解析者: Mark Joseph Manahan   
 別名:

Win32/Wigon.PI trojan (Eset)

 プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 59,904 bytes
タイプ EXE
メモリ常駐 はい
発見日 2014年5月12日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %User Profile%\kulpogqobypy.exe

(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>" です。)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
kulpogqobypy = "%User Profile%\kulpogqobypy.exe"

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

  • {BLOCKED}alty.com
  • {BLOCKED}nki.com
  • {BLOCKED}s.com
  • {BLOCKED}eb.com
  • {BLOCKED}int.co.jp
  • {BLOCKED}123.com
  • {BLOCKED}udios.com
  • {BLOCKED}c.com.ar
  • {BLOCKED}yaauto.com
  • {BLOCKED}k.ru
  • {BLOCKED}urity.net
  • {BLOCKED}e.com.hk
  • {BLOCKED}insurance.com
  • {BLOCKED}readymix.com
  • {BLOCKED}ks.pl
  • {BLOCKED}taplar.com.tr
  • {BLOCKED}deo.net
  • {BLOCKED}pehr.com
  • {BLOCKED}s.com
  • {BLOCKED}k.net
  • {BLOCKED}tem.com
  • {BLOCKED}p.com.au
  • {BLOCKED}ge.com
  • {BLOCKED}rdim.com
  • {BLOCKED}hanical.com
  • {BLOCKED}2day.com
  • {BLOCKED}a.edu.cn
  • {BLOCKED}nvets.org
  • {BLOCKED}m.com
  • {BLOCKED}ess-illustrationen.de
  • {BLOCKED}ni-eldercare.org
  • {BLOCKED}ttomillennium.it
  • {BLOCKED}nviewranch.com
  • {BLOCKED}surancerates.com
  • {BLOCKED}tcleaner.net
  • {BLOCKED}riana.com.gt
  • {BLOCKED}ro.org
  • {BLOCKED}v.com
  • {BLOCKED}ier.qc.ca
  • {BLOCKED}esflexibles.com
  • {BLOCKED}house.org
  • {BLOCKED}nsmfgco.com
  • {BLOCKED}ai.pt
  • {BLOCKED}dence.ca
  • {BLOCKED}rcommunications.com.au
  • {BLOCKED}rfirearms.com
  • {BLOCKED}rbracelets.com
  • {BLOCKED}decacau.com.br
  • {BLOCKED}s.net
  • {BLOCKED}ark-travel.com
  • {BLOCKED}ui.com
  • {BLOCKED}owwarp.com
  • {BLOCKED}st.ru
  • {BLOCKED}2.com
  • {BLOCKED}i.com
  • {BLOCKED}ca.pl
  • {BLOCKED}ra.com
  • {BLOCKED}t.com
  • {BLOCKED}ic-cinema.com
  • {BLOCKED}ine.com
  • {BLOCKED}exhibits.com
  • {BLOCKED}biz.com
  • {BLOCKED}enook.com
  • {BLOCKED}m.com
  • {BLOCKED}svale.com.br
  • {BLOCKED}as.com
  • {BLOCKED}nceplus.com
  • {BLOCKED}hlands.org
  • {BLOCKED}m.no
  • {BLOCKED}s.org
  • {BLOCKED}che.com
  • {BLOCKED}f.com
  • {BLOCKED}d.com
  • {BLOCKED}efirst.com
  • {BLOCKED}v.cc
  • {BLOCKED}spride.com
  • {BLOCKED}man-insurance.com
  • {BLOCKED}estwest.com
  • {BLOCKED}eit.com
  • {BLOCKED}f.or.jp
  • {BLOCKED}stonconstruction.com
  • {BLOCKED}m.se
  • {BLOCKED}ofurniture.com
  • {BLOCKED}z.ru
  • {BLOCKED}ompany.com
  • {BLOCKED}arkco.com
  • {BLOCKED}ousecordoba.com.ar
  • {BLOCKED}-lampe.de
  • {BLOCKED}usan.com
  • {BLOCKED}o.at
  • {BLOCKED}ender.com
  • {BLOCKED}o.com
  • {BLOCKED}nterprises.com
  • {BLOCKED}2.com
  • {BLOCKED}ia.biz
  • {BLOCKED}technology.com
  • {BLOCKED}-net.de
  • {BLOCKED}a.{BLOCKED}ai.or.jp
  • {BLOCKED}c.com
  • {BLOCKED}chnik.com
  • {BLOCKED}esa.net
  • {BLOCKED}ernet.net
  • {BLOCKED}vice.com
  • {BLOCKED}o.org
  • {BLOCKED}l.com.au
  • {BLOCKED}on-merkey.com
  • {BLOCKED}re.com
  • {BLOCKED}glatzer.com
  • {BLOCKED}c.com
  • {BLOCKED}eker.com
  • {BLOCKED}-sheridan.co.uk
  • {BLOCKED}ookingproductions.com
  • {BLOCKED}t.pe.kr
  • {BLOCKED}extiles.com
  • {BLOCKED}lub.com
  • {BLOCKED}n.com
  • {BLOCKED}ffpublishing.com
  • {BLOCKED}sol.com
  • {BLOCKED}mura.com
  • {BLOCKED}ac.com
  • {BLOCKED}ityplayhouse.org
  • {BLOCKED}ga.com
  • {BLOCKED}ersoft.com
  • {BLOCKED}essiondz.com
