Trend Micro Security

Backdoor.Win64.DONKDOOR.ZTLH.component

2024年9月30日
 解析者: Neljorn Nathaniel Aguas   

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: バックドア型
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。


  詳細

ファイルサイズ 729,722 bytes
タイプ Other
発見日 2024年9月26日
ペイロード URLまたはIPアドレスに接続

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

その他

マルウェアは、以下を実行します。

  • It is used as a component for Backdoor.Win64.DONKDOOR.ZGLH
  • It is a JFIF image file containing a malicious code.
  • It contains a Base64 encoded string which is used to decode the following IP address it connects to:
    • 1 {BLOCKED}.{BLOCKED}.{BLOCKED}.228
      • which redirects to:
        • https://{BLOCKED}070845.hostwindsdns.com

<補足>

マルウェアは、以下を実行します。

  • マルウェアは、「Backdoor.Win64.DONKDOOR.ZGLH」のコンポーネントとして使用されます。
  • マルウェアは、不正なコードを含む画像ファイル(拡張子JFIF)です。
  • 接続先である以下のIPアドレスのデコードに使用されるBase64でエンコードされた文字列を含んでいます。
    • 1 {BLOCKED}.{BLOCKED}.{BLOCKED}.228
      • 上記は、以下に転送します。
        • https://{BLOCKED}070845.hostwindsdns.com


      対応方法

    対応検索エンジン: 9.800
    初回 VSAPI パターンバージョン 19.556.04
    初回 VSAPI パターンリリース日 2024年8月28日
    VSAPI OPR パターンバージョン 19.557.00
    VSAPI OPR パターンリリース日 2024年8月29日

    手順 1

    Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

    手順 2

    最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Backdoor.Win64.DONKDOOR.ZTLH.component」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


    ご利用はいかがでしたか? アンケートにご協力ください