BKDR_SIMBOT.UKKU
Windows 2000, Windows XP, Windows Server 2003
- マルウェアタイプ: バックドア型
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、実行後、自身を削除します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
他のシステム変更
マルウェアは、以下のファイルを削除します。
- %User Profile%\Local Settings\wb32.exe
(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>" です。)
作成活動
マルウェアは、以下のファイルを作成します。
- %User Temp%\~D35463.tmp
- %User Temp%\~D35464.tmp
- %User Profile%\Local Settings\wb32.exe
(註:%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>" です。)
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- http://{BLOCKED}4.109.50:443/default.jsp?bg=hbxawn1161670G5D6C
- http://{BLOCKED}.87.3:443/process.jsp?oo=kitffw1161670G5D6C
- http://{BLOCKED}4.109.50:443/process.jsp?oe=kbgpop1161670G5D6C
- http://{BLOCKED}.87.3:443/security.jsp?pz=foebap1161670G5D6C
- http://{BLOCKED}4.109.50:443/index.jsp?jz=bqycda1161670G5D6C
- http://{BLOCKED}.87.3:443/index.jsp?nm=rbxulj1161670G5D6C
- http://{BLOCKED}4.109.50:443/process.jsp?pn=flcoby1161670G5D6C
- http://{BLOCKED}.87.3:443/query.jsp?zw=pfltuq1161670G5D6C
- http://{BLOCKED}4.109.50:443/login.jsp?bk=hyhqck1161670G5D6C
- http://{BLOCKED}.87.3:443/query.jsp?ca=wtghuh1161670G5D6C
- http://{BLOCKED}4.109.50:443/process.jsp?sp=bmmyjd1161670G5D6C
- http://{BLOCKED}.87.3:443/default.jsp?fp=giuyww1161670G5D6C
- http://{BLOCKED}4.109.50:443/security.jsp?ub=asndoy1161670G5D6C
- http://{BLOCKED}.87.3:443/process.jsp?dk=ghyepb1161670G5D6C
- http://{BLOCKED}4.109.50:443/index.jsp?be=apkkwg1161670G5D6C
- http://{BLOCKED}.87.3:443/security.jsp?pz=ouxyst1161670G5D6C
- http://{BLOCKED}4.109.50:443/security.jsp?xc=apalhq1161670G5D6C
- http://{BLOCKED}.87.3:443/login.jsp?wm=gsowqh1161670G5D6C
- http://{BLOCKED}4.109.50:443/default.jsp?xj=svxwcz1161670G5D6C
- http://{BLOCKED}.87.3:443/process.jsp?dt=cdynbr1161670G5D6C
- http://{BLOCKED}4.109.50:443/parse.jsp?rd=zoojcr1161670G5D6C
- http://{BLOCKED}.87.3:443/parse.jsp?tz=myzxqm1161670G5D6C
- http://{BLOCKED}4.109.50:443/login.jsp?ti=ucnimq1161670G5D6C
- http://{BLOCKED}.87.3:443/parse.jsp?tr=pfycbx1161670G5D6C
- http://{BLOCKED}4.109.50:443/user.jsp?gt=qheaap1161670G5D6C
- http://{BLOCKED}.87.3:443/security.jsp?jw=pvwoab1161670G5D6C
- http://{BLOCKED}4.109.50:443/about.jsp?mn=fqdqpm1161670G5D6C
- http://{BLOCKED}.87.3:443/index.jsp?ti=tgvmmk1161670G5D6C
- http://{BLOCKED}4.109.50:443/page.jsp?qt=tjqlcb1161670G5D6C
- http://{BLOCKED}.87.3:443/security.jsp?me=mymoeu1161670G5D6C
- http://{BLOCKED}4.109.50:443/user.jsp?rh=iddigj1161670G5D6C
- http://{BLOCKED}.87.3:443/login.jsp?bm=qycpvg1161670G5D6C
- http://{BLOCKED}4.109.50:443/index.jsp?qm=cxrxej1161670G5D6C
- http://{BLOCKED}.87.3:443/login.jsp?uf=csdpsw1161670G5D6C
- http://{BLOCKED}4.109.50:443/index.jsp?ec=qvatja1161670G5D6C