  • {BLOCKED}-musts.com
  • {BLOCKED}tyhouse.org
  • {BLOCKED}o.net
  • {BLOCKED}eyallfreight.com
  • {BLOCKED}la.com.mx
  • {BLOCKED}-swingers.net
  • {BLOCKED}ncosmeticdentistry.com
  • {BLOCKED}ot.com
  • {BLOCKED}l.com.br
  • {BLOCKED}ar.com.br
  • {BLOCKED}-condominiums.com
  • {BLOCKED}rjobs.com
  • {BLOCKED}365.net
  • {BLOCKED}kramer.com
  • {BLOCKED}ingdigital.ning.com
  • {BLOCKED}piecejewels.com
  • {BLOCKED}ball.org
  • {BLOCKED}iniatures.com
  • {BLOCKED}ne.com
  • {BLOCKED}paints.com
  • {BLOCKED}.com
  • {BLOCKED}ki-metal.com
  • {BLOCKED}clothes.com
  • {BLOCKED}nwesleyan.com
  • {BLOCKED}markt.com
  • {BLOCKED}terprises.com
  • {BLOCKED}-ww.com
  • {BLOCKED}service.com
  • {BLOCKED}nt.cz
  • {BLOCKED}m.co.jp
  • {BLOCKED}ffice.com
  • {BLOCKED}a.com
  • {BLOCKED}ea.co.uk
  • {BLOCKED}mortgage.com
  • {BLOCKED}brianpipers.org.uk
  • {BLOCKED}amille.com
  • {BLOCKED}n.com
  • {BLOCKED}ries.com
  • {BLOCKED}x.com
  • {BLOCKED}media.com
  • {BLOCKED}ralpercussion.com
  • {BLOCKED}furniture.com
  • {BLOCKED}gisayar.com
  • {BLOCKED}odevillacarriedo.com
  • {BLOCKED}aphics.com
  • {BLOCKED}l.com
  • {BLOCKED}x-group.us
  • {BLOCKED}ru
  • {BLOCKED}qmaquinas.com.br
  • {BLOCKED}ewels.com
  • {BLOCKED}z.co.uk
  • {BLOCKED}focus.com.au
  • {BLOCKED}se.net
  • {BLOCKED}tualresearchinstitute.com
  • {BLOCKED}g.com
  • {BLOCKED}celain.com
  • {BLOCKED}seroutelopers.be
  • {BLOCKED}j.com.my
  • {BLOCKED}rketing.at
  • {BLOCKED}g.com
  • {BLOCKED}cyinks.com
  • {BLOCKED}rcinggroup.co.uk
  • {BLOCKED}ldsinsure.com
  • {BLOCKED}stecnica.com
  • {BLOCKED}ngpin.de
  • {BLOCKED}journey.com
  • {BLOCKED}llsandsoriginalturtle.com
  • {BLOCKED}o.no
  • {BLOCKED}avikas.com
  • {BLOCKED}tessori.com
  • {BLOCKED}daryservices.com
  • {BLOCKED}orado.com
  • {BLOCKED}ta-design.com
  • {BLOCKED}its.com
  • {BLOCKED}sfs.com
  • {BLOCKED}ble.com
  • {BLOCKED}vizija.si
  • {BLOCKED}vault.com
  • {BLOCKED}ta.com
  • {BLOCKED}vakantie.com
  • {BLOCKED}ioli.com
  • {BLOCKED}olska.com
  • {BLOCKED}t-auto.com
  • {BLOCKED}ashemales.com
  • {BLOCKED}com.be
  • {BLOCKED}hermannsons.org
  • {BLOCKED}assage-juku.com
  • {BLOCKED}ptistheritage.com
  • {BLOCKED}iers.org
  • {BLOCKED}ldsmith.com
  • {BLOCKED}el.com
  • {BLOCKED}ninvest.com
  • {BLOCKED}freedom.com
  • {BLOCKED}ogroup.com
  • {BLOCKED}edogs.com
  • {BLOCKED}ania.com
  • {BLOCKED}r-coulston.co.uk
  • {BLOCKED}rgroup.com
  • {BLOCKED}omation.co.uk
  • {BLOCKED}pnet.com
  • {BLOCKED}e.ru
  • {BLOCKED}m.com
  • {BLOCKED}ockage.com
  • {BLOCKED}ris.net
  • {BLOCKED}xengineering.com
  • {BLOCKED}svotreemail.com
  • {BLOCKED}illie.com
  • {BLOCKED}rn-consultants.co.uk
  • {BLOCKED}ncourthotel.com
  • {BLOCKED}yv.com
  • {BLOCKED}pp.edu
  • {BLOCKED}orty.com
  • {BLOCKED}odo.com
  • {BLOCKED}s.co.za
  • {BLOCKED}amabeer.com

  対応方法

対応検索エンジン: 9.700
初回 VSAPI パターンバージョン 10.790.06
初回 VSAPI パターンリリース日 2014年5月12日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 3

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

 
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • kulpogqobypy = "%User Profile%\kulpogqobypy.exe"

手順 4

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TROJ_WIGON.UWI」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 5

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TROJ_WIGON.UWI」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください