Trojan.VBS.MISPADU.THIADBO
Windows
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のフォルダを作成します。
- C:\{string2 from the decrypted response from url}
その他
マルウェアは、以下を実行します。
- It terminates itself when executed in a virtual environment whose computer name is "JOHN-PC" by checking for the following values:
- OS Model Name
- Virtual Machine - for Hyper V
- VMware Virtual Platform - for VMware
- VirtualBox - for Virtualbox
- BIOS Version
- Hyper-V 2008(Beta,RC0,RTM and R2)
- VS2005/VS2005R2/VS2005R2SP1
- VPC2004/VPC2007
- Windows Virtual PC
- Also terminates itself if the default installed OS language is not in the following list:
- Spanish – Spain (traditional)
- Portugese – Brazil
- Spanish – Mexico
- Spanish – Spain
- Spanish Microsoft Office Language – (Microsoft Office Language Value – LANGUAGE_SPANISH)
- Connects to the following url to download and execute malicious vbscript code in memory to check system and download more files:
- http://{BLOCKED}.{BLOCKED}7.173/gt21.php
- If C:\Users\Public\{string1 from the decrypted response from url}4.zip does not exist
- Connects and decrypts data from http://{BLOCKED}.{BLOCKED}7.173/k1oa.php
- Connects and downloads file from http://{BLOCKED}.{BLOCKED}7.173/m/k1o{string3 from decrypted data from url}.gt2
- C:\Users\Public\{string1 from the decrypted response from url}4.zip
- If C:\Users\Public\{string1 from the decrypted response from url}1.zip does not exist
- Connects and downloads file from http://{BLOCKED}.{BLOCKED}7.173/k1oa{string1 from the decrypted response from url}.gt2
- Connects and downloads file from http://{BLOCKED}.{BLOCKED}7.173/k1oasq.gt2
- Connects and downloads file from http://{BLOCKED}.{BLOCKED}7.173/k1oasl.gt2
- Connects and downloads file from http://{BLOCKED}.{BLOCKED}7.173/k1oass.gt2
- Connects and downloads file from http://{BLOCKED}.{BLOCKED}7.173/k1oaai.gt2
- C:\Users\Public\{string1 from the decrypted response from url}sq.zip
- C:\Users\Public\{string1 from the decrypted response from url}sl.zip
- C:\Users\Public\{string1 from the decrypted response from url}ss.zip
- C:\Users\Public\{string1 from the decrypted response from url}ai.zip
- {string1 from the decrypted response from url} - detected as Trojan.AutoIt.MISPADO.THIADBO
- {string1 from the decrypted response from url}1.{reversed last 3 characters of string1} - detected as Trojan.Win32.MISPADO.THENC
- {string1 from the decrypted response from url}ai.exe - non-malicious AutoIt loader
- libeay32.dll – non-malicious libraries
- ssleay32.dll – non-malicious libraries
- winx86.dll – non-malicious libraries then deletes all the downloaded zip files
- C:\Users\Public\{second character of computer name}_
- strings from decrypted response from url
- created folder path
- hard-coded values from the script
- current date
- C:\Users\Public\{second character of computer name}
- {string1 from the decrypted response from url}ai.exe {string1 from the decrypted response from url} @1
- {string1 from the decrypted response from url}ai.exe {string1 from the decrypted response from url} ##1
- {string1 from the decrypted response from url}ai.exe {string1 from the decrypted response from url} ##3
対応方法
手順 1
トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。
- Downloader.VBS.TRX.XXVBS82EFF006
手順 2
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 3
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 4
以下のファイルを検索し削除します。
- C:\Users\Public\{decrypted string1 from url response}sq.zip
- C:\Users\Public\{decrypted string1 from url response}sl.zip
- C:\Users\Public\{decrypted string1 from url response}ss.zip
- C:\Users\Public\{decrypted string1 from url response}ai.zip
- C:\{decrypted string2 from url response}\{decrypted string1 from url response}
- C:\{decrypted string2 from url response}\{decrypted string1 from url response}1.{reversed last 3 characters of string1}
- C:\{decrypted string2 from url response}\{string1 from the decrypted response from url}ai.exe
- Windowsエクスプローラ画面を開きます。
- Windows Vista、7 および Server 2008 の場合:
- [スタート]-[コンピューター]を選択します。
- Windows 8、8.1 および Server 2012 の場合:
- 画面の左下隅を右クリックし、[エクスプローラー]を選択します。
- Windows Vista、7 および Server 2008 の場合:
- [コンピューターの検索]に、以下を入力します。
DATA_GENERIC - ファイルが表示されたら、そのファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
- 残りのファイルに対して、マルウェアのコンポーネントファイルの削除の手順 2.)から4 .)を繰り返してください。
註:Windows 7 において上記の手順が正しく行われない場合、マイクロソフトのWebサイトをご確認ください。
手順 5
以下のフォルダを検索し削除します。
- C:\{decrypted string2 from url response}
DATA_GENERIC
註:ファイル名の入力欄のタイトルは、Windowsのバージョンによって異なります。(例:ファイルやフォルダ名の検索の場合やファイル名のすべてまたは一部での検索)
- Windowsエクスプローラ画面を開きます。
- Windows Vista、7 および Server 2008 の場合:
- [スタート]-[コンピューター]を選択します。
- Windows 8、8.1 および Server 2012 の場合:
- 画面の左隅を右クリックし、[エクスプローラー]を選択します。
- Windows Vista、7 および Server 2008 の場合:
- [コンピューターの検索]に、以下を入力します。
DATA_GENERIC - 検索が終了したら、そのファイルを選択し、SHIFT+DELETE を押します。これにより、フォルダが完全に削除されます。
- 残りのフォルダに対して、このマルウェアまたはアドウェア等が作成したフォルダの削除の手順 2.)から 3.)を繰り返してください。
DATA_GENERIC
註:Windows 7 において上記の手順が正しく行われない場合、マイクロソフトのWebサイトをご確認ください。
手順 6
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Trojan.VBS.MISPADU.THIADBO」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください