解析者: jasperm   
 更新者 : Michael Cabel
 別名:

Microsoft: TrojanDownloader:Win32/Monkif.T; Ikarus:Trojan-Downloader.Win32.Monkif

 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

  概要

マルウェアは、他のマルウェアに作成され、コンピュータに侵入します。

マルウェアは、プロセスに組み込まれ、システムのプロセスに常駐します。

  詳細

ファイルサイズ 不定
タイプ DLL
メモリ常駐 なし
発見日 2011年2月15日
ペイロード ファイルのダウンロード, プロセスの強制終了

侵入方法

マルウェアは、他のマルウェアに作成され、コンピュータに侵入します。

インストール

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

  • Local\UIEI

マルウェアは、プロセスに組み込まれ、システムのプロセスに常駐します。

プロセスの終了

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

  • AAWService.exe
  • AAWTray.exe
  • ABregmon.exe
  • ACAAS.exe
  • ACAEGMr.exe
  • ACAIS.exe
  • ACALS.exe
  • ACASP.exe
  • ACenter.exe
  • AFMain.exe
  • AGB6.exe
  • AGBKrnl.exe
  • AGIDSUI.exe
  • ALMon.exe
  • ALive.exe
  • ALsvc.exe
  • APVXDWIN.EXE
  • ARCATA~1.EXE
  • AScheduleService.exe
  • AVGIDSAgent.exe
  • AVGIDSMonitor.exe
  • AVGIDSWatcher.exe
  • AVKProxy.exe
  • AVKService.exe
  • AVKTray.exe
  • AVKWCtl.exe
  • AVMenu.exe
  • Ad-Aware.exe
  • AhnSD.exe
  • AhnSDsv.exe
  • AluSchedulerSvc.exe
  • ApVxdWin.exe
  • ArcaBackupService.exe
  • ArcaBit.Core.Configurator2.exe
  • ArcaRemoteSvc.exe
  • Arcabit.Core.LoggingService.exe
  • BDTUpdateService.exe
  • CAGlobal.exe
  • CAGlobalLight.exe
  • CAPPActiveProtection.exe
  • CCSVCHST.EXE
  • CClaw.exe
  • CONSCTL.exe
  • CounterSpy.exe
  • EMLPROUI.EXE
  • EMLPROXY.EXE
  • FAMEH32.exe
  • FCH32.exe
  • FPAVServer.exe
  • FProtTray.exe
  • FSM32.exe
  • FSMA32.exe
  • FSMB32.exe
  • FileMonSV.exe
  • ForceField.exe
  • GDFirewallTray.exe
  • GDFwSvc.exeray.exe
  • GDSC.exe
  • GDScan.exe
  • HFACSvc.exe
  • HrRes.exe
  • IFace.exe
  • ISWSVC.exe
  • ITMRTSVC.exe
  • K7EmlPxy.exe
  • K7FWSrvc.exe
  • K7PSSrvc.exe
  • K7RTScan.exe
  • K7SysMon.exe
  • K7SysTry.exe
  • K7TSMngr.exe
  • K7TSecurity.exe
  • KVMonXp.kxpxe
  • KVSrvXP.exe
  • KVXp.kxpkxp
  • MAILDISP.EXE
  • MSASCui.exe
  • MSProxy.ahn
  • MWAGENT.exe
  • MWASER.exe
  • McNASvc.exe
  • McProxy.exe
  • McSACore.exe
  • Mcshield.exe
  • MpfSrv.exe
  • MsMpEng.exe
  • Nbrowser.exe
  • NetMonSV.exe
  • Nip.exe
  • Njeeves.exe
  • Nsesvc.exe
  • Nvcoas.exe
  • ONLINENT.EXE
  • ONLNSVC.exe
  • OPSSVC.exe
  • OcHealthMon.exe
  • PAVSRV51.EXE
  • PPCtlPriv.exe
  • PSANHost.exe
  • PSHost.exe
  • PSUNMain.exe
  • PXAgent.exe
  • PXConsole.exe
  • PavBckPT.exe
  • PavFnSvr.exe
  • PavPrSrv.exe
  • PslmSvc.exe
  • QOELoader.exe
  • QUHLPSVC.EXE
  • RavMon.exe
  • RavTask.exe
  • RsTray.exe
  • SAVAdminService.exe
  • SBAMSvc.exe
  • SBAMTray.exe
  • SBCSSvc.exe
  • SBCSTray.exe
  • SCANMSG.exe
  • SCANWSCS.exe
  • SSU.exe
  • SSU.exeperUI.exe
  • SavService.exe
  • SfCtlCom.exe
  • SpIDerAgent.exe
  • SpIDerMI.exe
  • SpySweeper.exe
  • SpySweeperUI.exe
  • SpybotSD.exe
  • TDWatch.exe
  • TFService.exe
  • THAV.exe
  • THD32.exe
  • THSM.exe
  • TMBMSRV.exe
  • TRAYSSER.EXE
  • TRYICOS.exe
  • TSCFCommander.exe
  • TSCFPlatformCOMSvr.exe
  • TeaTimer.exe
  • TmPfw.exe
  • TmProxy.exe
  • UPSCHD.exe
  • UfNai.exe
  • UfSeAgnt.exe
  • UfUpdUi.exe
  • UmxAgent.exe
  • UmxCfg.exe
  • UmxFwHlp.exe
  • UmxPol.exe
  • VMwareService.exe
  • VMwareTray.exe
  • VMwareUser.exe
  • WEBPROXY.EXE
  • WRConsumerService.exe
  • WinSSUI.exe
  • Zanda.exe
  • Zlh.exe
  • a2guard.exe
  • a2services.exe
  • a2start.exe
  • acs.exe
  • arcarvir.exe
  • ashDisp.exe
  • ashMaiSv.exe
  • ashServ.exe
  • ashWebSv.exe
  • aswUpdSv.exe
  • avas.exe
  • avcom.exe
  • avesvc.exe
  • avgam.exe
  • avgamsvr.exe
  • avgas.exe
  • avgcc.exe
  • avgcsrvx.exe
  • avgemc.exe
  • avgfws8.exe
  • avgnsx.exe
  • avgrsx.exe
  • avgtray.exe
  • avgui.exe
  • avgupd.exe
  • avgupsvc.exe
  • avgwdsvc.exe
  • avgwsvc.exe
  • avinitnt.exe
  • avmgma.exe
  • avp.exe
  • avpmapp.exe
  • avtray.exe
  • avwebgrd.exe
  • caavguiscan.exe
  • capfasem.exe
  • cappactiveprotection.exe
  • casc.exe
  • casecuritycenter.exe
  • cavrid.exe
  • ccSvcHst.exe
  • ccschedulersvc.exe
  • cctray.exe
  • cfp.exe
  • cmdagent.exe
  • drwebscd.exe
  • dvpapi.exe
  • dvprpt.exe
  • econceal.exe
  • econser.exe
  • egui.exe
  • ekrn.exe
  • elogsvc.exe
  • escanmon.exe
  • forsp.exe
  • fsaua.exe
  • fsav32.exe
  • fsavgui.exe
  • fsdfwd.exe
  • fsgk32.exe
  • fsgk32st.exe
  • fsguidll.exe
  • fspc.exe
  • fsqh.exe
  • fssm32.exe
  • fsus.exe
  • gozer.exe
  • guard.exe
  • guardxkickoff.exe
  • guardxservice.exe
  • guardxup.exe
  • hcontain.exe
  • hpcsvc.exe
  • hsvcmod.exe
  • isafe.exe
  • kavstart.exe
  • kissvc.exe
  • kmailmon.exe
  • kpfw32.exe
  • kpfwsvc.exe
  • kwatch.exe
  • livesrv.exe
  • mcagent.exe
  • mcmscsvc.exe
  • mcshell.exe
  • mcsysmon.exe
  • mcupdmgr.exe
  • mcvsmap.exe
  • mcvsshld.exe
  • mdmcls32.exe
  • msfwsvc.exe
  • msksrver.exe
  • msseces.exe
  • npcsvc32.exe
  • npfsvc32.exe
  • npfuser.exe
  • nprosec.exe
  • nuaa.exe
  • nvcsched.exe
  • nvoy.exe
  • op_mon.exe
  • pctsAuxs.exe
  • pctsGui.exe
  • pctsSvc.exe
  • pctsTray.exe
  • prevx.exe
  • psksvc.exe
  • qhfw.exe
  • rsnetsvr.exe
  • sbamui.exe
  • seccenter.exe
  • spiderml.exe
  • spidernt.exe
  • spidersgate.exe
  • spiderui.exe
  • svcprs32.exe
  • symlcsvc.exe
  • syssvcnt.exe
  • tpcfg.exe
  • tppfdmm.exe
  • tptray.exe
  • uiscan.exe
  • untray.exe
  • vba32ldr.exe
  • vbcmserv.exe
  • vbsystry.exe
  • vetmsg.exe
  • virCatch.exe
  • virusutilities.exe
  • vmacthlp.exe
  • vrfwsock.exe
  • vrfwsvc.exe
  • vrmonnt.exe
  • vrmonsvc.exe
  • vrrepair.exe
  • vrscan.exe
  • vsmon.exe
  • vsserv.exe
  • winss.exe
  • winssnotify.exe
  • xcommsvr.exe
  • zlclient.exe

ダウンロード活動

マルウェアは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。

  • {BLOCKED}.{BLOCKED}.7.152
  • www.{BLOCKED}edia.com
  • www.{BLOCKED}ies.com

  対応方法

対応検索エンジン: 8.900

手順 1

Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアのパス名およびファイル名を確認します。
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用いてウイルス検索を実行してください。「TROJ_MONKIF.AA」で検出したパス名およびファイル名を確認し、メモ等をとってください。

手順 3

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 4

「TROJ_MONKIF.AA」として検出されたファイルを検索し削除します。

[ 詳細 ]
[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

手順 5

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_CURRENT_USER\Software\Classes\PROTOCOLS\Filter\text/html
    • (Default} = "Microsoft Improved HTML MIME Filter"
  • In HKEY_CURRENT_USER\Software\Classes\PROTOCOLS\Filter\text/html
    • CLSID = {Random UUID}
  • In HKEY_CURRENT_USER\Software\CLSID\{Random UUID}\InProcServer32
    • (Default) = "{Malware Path and File Name}"
  • In HKEY_CURRENT_USER\Software\CLSID\{Random UUID}\InProcServer32
    • ThreadingModel = "Apartment"

手順 6

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TROJ_MONKIF.AA」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 7

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TROJ_MONKIF.AA」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください