 127.0.0.1 downloads5.kaspersky-labs.com/products/
  • 127.0.0.1 downloads5.kaspersky-labs.com/updates/
  • 127.0.0.1 drweb.com
  • 127.0.0.1 emsisoft.com
  • 127.0.0.1 eset.com
  • 127.0.0.1 eset.com/
  • 127.0.0.1 eset.com/download/index.php
  • 127.0.0.1 eset.com/joomla/
  • 127.0.0.1 eset.com/products/index.php
  • 127.0.0.1 eset.es
  • 127.0.0.1 fortinet.com
  • 127.0.0.1 f-prot.com
  • 127.0.0.1 f-secure.com
  • 127.0.0.1 gdata.es
  • 127.0.0.1 go.microsoft.com
  • 127.0.0.1 hacksoft.com.pe
  • 127.0.0.1 ikarus.at
  • 127.0.0.1 kaspersky.com
  • 127.0.0.1 kaspersky.ru
  • 127.0.0.1 kaspersky-labs.com
  • 127.0.0.1 liveupdate.symantec.com
  • 127.0.0.1 liveupdate.symantecliveupdate.com
  • 127.0.0.1 macafee.com
  • 127.0.0.1 mast.mcafee.com
  • 127.0.0.1 mcafee.com
  • 127.0.0.1 microsoft.com
  • 127.0.0.1 msdn.microsoft.com
  • 127.0.0.1 my-etrust.com
  • 127.0.0.1 networkassociates.com
  • 127.0.0.1 nod32.com
  • 127.0.0.1 norman.com
  • 127.0.0.1 norton.com
  • 127.0.0.1 nprotect.com
  • 127.0.0.1 pandasecurity.com
  • 127.0.0.1 pandasoftware.com
  • 127.0.0.1 pctools.com
  • 127.0.0.1 pif.symantec.com
  • 127.0.0.1 pifmain.symantec.com
  • 127.0.0.1 rads.mcafee.com
  • 127.0.0.1 rising-global.com
  • 127.0.0.1 scanner.novirusthanks.org
  • 127.0.0.1 secure.nai.com
  • 127.0.0.1 securityresponse.symantec.com
  • 127.0.0.1 service1.symantec.com
  • 127.0.0.1 sophos.com
  • 127.0.0.1 sunbeltsoftware.com
  • 127.0.0.1 support.microsoft.com
  • 127.0.0.1 symantec.com
  • 127.0.0.1 symantec.com/updates
  • 127.0.0.1 threatexpert.com
  • 127.0.0.1 trendmicro.com
  • 127.0.0.1 u2.eset.com
  • 127.0.0.1 u20.eset.com
  • 127.0.0.1 u3.eset.com
  • 127.0.0.1 u3.eset.com/
  • 127.0.0.1 u4.eset.com
  • 127.0.0.1 u4.eset.com/
  • 127.0.0.1 u7.eset.com
  • 127.0.0.1 update.avg.com
  • 127.0.0.1 update.microsoft.com
  • 127.0.0.1 update.symantec.com
  • 127.0.0.1 updates.symantec.com
  • 127.0.0.1 updates1.kaspersky-labs.com
  • 127.0.0.1 updates2.kaspersky-labs.com
  • 127.0.0.1 updates3.kaspersky-labs.com
