JAVA_BANLOAD.UASA 2016年10月15日
解析者: Cris Nowell Pantanilla
マルウェアタイプ: トロイの木馬型 破壊活動の有無: なし 暗号化: はい 感染報告の有無: はい マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、ダウンロードしたファイルを実行します。
マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
%Application Data%\Sun\Java\Deployment\{random string}\{random string}.mp3 (decompressed copy of pp64.pdf or pp32.pdf) %Application Data%\Sun\Java\Deployment\{random string}\{random string}.xml (decompressed copy of ss64.pdf or ss32.pdf) %Application Data%\Sun\Java\Deployment\{random string}\{random string}.wmv (decompressed copy of jjgf.pdf) %Application Data%\Sun\Java\Deployment\{random string}\{random string}.bat - executes ".xml" file %User StartUp%\{random}.LNK - point to real{random numbers}.vbs %User Temp%\real{random numbers}.vbs - execute downloaded files %User Temp%\tmp{random numbers}.vbs - get drive serial number (註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.. %User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.)
マルウェアは、以下のフォルダを作成します。
%Application Data%\Sun\Java\Deployment\{random string} (註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.)
ダウンロード活動
マルウェアは、以下のWebサイトにアクセスして自身のコンポーネントファイルをダウンロードします。
http://{BLOCKED}.{BLOCKED}.167.26/pdf/pp64.pdf (64-bit) http://{BLOCKED}.{BLOCKED}.167.26/pdf/ss64.pdf (64-bit) http://{BLOCKED}.{BLOCKED}.167.26/pdf/pp32.pdf (32-bit) http://{BLOCKED}.{BLOCKED}.167.26/pdf/ss32.pdf (32-bit) http://{BLOCKED}.{BLOCKED}.167.26/pdf/jjgf.pdf マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。
%Application Data%\{random string}\pp64.pdf (64-bit) %Application Data%\{random string}\ss64.pdf (64-bit) %Application Data%\{random string}\pp32.pdf (32-bit) %Application Data%\{random string}\ss32.pdf (32-bit) %Application Data%\{random string}\jjgf.pdf (註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.)
マルウェアは、ダウンロードしたファイルを実行します。
情報漏えい
マルウェアは、以下の情報を収集します。
Hostname Drive Serial Number OS Name GbPlugin Path その他
マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。
http://{BLOCKED}.{BLOCKED}.167.26/pdf/50A0.php?90F80E63A5E911={Hostname}&00097DF2070609={OS Name}&F218798382F902={GBplugin Path}&C5C63157A8D83F=={Drive Serial Number} 手順 1
Windows XP、Windows Vista および Windows 7 のユーザは 、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効 にしてください。
手順 2
以下のフォルダを検索し削除します。
[ 詳細 ]
[ 戻る ]
フォルダが隠しフォルダ属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
%Application Data%\Sun\Java\Deployment\{random string} %Application Data%\{random string}
このマルウェアまたはアドウェア等が作成したフォルダの削除:
Windows 2000、XP および Server 2003 の場合: [スタート]-[検索]-[ファイルとフォルダすべて]を選択します。 [ファイル名のすべてまたは一部]に、以下のフォルダ名を入力してください。 %Application Data%\Sun\Java\Deployment\{random string} %Application Data%\{random string}
[探す場所]の一覧から[マイコンピュータ]を選択し、[検索]を押します。 検索が終了したら、フォルダを選択し、SHIFT+DELETE を押します。これにより、フォルダが完全に削除されます。 残りのフォルダに対して、このマルウェアまたはアドウェア等が作成したフォルダの削除の手順 2.)から 4.)を繰り返してください。 %Application Data%\Sun\Java\Deployment\{random string} %Application Data%\{random string}
註: ファイル名の入力欄のタイトルは、Windowsのバージョンによって異なります。(例:ファイルやフォルダ名の検索の場合やファイル名のすべてまたは一部での検索)
Windows Vista、7、Server 2008、8、8.1 および Server 2012 の場合: Windowsエクスプローラ画面を開きます。 Windows Vista、7 および Server 2008 の場合: Windows 8、8.1 および Server 2012 の場合:画面の左隅を右クリックし、[エクスプローラー]を選択します。 [コンピューターの検索]に、以下を入力します。 %Application Data%\Sun\Java\Deployment\{random string} %Application Data%\{random string}
検索が終了したら、そのファイルを選択し、SHIFT+DELETE を押します。これにより、フォルダが完全に削除されます。 残りのフォルダに対して、このマルウェアまたはアドウェア等が作成したフォルダの削除の手順 2.)から 3.)を繰り返してください。 %Application Data%\Sun\Java\Deployment\{random string} %Application Data%\{random string}
註: Windows 7 において上記の手順が正しく行われない場合、マイクロソフトのWebサイト をご確認ください。 手順 3
以下のファイルを検索し削除します。
[ 詳細 ]
[ 戻る ]
コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
%Application Data%\Sun\Java\Deployment\{random string}\{random string}.mp3
%Application Data%\Sun\Java\Deployment\{random string}\{random string}.xml
%Application Data%\Sun\Java\Deployment\{random string}\{random string}.wmv
%Application Data%\Sun\Java\Deployment\{random string}\{random string}.bat
%User StartUp%\{random}.LNK
%User Temp%\tmp{random numbers}.vbs
%User Temp%\real{random numbers}.vbs
%Application Data%\{random string}\pp64.pdf
%Application Data%\{random string}\ss64.pdf
%Application Data%\{random string}\pp32.pdf
%Application Data%\{random string}\ss32.pdf
%Application Data%\{random string}\jjgf.pdf
マルウェアのコンポーネントファイルの削除:
Windows 2000、XP および Server 2003 の場合: [スタート]-[検索]-[ファイルとフォルダすべて]を選択します。 [ファイル名のすべてまたは一部]に以下のファイル名を入力してください。 %Application Data%\Sun\Java\Deployment\{random string}\{random string}.mp3
%Application Data%\Sun\Java\Deployment\{random string}\{random string}.xml
%Application Data%\Sun\Java\Deployment\{random string}\{random string}.wmv
%Application Data%\Sun\Java\Deployment\{random string}\{random string}.bat
%User StartUp%\{random}.LNK
%User Temp%\tmp{random numbers}.vbs
%User Temp%\real{random numbers}.vbs
%Application Data%\{random string}\pp64.pdf
%Application Data%\{random string}\ss64.pdf
%Application Data%\{random string}\pp32.pdf
%Application Data%\{random string}\ss32.pdf
%Application Data%\{random string}\jjgf.pdf
[探す場所]の一覧から[マイコンピュータ]を選択し、[検索]を押します。 検索が終了したら、ファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。註: ファイル名の入力欄のタイトルは、Windowsのバージョンによって異なります。(例:ファイルやフォルダ名の検索の場合やファイル名のすべてまたは一部での検索)
Windows Vista、7、Server 2008、8、8.1 および Server 2012 の場合: Windowsエクスプローラ画面を開きます。 Windows Vista、7 および Server 2008 の場合: Windows 8、8.1 および Server 2012 の場合:画面の左下隅を右クリックし、[エクスプローラー]を選択します。 [コンピューターの検索]に、以下を入力します。 %Application Data%\Sun\Java\Deployment\{random string}\{random string}.mp3
%Application Data%\Sun\Java\Deployment\{random string}\{random string}.xml
%Application Data%\Sun\Java\Deployment\{random string}\{random string}.wmv
%Application Data%\Sun\Java\Deployment\{random string}\{random string}.bat
%User StartUp%\{random}.LNK
%User Temp%\tmp{random numbers}.vbs
%User Temp%\real{random numbers}.vbs
%Application Data%\{random string}\pp64.pdf
%Application Data%\{random string}\ss64.pdf
%Application Data%\{random string}\pp32.pdf
%Application Data%\{random string}\ss32.pdf
%Application Data%\{random string}\jjgf.pdf
ファイルが表示されたら、そのファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。 註: Windows 7 において上記の手順が正しく行われない場合、マイクロソフトのWebサイト をご確認ください。 手順 4
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「JAVA_BANLOAD.UASA」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください