Trend Micro Security

PUA_DownloadAdmin

2017年5月8日

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。


  詳細

ファイルサイズ 670,672 bytes
タイプ EXE
メモリ常駐 なし
発見日 2015年7月9日

侵入方法

その他は、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

その他は、以下のフォルダを作成します。

  • %System Root%\DOCUME~1
  • %System Root%\DOCUME~1\Wilbert
  • %User Profile%\LOCALS~1
  • %User Temp%\nst5.tmp
  • %User Temp%\nsbD.tmp
  • %User Temp%\nsd16.tmp
  • %User Temp%\nsd16.tmp\skin
  • %User Temp%\nsd16.tmp\skin\res
  • %User Temp%\nsd16.tmp\apps

(註:%System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.. %User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>" です。.. %User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.)

他のシステム変更

その他は、以下のファイルを削除します。

  • %User Temp%\nse1.tmp
  • %User Temp%\nst5.tmp
  • %User Temp%\nsv9.tmp
  • %User Temp%\nsbD.tmp
  • %User Temp%\nsn12.tmp
  • %User Temp%\nsd16.tmp

(註:%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.)

作成活動

その他は、以下のファイルを作成します。

  • %User Temp%\nse3.tmp
  • %User Temp%\nst5.tmp\LuaBridge.dll
  • %User Temp%\nslB.tmp
  • %User Temp%\nsbD.tmp\LuaBridge.dll
  • %User Temp%\nsn14.tmp
  • %User Temp%\nsd16.tmp\LuaBridge.dll
  • %User Temp%\nsd16.tmp\System.dll
  • %User Temp%\nsd16.tmp\lua51.dll
  • %User Temp%\nsd16.tmp\LuaXml_lib.dll
  • %User Temp%\nsd16.tmp\step1.lua
  • %User Temp%\nsd16.tmp\c6d51ab09f96b7569326130e860517b7d87e866d.lua
  • %User Temp%\nsd16.tmp\897d21056a341314b60764c31b36c1fad542e78a.lua
  • %User Temp%\nsd16.tmp\7d4b85d62fb353e7a43256f40d539ceb6fd06006.lua
  • %User Temp%\nsd16.tmp\7b33b2bde409277581a53da83ac5b1bfdcf29afa.lua
  • %User Temp%\nsd16.tmp\f45008e3c900e7920effac3ed6f377dd0caf0cf1.lua
  • %User Temp%\nsd16.tmp\a317db596f44efe64d2468fcc06f25e9e5c24881.lua
  • %User Temp%\nsd16.tmp\fb9a971095becfd9b1e850eb6279c1348b614289.lua
  • %User Temp%\nsd16.tmp\c27913efc6edcc938c504fa24651c7f3d95f51cc.lua
  • %User Temp%\nsd16.tmp\c1c6244f2ae1702a3000c622f7096790af0fce54.lua
  • %User Temp%\nsd16.tmp\05d97e6e9834ccf063c552e404b9ecafc5e4d662.lua
  • %User Temp%\nsd16.tmp\a2a55e68a147ddb026454c38213bc01a3979f52c.lua
  • %User Temp%\nsd16.tmp\1db41df8dccf7e3b03a1b1cd221519090170ae52.lua
  • %User Temp%\nsd16.tmp\2ef40efb3ce47d8141682e9cd50f9848be24fcd8.lua
  • %User Temp%\nsd16.tmp\6ee341160694a1164db3bdcdb8a5bdf67cb8e295.lua
  • %User Temp%\nsd16.tmp\21bf231e6241de6c31600941d84be38815e28488.lua
  • %User Temp%\nsd16.tmp\bf87348c373b422b894b2aa91466db367ea80aaa.lua
  • %User Temp%\nsd16.tmp\526e1aa5c4ffd23f07dd88b5fb40e6f2e034caef.lua
  • %User Temp%\nsd16.tmp\920f8f5815b381ea692e9e7c2f7119f2b1aa620a.lua
  • %User Temp%\nsd16.tmp\9ed037b84943c4caa3a520e48a5540181c46c98c.lua
  • %User Temp%\nsd16.tmp\142f817c3ec0586de0f960c1c0483043b61a0d06.lua
  • %User Temp%\nsd16.tmp\00dd744df5073c5ea8e44a65021a773b42bddf79.lua
  • %User Temp%\nsd16.tmp\78e7626f746ee5577b52d70f6be23e4200f721f1.lua
  • %User Temp%\nsd16.tmp\051b9663e868ce31e198a113ab8583e4975333cc.lua
