Trend Micro Security

ADW_ICLOADER.GA

2017年10月5日
 解析者: Michael Jay Villanueva   
 別名:

SoftwareBundler:Win32/ICLoader (Microsoft); Application.Win32.ICLoader.FWQY (Comodo)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: アドウェア
  • 破壊活動の有無: なし
  • 暗号化: なし
  • 感染報告の有無: はい

  概要

感染経路 他のマルウェアからの作成, インターネットからのダウンロード

アドウェアは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。 アドウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。 アドウェアは、ユーザの手動インストールにより、コンピュータに侵入します。

アドウェアは、特定のWebサイトにアクセスし、情報を送受信します。 アドウェアは、実行後、自身を削除します。

  詳細

ファイルサイズ 4,088,768 bytes
タイプ EXE
メモリ常駐 なし
発見日 2017年9月29日
ペイロード ファイルの作成, URLまたはIPアドレスに接続

侵入方法

アドウェアは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。

アドウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

アドウェアは、ユーザの手動インストールにより、コンピュータに侵入します。

ダウンロード活動

アドウェアは、以下のWebサイトにアクセスし、ファイルをダウンロードします。

  • http://download-new.utorrent.com/endpoint/utorrent/os/windows/track/stable/ -> Non-malicious URL

アドウェアは、以下のファイル名でダウンロードしたファイルを保存します。

  • {Default Download Path of the Computer / User-assigned Path}\{User-assigned Filename}.exe -> Normal file, may be unwanted by the user
    Note: The Default Filename of the downloaded file is “visio error 128 corrupt file repair”

その他

アドウェアは、以下のWebサイトにアクセスし、情報を送受信します。

  • http://{BLOCKED}-57-202-176.eu-central-1.compute.amazonaws.com/request/autok?user=youllupuki&ver=9&key=80784fb5bbf8032b8530b4c355ba180f
  • http://{BLOCKED}-57-202-176.eu-central-1.compute.amazonaws.com/request/conditions?user=youllupuki&ver=9&key=5bf0ce1e938ba338f1f2868bac32c7d5&token=23ed99ededf0c185f7b0aafb5bc2f6ba

アドウェアは、実行後、自身を削除します。

アドウェアは、以下のWebサイトにアクセスし、ファイルをダウンロードします。これは無害なWebサイトです。

  • http://download-new.utorrent.com/endpoint/utorrent/os/windows/track/stable/

アドウェアは、以下のファイル名でダウンロード、保存するファイルは、無害なファイルですが、ユーザが望まない動作をするファイルである可能性があります。またこのファイルのデフォルトの名称は、"visio error 128 corrupt file repair"です。

  • {Default Download Path of the Computer / User-assigned Path}\{User-assigned Filename}.exe

実行されると、アドウェアは以下の初期化の画面を表示して、その他の欄に記述されているURLへの接続を確認します。

URLへの接続に成功すると、アドウェアは以下の画面を表示して、ユーザが望まない動作をするファイル/ソフトウェアをダウンロードします。

  対応方法

対応検索エンジン: 9.850
SSAPI パターンバージョン: 1.879.00
SSAPI パターンリリース日: 2017年10月5日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 3

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。  
  • {Default Download Path of the Computer / User-assigned Path}\{User-assigned Filename}.exe

手順 4

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「ADW_ICLOADER.GA」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください