Trend Micro Security

TROJ_DLOAD.SMAB

2011年2月23日
 解析者: Roland Dela Paz   
 更新者 : Christopher Daniel So

 プラットフォーム:

Windows 2000, XP, Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化: なし
  • 感染報告の有無: はい

  概要


マルウェアは、他の不正プログラムに作成され、コンピュータに侵入します。 マルウェアは、他の不正プログラムもしくはアドウェア等のパッケージと共にコンポーネントとして、コンピュータに侵入します。


  詳細

ファイルサイズ 不定
タイプ DLL
ファイル圧縮 UPX
メモリ常駐 なし
発見日 2010年10月12日
ペイロード Drops files

侵入方法

マルウェアは、他の不正プログラムに作成され、コンピュータに侵入します。

マルウェアは、他の不正プログラムもしくはアドウェア等のパッケージと共にコンポーネントとして、コンピュータに侵入します。

インストール

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

  • Local\UIEI

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

HKEY_CLASSES_ROOT\PROTOCOLS\Filter\
text/html
(Default) = "Microsoft Improved HTML MIME Filter"

HKEY_CLASSES_ROOT\PROTOCOLS\Filter\
text/html
CLSID = "{random CLSID}"

HKEY_CLASSES_ROOT\CLSID\{random CLSID}\
InProcServer32
(Default) = "%User Temp%\mstmp."

HKEY_CLASSES_ROOT\CLSID\{random CLSID}\
InProcServer32
ThreadingModel = "Apartment"

作成活動

マルウェアは、以下のファイルを作成します。

  • %User Temp%\mstmp - detected as TROJ_DLOAD.SMAD

(註:%User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\<ユーザー名>\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\TEMP" です。)

その他

マルウェアは、感染コンピュータ上で実行中プロセスのリストから以下のセキュリティ対策に関連するサービスを監視します。マルウェアは、以下のいずれかのサービスを確認すると、このマルウェアが作成する「TROJ_DLOAD.SMAD」が、これらのサービスを無効にします。

  • AAWService.exe
  • AAWTray.exe
  • ABregmon.exe
  • ACAAS.exe
  • ACAEGMr.exe
  • ACAIS.exe
  • ACALS.exe
  • ACASP.exe
  • ACenter.exe
  • AFMain.exe
  • AGB6.exe
  • AGBKrnl.exe
  • AGIDSUI.exe
  • ALMon.exe
  • ALive.exe
  • ALsvc.exe
  • APVXDWIN.EXE
  • ARCATA~1.EXE
  • AScheduleService.exe
  • AVGIDSAgent.exe
  • AVGIDSMonitor.exe
  • AVGIDSWatcher.exe
  • AVKProxy.exe
  • AVKService.exe
  • AVKTray.exe
  • AVKWCtl.exe
  • AVMenu.exe
  • Ad-Aware.exe
  • AhnSD.exe
  • AhnSDsv.exe
  • AluSchedulerSvc.exe
  • ApVxdWin.exe
  • ArcaBackupService.exe
  • ArcaBit.Core.Configurator2.exe
  • ArcaRemoteSvc.exe
  • Arcabit.Core.LoggingService.exe
  • BDTUpdateService.exe
  • CAGlobal.exe
  • CAGlobalLight.exe
  • CAPPActiveProtection.exe
  • CCSVCHST.EXE
  • CClaw.exe
  • CONSCTL.EXE
  • CounterSpy.exe
  • EMLPROUI.EXE
  • EMLPROXY.EXE
  • FAMEH32.exe
  • FCH32.EXE
  • FPAVServer.exe
  • FProtTray.exe
  • FSM32.EXE
  • FSMA32.EXE
  • FSMB32.exe
  • FileMonSV.exe
  • GDFirewallTray.exe
  • GDFwSvc.exe
  • GDSC.exe
  • GDScan.exe
  • HFACSvc.exe
  • HrRes.exe
  • IFace.exe
  • ISWSVC.exe
  • ITMRTSVC.exe
  • K7EmlPxy.exe
  • K7FWSrvc.exe
  • K7PSSrvc.exe
  • K7RTScan.exe
  • K7SysMon.exe
  • K7SysTry.exe
  • K7TSMngr.exe
  • K7TSecurity.exe
  • KVMonXp.kxp
  • KVSrvXP.exe
  • KVXp.kxp
  • MAILDISP.EXE
  • MSASCui.exe
  • MSProxy.ahn
  • MWAGENT.EXE
  • MWASER.EXE
  • McNASvc.exe
  • McProxy.exe
  • McSACore.exe
  • Mcshield.exe
  • MpfSrv.exe
  • MsMpEng.exe
  • Nbrowser.exe
  • NetMonSV.exe
  • Nip.exe
  • Njeeves.exe
  • Nsesvc.exe
  • Nvcoas.exe
  • ONLINENT.EXE
  • ONLNSVC.EXE
  • OPSSVC.EXE
  • OcHealthMon.exe
  • PAVSRV51.EXE
  • PPCtlPriv.exe
  • PSANHost.exe
  • PSHost.exe
  • PSUNMain.exe
  • PXAgent.exe
  • PXConsole.exe
  • PavBckPT.exe
  • PavFnSvr.exe
  • PavPrSrv.exe
  • PslmSvc.exe
  • QOELoader.exe
  • QUHLPSVC.EXE
  • RavMon.exe
  • RavTask.exe
  • RsTray.exe
  • SAVAdminService.exe
  • SBAMSvc.exe
  • SBAMTray.exe
  • SBCSSvc.exe
  • SBCSTray.exe
  • SCANMSG.EXE
  • SCANWSCS.EXE
  • SSU.exe
  • SavService.exe
  • SfCtlCom.exe
  • SpIDerAgent.exe
  • SpIDerMI.exe
  • SpySweeper.exe
  • SpySweeperUI.exe
  • SpybotSD.exe
  • TDWatch.exe
  • TFService.exe
  • THAV.EXE
  • THD32.EXE
  • THSM.EXE
  • TMBMSRV.exe
  • TRAYSSER.EXE
  • TRYICOS.EXE
  • TSCFCommander.exe
  • TSCFPlatformCOMSvr.exe
  • TeaTimer.exe
  • TmPfw.exe
  • TmProxy.exe
  • UPSCHD.EXE
  • UfNai.exe
  • UfSeAgnt.exe
  • UfSeAgnt.exe
  • UfUpdUi.exe
  • UmxAgent.exe
  • UmxCfg.exe
  • UmxFwHlp.exe
  • UmxPol.exe
  • VMwareService.exe
  • VMwareTray.exe
  • VMwareUser.exe
  • WEBPROXY.EXE
  • WRConsumerService.exe
  • WinSSUI.exe
  • Zanda.exe
  • Zlh.exe
  • a2guard.exe
  • a2services.exe
  • a2start.exe
  • acs.exe
  • arcarvir.exe
  • ashDisp.exe
  • ashMaiSv.exe
  • ashServ.exe
  • ashWebSv.exe
  • aswUpdSv.exe
  • avas.exe
  • avcom.exe
  • avesvc.exe
  • avgam.exe
  • avgamsvr.exe
  • avgas.exe
  • avgcc.exe
  • avgcsrvx.exe
  • avgcsrvx.exe
  • avgemc.exe
  • avgfws8.exe
  • avgnsx.exe
  • avgrsx.exe
  • avgtray.exe
  • avgui.exe
  • avgupd.exe
  • avgupsvc.exe
  • avgwdsvc.exe
  • avgwsvc.exe
  • avinitnt.exe
  • avmgma.exe
  • avp.exe
  • avpmapp.exe
  • avtray.exe
  • avwebgrd.exe
  • caavguiscan.exe
  • capfasem.exe
  • cappactiveprotection.exe
  • casc.exe
  • casecuritycenter.exe
  • cavrid.exe
  • ccSvcHst.exe
  • ccschedulersvc.exe
  • cctray.exe
  • cfp.exe
  • cmdagent.exe
  • drwebscd.exe
  • dvpapi.exe
  • dvprpt.exe
  • econceal.exe
  • econser.exe
  • egui.exe
  • ekrn.exe
  • elogsvc.exe
  • escanmon.exe
  • forsp.exe
  • fsaua.exe
  • fsav32.exe
  • fsavgui.exe
  • fsdfwd.exe
  • fsgk32.exe
  • fsgk32st.exe
  • fsguidll.exe
  • fspc.exe
  • fsqh.exe
  • fssm32.exe
  • fsus.exe
  • gozer.exe
  • guard.exe
  • guardxkickoff.exe
  • guardxservice.exe
  • guardxup.exe
  • hcontain.exe
  • hpcsvc.exe
  • hsvcmod.exe
  • isafe.exe
  • kavstart.exe
  • kissvc.exe
  • kmailmon.exe
  • kpfw32.exe
  • kpfwsvc.exe
  • kwatch.exe
  • livesrv.exe
  • livesrv.exe
  • mcagent.exe
  • mcmscsvc.exe
  • mcshell.exe
  • mcsysmon.exe
  • mcupdmgr.exe
  • mcvsmap.exe
  • mcvsshld.exe
  • mdmcls32.exe
  • msfwsvc.exe
  • msksrver.exe
  • npcsvc32.exe
  • npfsvc32.exe
  • npfuser.exe
  • nprosec.exe
  • nuaa.exe
  • nvcsched.exe
  • nvcsched.exe
  • nvoy.exe
  • op_mon.exe
  • pctsAuxs.exe
  • pctsGui.exe
  • pctsSvc.exe
  • pctsTray.exe
  • prevx.exe
  • psksvc.exe
  • qhfw.exe
  • rsnetsvr.exe
  • sbamui.exe
  • seccenter.exe
  • seccenter.exe
  • spiderml.exe
  • spidernt.exe
  • spidersgate.exe
  • spiderui.exe
  • svcprs32.exe
  • symlcsvc.exe
  • syssvcnt.exe
  • tpcfg.exe
  • tppfdmm.exe
  • tptray.exe
  • uiscan.exe
  • untray.exe
  • vba32ldr.exe
  • vbcmserv.exe
  • vbsystry.exe
  • vetmsg.exe
  • virCatch.exe
  • virusutilities.exe
  • vmacthlp.exe
  • vrfwsock.exe
  • vrfwsvc.exe
  • vrmonnt.exe
  • vrmonsvc.exe
  • vrrepair.exe
  • vrscan.exe
  • vsmon.exe
  • vsserv.exe
  • vsserv.exe
  • winss.exe
  • winssnotify.exe
  • xcommsvr.exe
  • zlclient.exe

マルウェアは、情報収集する機能を備えていません。

マルウェアは、バックドア活動の機能を備えていません。

マルウェアは、ルートキットの機能を備えていません。


  対応方法

対応検索エンジン: 8.900
VSAPI OPR パターンバージョン 7.551.00
VSAPI OPR パターンリリース日 2010年10月19日

手順 1

Windows ME および XPユーザは、パソコンから不正プログラムもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

起動中ブラウザのウインドウを全て閉じてください。

手順 3

Windowsの検索機能([スタート] → [検索] → [ファイルとフォルダすべて] を選択)などを使用して、この「TROJ_DLOAD.SMAB」が作成、あるいは、ダウンロードした以下のファイルを検索し、検索した場合は削除してください。

手順 4

このレジストリキーを削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_CLASSES_ROOT\PROTOCOLS\Filter
    • text/html
  • In HKEY_CLASSES_ROOT\CLSID
    • {random CLSID}

手順 5

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TROJ_DLOAD.SMAB」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。ただし、念のため、隔離されたファイルを削除してください。詳しくは、こちらをご確認下さい。


ご利用はいかがでしたか? アンケートにご協力ください

関連マルウェア