  • %User Temp%\nsd16.tmp\b67dd0daccce8aa22f9ae05b1ba94204e35079c1.lua
  • %User Temp%\nsd16.tmp\3dec5266be16767074bd7e633762711cad92c73c.lua
  • %User Temp%\nsd16.tmp\c9f011a4972686d5e6b3011c1f3d869999161f98.lua
  • %User Temp%\nsd16.tmp\fe80be6cc93b6dd7bc3fadf2c043443a64eb487f.lua
  • %User Temp%\nsd16.tmp\364a4e2a5b8a1bf8e9d7bd8564dd4847bc2d4dda.lua
  • %User Temp%\nsd16.tmp\fcdcfb4437ad8599b23f499b563e237a464ff441.lua
  • %User Temp%\nsd16.tmp\632078f327839b0df0b12da37f835169172076ee.lua
  • %User Temp%\nsd16.tmp\1d76390fb3b717cf3455968a560ca5420e3de218.lua
  • %User Temp%\nsd16.tmp\e7a170af4b32945995cc5d1f1aee630920f88095.lua
  • %User Temp%\nsd16.tmp\845c4cc600dfc06afce750ce6b8870433b7d47ec.lua
  • %User Temp%\nsd16.tmp\f44b567e3a3a123bcabbee52004a1b32b680a84e.lua
  • %User Temp%\nsd16.tmp\083e81bd6d4ed3f8c712846787b4588d08f99e95.lua
  • %User Temp%\nsd16.tmp\8171799b04351aef58c38f5109cd1ef7a43d20d0.lua
  • %User Temp%\nsd16.tmp\590f6cae552c6eb2859cbad0ffbdbd5571946df4.lua
  • %User Temp%\nsd16.tmp\0ec81897a17fb0f84013e683b09bb6f0c8d42cd8.dll
  • %User Temp%\nsd16.tmp\1feb3ea612cdf9b90056427956a6421e260272ab.dll
  • %User Temp%\nsd16.tmp\1370ebd534807c69ad0db6461cbf3f3fd03c434f.dll
  • %User Temp%\nsd16.tmp\026e996a3a5897970b058ffb093a163a1d763649.dll
  • %User Temp%\nsd16.tmp\672305f73718cddf94bb13e3c100dc29b8397598.dll
  • %User Temp%\nsd16.tmp\c5bfcd4d85ffe4e22099630f8abb9b98b714e7e0.lua
  • %User Temp%\nsd16.tmp\389da82bc55b853a5b301d1ded34c566dbac4d4f.lua
  • %User Temp%\nsd16.tmp\f49f0cb90d014cf5c8ac1925a9478d720c972747.lua
  • %User Temp%\nsd16.tmp\7a0c7559331d92414337ab9237a8a62c13d544ee.lua
  • %User Temp%\nsd16.tmp\7b2584cd1b859d0b92b2ad88463adbe6757e8ae1.lua
  • %User Temp%\nsd16.tmp\0016e501ecf62f9d1e0ea5ff98d62e9163b91e1a.lua
  • %User Temp%\nsd16.tmp\cf7afea710adf5a4494f7eea03db9c908baf9a8f.lua
  • %User Temp%\nsd16.tmp\72ed3d41d77b75b2612d44bc1df80903b476928b.lua
  • %User Temp%\nsd16.tmp\7c5fb38f536c5e201a10ce382c0756a186346bc2.lua
  • %User Temp%\nsd16.tmp\cc9afe3271c429b15e72e21f6d4fb371283a4843.lua
  • %User Temp%\nsd16.tmp\87a5250e7389d052be3fdc257872ebd873ef2deb.dll
  • %User Temp%\nsd16.tmp\f40368059830399ce8189100003d317f2739d087.dll
  • %User Temp%\nsd16.tmp\nsis7z.dll
  • %User Temp%\nsd16.tmp\nsisunz.dll
  • %User Temp%\nsd16.tmp\extension.tlb
  • %User Temp%\nsd16.tmp\step2.lua
  • %User Temp%\nsd16.tmp\step_d.lua
  • %User Temp%\nsd16.tmp\stepInt.lua
  • %User Temp%\nsd16.tmp\skin\res\jquery.js
  • %User Temp%\nsd16.tmp\skin\res\common.js
  • %User Temp%\nsd16.tmp\skin\res\common.css
  • %User Temp%\nsd16.tmp\skin\res\knockout.js
  • %User Temp%\nsd16.tmp\stepAdv.lua
  • %User Temp%\nsd16.tmp\versioninfo.dll
  • %User Temp%\nsd16.tmp\UACInfo.dll
  • %User Temp%\nsd16.tmp\FloatingProgress.dll
  • %User Temp%\nsd16.tmp\un.package.exe
  • %User Temp%\nsd16.tmp\__web.xml

(註:%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.)