  • 127.0.0.1 us.mcafee.com
  • 127.0.0.1 viabcp.com
  • 127.0.0.1 virscan.org
  • 127.0.0.1 virusbuster.hu
  • 127.0.0.1 viruslist.com
  • 127.0.0.1 viruslist.ru
  • 127.0.0.1 virusscan.jotti.org
  • 127.0.0.1 virustotal.com
  • 127.0.0.1 windowsupdate.microsoft.com
  • 127.0.0.1 www.ahnlab.com
  • 127.0.0.1 www.aladdin.com
  • 127.0.0.1 www.antivir.es
  • 127.0.0.1 www.antiy.net
  • 127.0.0.1 www.authentium.com
  • 127.0.0.1 www.avast.com
  • 127.0.0.1 www.avg.com
  • 127.0.0.1 www.avp.com
  • 127.0.0.1 www.avp.ru
  • 127.0.0.1 www.avp.ru/download/
  • 127.0.0.1 www.bitdefender.com
  • 127.0.0.1 www.clamav.net
  • 127.0.0.1 www.comodo.com
  • 127.0.0.1 www.download.mcafee.com
  • 127.0.0.1 www.drweb.com
  • 127.0.0.1 www.emsisoft.com
  • 127.0.0.1 www.eset.com
  • 127.0.0.1 www.eset.com/
  • 127.0.0.1 www.eset.com/download/index.php
  • 127.0.0.1 www.eset.com/joomla/
  • 127.0.0.1 www.eset.com/products/index.php
  • 127.0.0.1 www.fortinet.com
  • 127.0.0.1 www.f-prot.com
  • 127.0.0.1 www.f-secure.com
  • 127.0.0.1 www.gdata.es
  • 127.0.0.1 www.grisoft.com
  • 127.0.0.1 www.ikarus.at
  • 127.0.0.1 www.kaspersky.com
  • 127.0.0.1 www.kaspersky.ru
  • 127.0.0.1 www.kaspersky-labs.com
  • 127.0.0.1 www.macafee.com
  • 127.0.0.1 www.mcafee.com
  • 127.0.0.1 www.microsoft.com
  • 127.0.0.1 www.my-etrust.com
  • 127.0.0.1 www.networkassociates.com
  • 127.0.0.1 www.nod32.com
  • 127.0.0.1 www.norman.com
  • 127.0.0.1 www.norton.com
  • 127.0.0.1 www.nprotect.com
  • 127.0.0.1 www.pandasecurity.com
  • 127.0.0.1 www.pandasoftware.com
  • 127.0.0.1 www.pctools.com
  • 127.0.0.1 www.rising-global.com
  • 127.0.0.1 www.scanner.novirusthanks.org
  • 127.0.0.1 www.sophos.com
  • 127.0.0.1 www.sunbeltsoftware.com
  • 127.0.0.1 www.symantec.com
  • 127.0.0.1 www.symantec.com/updates
  • 127.0.0.1 www.trendmicro.com
  • 127.0.0.1 www.virscan.org
  • 127.0.0.1 www.viruslist.com
  • 127.0.0.1 www.viruslist.ru
  • 127.0.0.1 www.virusscan.jotti.org
  • 127.0.0.1 www.virustotal.com
  • 127.0.0.1 www.windowsupdate.microsoft.com

その他

マルウェアは、実行後、自身を削除します。

その他

マルウェアは、システムの復元に関連する以下のレジストリ値を削除します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore
DisableSR

  対応方法

対応検索エンジン: 8.900

手順 1

Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

起動中ブラウザのウインドウを全て閉じてください。

手順 3

この「TROJ_MEREDROP.JF」が作成、あるいは、ダウンロードした以下のファイルを検索し、検索した場合は削除してください。

    • TROJ_BAMITAL.CW

手順 4

以下の削除されたレジストリキーまたはレジストリ値をバックアップを用いて修復します。

※註:マイクロソフト製品に関連したレジストリキーおよびレジストリ値のみが修復されます。このマルウェアもしくはアドウェア等が同社製品以外のプログラムも削除した場合には、該当プログラムを再度インストールする必要があります。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\
CurrentVersion\SystemRestore
DisableSR

手順 5

不正プログラム/グレイウェア/スパイウェアがHOSTSファイルに追加した文字列を削除します。

[ 詳細 ]
    127.0.0.1 82.165.237.14
    127.0.0.1 82.165.250.33
    127.0.0.1 akamai.avg.com
    127.0.0.1 antivir.es
    127.0.0.1 anti-virus.by
    127.0.0.1 avast.com
    127.0.0.1 avg.com
    127.0.0.1 avp.com
    127.0.0.1 avp.ru
    127.0.0.1 avp.ru/download/
    127.0.0.1 avpg.crsi.symantec.com
    127.0.0.1 backup.avg.cz
    127.0.0.1 bancoguayaquil.com
    127.0.0.1 bcpzonasegura.viabcp.com
    127.0.0.1 bitdefender.com
    127.0.0.1 clamav.net
    127.0.0.1 comodo.com
    127.0.0.1 customer.symantec.com
    127.0.0.1 dispatch.mcafee.com
    127.0.0.1 download.mcafee.com
    127.0.0.1 download.microsoft.com
    127.0.0.1 downloads.microsoft.com
    127.0.0.1 downloads1.kaspersky-labs.com
    127.0.0.1 downloads1.kaspersky-labs.com/products/
    127.0.0.1 downloads1.kaspersky-labs.com/updates/
    127.0.0.1 downloads2.kaspersky-labs.com
    127.0.0.1 downloads2.kaspersky-labs.com/products/
    127.0.0.1 downloads2.kaspersky-labs.com/updates/
    127.0.0.1 downloads3.kaspersky-labs.com
    127.0.0.1 downloads3.kaspersky-labs.com/products/
    127.0.0.1 downloads3.kaspersky-labs.com/updates/
    127.0.0.1 downloads4.kaspersky-labs.com
    127.0.0.1 downloads4.kaspersky-labs.com/products/
    127.0.0.1 downloads4.kaspersky-labs.com/updates/
    127.0.0.1 downloads5.kaspersky-labs.com
    127.0.0.1 downloads5.kaspersky-labs.com/products/
    127.0.0.1 downloads5.kaspersky-labs.com/updates/
    127.0.0.1 drweb.com
    127.0.0.1 emsisoft.com
    127.0.0.1 eset.com
    127.0.0.1 eset.com/
    127.0.0.1 eset.com/download/index.php
    127.0.0.1 eset.com/joomla/
    127.0.0.1 eset.com/products/index.php
    127.0.0.1 eset.es
    127.0.0.1 fortinet.com
    127.0.0.1 f-prot.com
    127.0.0.1 f-secure.com
    127.0.0.1 gdata.es
    127.0.0.1 go.microsoft.com
    127.0.0.1 hacksoft.com.pe
    127.0.0.1 ikarus.at
    127.0.0.1 kaspersky.com
    127.0.0.1 kaspersky.ru
    127.0.0.1 kaspersky-labs.com
    127.0.0.1 liveupdate.symantec.com
    127.0.0.1 liveupdate.symantecliveupdate.com
    127.0.0.1 macafee.com
    127.0.0.1 mast.mcafee.com
    127.0.0.1 mcafee.com
    127.0.0.1 microsoft.com
    127.0.0.1 msdn.microsoft.com
    127.0.0.1 my-etrust.com
    127.0.0.1 networkassociates.com
    127.0.0.1 nod32.com
    127.0.0.1 norman.com
    127.0.0.1 norton.com
    127.0.0.1 nprotect.com
    127.0.0.1 pandasecurity.com
    127.0.0.1 pandasoftware.com
    127.0.0.1 pctools.com
    127.0.0.1 pif.symantec.com
    127.0.0.1 pifmain.symantec.com
    127.0.0.1 rads.mcafee.com
    127.0.0.1 rising-global.com