- http://{BLOCKED}.87.3:443/query.jsp?ip=drcbvi1161670G5D6C
- http://{BLOCKED}4.109.50:443/security.jsp?tj=hfvcku1161670G5D6C
- http://{BLOCKED}.87.3:443/about.jsp?bd=lwqivk1161670G5D6C
- http://{BLOCKED}4.109.50:443/default.jsp?dm=emavfm1161670G5D6C
- http://{BLOCKED}.87.3:443/about.jsp?hm=ctxqfg1161670G5D6C
- http://{BLOCKED}4.109.50:443/process.jsp?yo=evtkel1161670G5D6C
- http://{BLOCKED}.87.3:443/page.jsp?qh=bnezmq1161670G5D6C
- http://{BLOCKED}4.109.50:443/security.jsp?hr=yeadau1161670G5D6C
- http://{BLOCKED}.87.3:443/parse.jsp?nl=rafdav1161670G5D6C
- http://{BLOCKED}4.109.50:443/security.jsp?cu=lyczqb1161670G5D6C
- http://{BLOCKED}.87.3:443/page.jsp?pi=qrbycv1161670G5D6C
- http://{BLOCKED}4.109.50:443/default.jsp?hd=ebawjr1161670G5D6C
- http://{BLOCKED}.87.3:443/user.jsp?zt=ctzczy1161670G5D6C
- http://{BLOCKED}4.109.50:443/index.jsp?ez=ticbol1161670G5D6C
- http://{BLOCKED}.87.3:443/index.jsp?ye=lhiwkz1161670G5D6C
- http://{BLOCKED}4.109.50:443/security.jsp?zo=azdawz1161670G5D6C
- http://{BLOCKED}.87.3:443/security.jsp?lx=sxutss1161670G5D6C
- http://{BLOCKED}4.109.50:443/default.jsp?id=atdfjn1161670G5D6C
- http://{BLOCKED}.87.3:443/default.jsp?uk=paushs1161670G5D6C
- http://{BLOCKED}4.109.50:443/default.jsp?oi=swmrjt1161670G5D6C
- http://{BLOCKED}.87.3:443/page.jsp?kj=oiadjk1161670G5D6C
- http://{BLOCKED}4.109.50:443/user.jsp?dr=eurtli1161670G5D6C
- http://{BLOCKED}.87.3:443/default.jsp?sb=nrtdzm1161670G5D6C
- http://{BLOCKED}4.109.50:443/default.jsp?ph=ztyrvc1161670G5D6C
- http://{BLOCKED}.87.3:443/about.jsp?ej=sdejep1161670G5D6C
- http://{BLOCKED}4.109.50:443/process.jsp?kw=quzzbd1161670G5D6C
- http://{BLOCKED}.87.3:443/page.jsp?yl=twvsbu1161670G5D6C
- http://{BLOCKED}4.109.50:443/security.jsp?gj=oevibb1161670G5D6C
- http://{BLOCKED}.87.3:443/about.jsp?sf=plsmoo1161670G5D6C
- http://{BLOCKED}4.109.50:443/about.jsp?xs=mxcwmy1161670G5D6C
- http://{BLOCKED}.87.3:443/parse.jsp?eo=uinpxo1161670G5D6C
- http://{BLOCKED}4.109.50:443/process.jsp?tx=fxzrwv1161670G5D6C
- http://{BLOCKED}.87.3:443/query.jsp?nk=gqhoxt1161670G5D6C
- http://{BLOCKED}4.109.50:443/parse.jsp?ev=eyytsd1161670G5D6C
- http://{BLOCKED}.87.3:443/user.jsp?be=tyaeyf1161670G5D6C
- http://{BLOCKED}4.109.50:443/parse.jsp?co=szlovj1161670G5D6C
- http://{BLOCKED}.87.3:443/index.jsp?aj=unfpsi1161670G5D6C
- http://{BLOCKED}4.109.50:443/security.jsp?ib=gnwywj1161670G5D6C
- http://{BLOCKED}.87.3:443/about.jsp?qm=etmzei1161670G5D6C
- http://{BLOCKED}4.109.50:443/default.jsp?hu=vfuwmc1161670G5D6C
- http://{BLOCKED}.87.3:443/index.jsp?ul=hecnba1161670G5D6C
- http://{BLOCKED}4.109.50:443/security.jsp?nr=hkbwoo1161670G5D6C
- http://{BLOCKED}.87.3:443/login.jsp?jm=vuuzfi1161670G5D6C
- http://{BLOCKED}4.109.50:443/process.jsp?ym=xwhspo1161670G5D6C
- http://{BLOCKED}.87.3:443/query.jsp?rr=xaammx1161670G5D6C
- http://{BLOCKED}4.109.50:443/index.jsp?ab=pgmprg1161670G5D6C
- http://{BLOCKED}.87.3:443/parse.jsp?ze=qiicck1161670G5D6C
- http://{BLOCKED}4.109.50:443/login.jsp?da=intihe1161670G5D6C
- http://{BLOCKED}.87.3:443/user.jsp?ax=vuutxo1161670G5D6C
- http://{BLOCKED}4.109.50:443/security.jsp?ry=orkdck1161670G5D6C
- http://{BLOCKED}.87.3:443/parse.jsp?in=dyazht1161670G5D6C
- http://{BLOCKED}4.109.50:443/user.jsp?hg=issxlv1161670G5D6C
- http://{BLOCKED}.87.3:443/security.jsp?ew=kdjyfu1161670G5D6C
- http://{BLOCKED}4.109.50:443/query.jsp?va=lpodqu1161670G5D6C
- http://{BLOCKED}.87.3:443/security.jsp?zz=aseuou1161670G5D6C
- http://{BLOCKED}4.109.50:443/default.jsp?oa=biyzdf1161670G5D6C
- http://{BLOCKED}.87.3:443/parse.jsp?tu=ihxcjz1161670G5D6C
- http://{BLOCKED}4.109.50:443/index.jsp?qm=syxict1161670G5D6C
- http://{BLOCKED}.87.3:443/process.jsp?jz=umxfso1161670G5D6C
- http://{BLOCKED}4.109.50:443/index.jsp?ga=okqtvp1161670G5D6C
- http://{BLOCKED}.87.3:443/index.jsp?zo=ahifka1161670G5D6C
- http://{BLOCKED}4.109.50:443/about.jsp?dw=rvmxya1161670G5D6C
- http://{BLOCKED}.87.3:443/user.jsp?vq=whiivp1161670G5D6C
- http://{BLOCKED}4.109.50:443/user.jsp?pf=xpnmnk1161670G5D6C
- http://{BLOCKED}.87.3:443/login.jsp?gs=owajdc1161670G5D6C
- http://{BLOCKED}4.109.50:443/index.jsp?gr=kcvvju1161670G5D6C
- http://{BLOCKED}.87.3:443/about.jsp?cn=idnium1161670G5D6C
- http://{BLOCKED}4.109.50:443/default.jsp?qw=uadyan1161670G5D6C
- http://{BLOCKED}.87.3:443/login.jsp?yf=yljkai1161670G5D6C
- http://{BLOCKED}4.109.50:443/query.jsp?jg=uusjjj1161670G5D6C
- http://{BLOCKED}.87.3:443/login.jsp?im=atgkai1161670G5D6C
- http://{BLOCKED}4.109.50:443/query.jsp?md=ejxohl1161670G5D6C
- http://{BLOCKED}.87.3:443/user.jsp?yp=vpxgtl1161670G5D6C
- http://{BLOCKED}4.109.50:443/login.jsp?oy=zhjlih1161670G5D6C
- http://{BLOCKED}.87.3:443/security.jsp?it=pbitgs1161670G5D6C
- http://{BLOCKED}4.109.50:443/security.jsp?qy=adebbg1161670G5D6C
- http://{BLOCKED}.87.3:443/default.jsp?zj=gdamdm1161670G5D6C
- http://{BLOCKED}4.109.50:443/security.jsp?ee=akawfj1161670G5D6C
- http://{BLOCKED}.87.3:443/query.jsp?hy=biswmk1161670G5D6C
マルウェアは、実行後、自身を削除します。
このウイルス情報は、自動解析システムにより作成されました。
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
以下のファイルを検索し削除します。
- %User Temp%\~D35463.tmp
- %User Temp%\~D35464.tmp
- %User Profile%\Local Settings\wb32.exe
手順 3
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「BKDR_SIMBOT.UKKU」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 4
以下のファイルをバックアップを用いて修復します。なお、マイクロソフト製品に関連したファイルのみ修復されます。このマルウェア/グレイウェア/スパイウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。
- %User Profile%\Local Settings\wb32.exe
ご利用はいかがでしたか? アンケートにご協力ください