その他

その他は、以下の不正なWebサイトにアクセスします。

  • http://service.{BLOCKED}adadmin.com/install?{random characters}

このウイルス情報は、自動解析システムにより作成されました。


  対応方法

対応検索エンジン: 9.750

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %User Temp%\nse3.tmp
  • %User Temp%\nst5.tmp\LuaBridge.dll
  • %User Temp%\nslB.tmp
  • %User Temp%\nsbD.tmp\LuaBridge.dll
  • %User Temp%\nsn14.tmp
  • %User Temp%\nsd16.tmp\LuaBridge.dll
  • %User Temp%\nsd16.tmp\System.dll
  • %User Temp%\nsd16.tmp\lua51.dll
  • %User Temp%\nsd16.tmp\LuaXml_lib.dll
  • %User Temp%\nsd16.tmp\step1.lua
  • %User Temp%\nsd16.tmp\c6d51ab09f96b7569326130e860517b7d87e866d.lua
  • %User Temp%\nsd16.tmp\897d21056a341314b60764c31b36c1fad542e78a.lua
  • %User Temp%\nsd16.tmp\7d4b85d62fb353e7a43256f40d539ceb6fd06006.lua
  • %User Temp%\nsd16.tmp\7b33b2bde409277581a53da83ac5b1bfdcf29afa.lua
  • %User Temp%\nsd16.tmp\f45008e3c900e7920effac3ed6f377dd0caf0cf1.lua
  • %User Temp%\nsd16.tmp\a317db596f44efe64d2468fcc06f25e9e5c24881.lua
  • %User Temp%\nsd16.tmp\fb9a971095becfd9b1e850eb6279c1348b614289.lua
  • %User Temp%\nsd16.tmp\c27913efc6edcc938c504fa24651c7f3d95f51cc.lua
  • %User Temp%\nsd16.tmp\c1c6244f2ae1702a3000c622f7096790af0fce54.lua
  • %User Temp%\nsd16.tmp\05d97e6e9834ccf063c552e404b9ecafc5e4d662.lua
  • %User Temp%\nsd16.tmp\a2a55e68a147ddb026454c38213bc01a3979f52c.lua
  • %User Temp%\nsd16.tmp\1db41df8dccf7e3b03a1b1cd221519090170ae52.lua
  • %User Temp%\nsd16.tmp\2ef40efb3ce47d8141682e9cd50f9848be24fcd8.lua
  • %User Temp%\nsd16.tmp\6ee341160694a1164db3bdcdb8a5bdf67cb8e295.lua
  • %User Temp%\nsd16.tmp\21bf231e6241de6c31600941d84be38815e28488.lua
  • %User Temp%\nsd16.tmp\bf87348c373b422b894b2aa91466db367ea80aaa.lua
  • %User Temp%\nsd16.tmp\526e1aa5c4ffd23f07dd88b5fb40e6f2e034caef.lua
  • %User Temp%\nsd16.tmp\920f8f5815b381ea692e9e7c2f7119f2b1aa620a.lua
  • %User Temp%\nsd16.tmp\9ed037b84943c4caa3a520e48a5540181c46c98c.lua
  • %User Temp%\nsd16.tmp\142f817c3ec0586de0f960c1c0483043b61a0d06.lua
  • %User Temp%\nsd16.tmp\00dd744df5073c5ea8e44a65021a773b42bddf79.lua
  • %User Temp%\nsd16.tmp\78e7626f746ee5577b52d70f6be23e4200f721f1.lua
  • %User Temp%\nsd16.tmp\051b9663e868ce31e198a113ab8583e4975333cc.lua
  • %User Temp%\nsd16.tmp\b67dd0daccce8aa22f9ae05b1ba94204e35079c1.lua
  • %User Temp%\nsd16.tmp\3dec5266be16767074bd7e633762711cad92c73c.lua
  • %User Temp%\nsd16.tmp\c9f011a4972686d5e6b3011c1f3d869999161f98.lua
  • %User Temp%\nsd16.tmp\fe80be6cc93b6dd7bc3fadf2c043443a64eb487f.lua
  • %User Temp%\nsd16.tmp\364a4e2a5b8a1bf8e9d7bd8564dd4847bc2d4dda.lua
  • %User Temp%\nsd16.tmp\fcdcfb4437ad8599b23f499b563e237a464ff441.lua
  • %User Temp%\nsd16.tmp\632078f327839b0df0b12da37f835169172076ee.lua
  • %User Temp%\nsd16.tmp\1d76390fb3b717cf3455968a560ca5420e3de218.lua
  • %User Temp%\nsd16.tmp\e7a170af4b32945995cc5d1f1aee630920f88095.lua
  • %User Temp%\nsd16.tmp\845c4cc600dfc06afce750ce6b8870433b7d47ec.lua
  • %User Temp%\nsd16.tmp\f44b567e3a3a123bcabbee52004a1b32b680a84e.lua
  • %User Temp%\nsd16.tmp\083e81bd6d4ed3f8c712846787b4588d08f99e95.lua
  • %User Temp%\nsd16.tmp\8171799b04351aef58c38f5109cd1ef7a43d20d0.lua
  • %User Temp%\nsd16.tmp\590f6cae552c6eb2859cbad0ffbdbd5571946df4.lua
  • %User Temp%\nsd16.tmp\0ec81897a17fb0f84013e683b09bb6f0c8d42cd8.dll
  • %User Temp%\nsd16.tmp\1feb3ea612cdf9b90056427956a6421e260272ab.dll
  • %User Temp%\nsd16.tmp\1370ebd534807c69ad0db6461cbf3f3fd03c434f.dll
  • %User Temp%\nsd16.tmp\026e996a3a5897970b058ffb093a163a1d763649.dll
  • %User Temp%\nsd16.tmp\672305f73718cddf94bb13e3c100dc29b8397598.dll
  • %User Temp%\nsd16.tmp\c5bfcd4d85ffe4e22099630f8abb9b98b714e7e0.lua
  • %User Temp%\nsd16.tmp\389da82bc55b853a5b301d1ded34c566dbac4d4f.lua
  • %User Temp%\nsd16.tmp\f49f0cb90d014cf5c8ac1925a9478d720c972747.lua
  • %User Temp%\nsd16.tmp\7a0c7559331d92414337ab9237a8a62c13d544ee.lua
  • %User Temp%\nsd16.tmp\7b2584cd1b859d0b92b2ad88463adbe6757e8ae1.lua
  • %User Temp%\nsd16.tmp\0016e501ecf62f9d1e0ea5ff98d62e9163b91e1a.lua
  • %User Temp%\nsd16.tmp\cf7afea710adf5a4494f7eea03db9c908baf9a8f.lua
  • %User Temp%\nsd16.tmp\72ed3d41d77b75b2612d44bc1df80903b476928b.lua
  • %User Temp%\nsd16.tmp\7c5fb38f536c5e201a10ce382c0756a186346bc2.lua
  • %User Temp%\nsd16.tmp\cc9afe3271c429b15e72e21f6d4fb371283a4843.lua
  • %User Temp%\nsd16.tmp\87a5250e7389d052be3fdc257872ebd873ef2deb.dll
  • %User Temp%\nsd16.tmp\f40368059830399ce8189100003d317f2739d087.dll
  • %User Temp%\nsd16.tmp\nsis7z.dll
  • %User Temp%\nsd16.tmp\nsisunz.dll
  • %User Temp%\nsd16.tmp\extension.tlb
  • %User Temp%\nsd16.tmp\step2.lua
  • %User Temp%\nsd16.tmp\step_d.lua
  • %User Temp%\nsd16.tmp\stepInt.lua
  • %User Temp%\nsd16.tmp\skin\res\jquery.js
  • %User Temp%\nsd16.tmp\skin\res\common.js
  • %User Temp%\nsd16.tmp\skin\res\common.css
  • %User Temp%\nsd16.tmp\skin\res\knockout.js
  • %User Temp%\nsd16.tmp\stepAdv.lua
  • %User Temp%\nsd16.tmp\versioninfo.dll
  • %User Temp%\nsd16.tmp\UACInfo.dll
  • %User Temp%\nsd16.tmp\FloatingProgress.dll
  • %User Temp%\nsd16.tmp\un.package.exe
  • %User Temp%\nsd16.tmp\__web.xml

手順 3

以下のフォルダを検索し削除します。

[ 詳細 ]
フォルダが隠しフォルダ属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %System Root%\DOCUME~1
  • %System Root%\DOCUME~1\Wilbert
  • %User Profile%\LOCALS~1
  • %User Temp%\nst5.tmp
  • %User Temp%\nsbD.tmp
  • %User Temp%\nsd16.tmp
  • %User Temp%\nsd16.tmp\skin
  • %User Temp%\nsd16.tmp\skin\res
  • %User Temp%\nsd16.tmp\apps

手順 4

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「PUA_DownloadAdmin」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 5

以下のファイルをバックアップを用いて修復します。なお、マイクロソフト製品に関連したファイルのみ修復されます。このマルウェア/グレイウェア/スパイウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。

  • %User Temp%\nse1.tmp
  • %User Temp%\nst5.tmp
  • %User Temp%\nsv9.tmp
  • %User Temp%\nsbD.tmp
  • %User Temp%\nsn12.tmp
  • %User Temp%\nsd16.tmp


ご利用はいかがでしたか? アンケートにご協力ください