    127.0.0.1 scanner.novirusthanks.org
    127.0.0.1 secure.nai.com
    127.0.0.1 securityresponse.symantec.com
    127.0.0.1 service1.symantec.com
    127.0.0.1 sophos.com
    127.0.0.1 sunbeltsoftware.com
    127.0.0.1 support.microsoft.com
    127.0.0.1 symantec.com
    127.0.0.1 symantec.com/updates
    127.0.0.1 threatexpert.com
    127.0.0.1 trendmicro.com
    127.0.0.1 u2.eset.com
    127.0.0.1 u20.eset.com
    127.0.0.1 u3.eset.com
    127.0.0.1 u3.eset.com/
    127.0.0.1 u4.eset.com
    127.0.0.1 u4.eset.com/
    127.0.0.1 u7.eset.com
    127.0.0.1 update.avg.com
    127.0.0.1 update.microsoft.com
    127.0.0.1 update.symantec.com
    127.0.0.1 updates.symantec.com
    127.0.0.1 updates1.kaspersky-labs.com
    127.0.0.1 updates2.kaspersky-labs.com
    127.0.0.1 updates3.kaspersky-labs.com
    127.0.0.1 us.mcafee.com
    127.0.0.1 viabcp.com
    127.0.0.1 virscan.org
    127.0.0.1 virusbuster.hu
    127.0.0.1 viruslist.com
    127.0.0.1 viruslist.ru
    127.0.0.1 virusscan.jotti.org
    127.0.0.1 virustotal.com
    127.0.0.1 windowsupdate.microsoft.com
    127.0.0.1 www.ahnlab.com
    127.0.0.1 www.aladdin.com
    127.0.0.1 www.antivir.es
    127.0.0.1 www.antiy.net
    127.0.0.1 www.authentium.com
    127.0.0.1 www.avast.com
    127.0.0.1 www.avg.com
    127.0.0.1 www.avp.com
    127.0.0.1 www.avp.ru
    127.0.0.1 www.avp.ru/download/
    127.0.0.1 www.bitdefender.com
    127.0.0.1 www.clamav.net
    127.0.0.1 www.comodo.com
    127.0.0.1 www.download.mcafee.com
    127.0.0.1 www.drweb.com
    127.0.0.1 www.emsisoft.com
    127.0.0.1 www.eset.com
    127.0.0.1 www.eset.com/
    127.0.0.1 www.eset.com/download/index.php
    127.0.0.1 www.eset.com/joomla/
    127.0.0.1 www.eset.com/products/index.php
    127.0.0.1 www.fortinet.com
    127.0.0.1 www.f-prot.com
    127.0.0.1 www.f-secure.com
    127.0.0.1 www.gdata.es
    127.0.0.1 www.grisoft.com
    127.0.0.1 www.ikarus.at
    127.0.0.1 www.kaspersky.com
    127.0.0.1 www.kaspersky.ru
    127.0.0.1 www.kaspersky-labs.com
    127.0.0.1 www.macafee.com
    127.0.0.1 www.mcafee.com
    127.0.0.1 www.microsoft.com
    127.0.0.1 www.my-etrust.com
    127.0.0.1 www.networkassociates.com
    127.0.0.1 www.nod32.com
    127.0.0.1 www.norman.com
    127.0.0.1 www.norton.com
    127.0.0.1 www.nprotect.com
    127.0.0.1 www.pandasecurity.com
    127.0.0.1 www.pandasoftware.com
    127.0.0.1 www.pctools.com
    127.0.0.1 www.rising-global.com
    127.0.0.1 www.scanner.novirusthanks.org
    127.0.0.1 www.sophos.com
    127.0.0.1 www.sunbeltsoftware.com
    127.0.0.1 www.symantec.com
    127.0.0.1 www.symantec.com/updates
    127.0.0.1 www.trendmicro.com
    127.0.0.1 www.virscan.org
    127.0.0.1 www.viruslist.com
    127.0.0.1 www.viruslist.ru
    127.0.0.1 www.virusscan.jotti.org
    127.0.0.1 www.virustotal.com
    127.0.0.1 www.windowsupdate.microsoft.com

手順 6

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
%System%\dll
%Windows%\Temp\explorer.dat
%Windows%\Temp\winlogon.dat
%System Root%\Documents and Settings\All Users\Documents\dll

手順 7

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TROJ_MEREDROP.JF」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください