TROJ_DLOADER.BHL
TrojanProxy:Win32/Xorpix.M (Microsoft); [00005a00.EXE]:Generic Downloader.ab (McAfee); Backdoor.Trojan (Symantec); Trojan-Dropper.Win32.Small.aps (Kaspersky); Email-Worm.Win32.GOPworm.196 (Sunbelt); Trojan.Dropper.Proxy.Xorpix.H (FSecure)
Windows 2000, Windows XP, Windows Server 2003
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のフォルダを作成します。
- %User Profile%\Documents\Settings
(註:%User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>"、Windows NTでは、"C:\WINNT\Profiles\<ユーザ名>"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\<ユーザ名>" です。)
他のシステム変更
マルウェアは、以下のファイルを削除します。
- %User Profile%\Settings\artm_new.dll~
(註:%User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>"、Windows NTでは、"C:\WINNT\Profiles\<ユーザ名>"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\<ユーザ名>" です。)
マルウェアは、以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\artm_newreg
マルウェアは、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\artm_newreg
DllName = "%User Profile%\Settings\artm_new.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\artm_newreg
Startup = "artm_newreg"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\artm_newreg
Impersonate = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\artm_newreg
Asynchronous = "1"
作成活動
マルウェアは、以下のファイルを作成します。
- %User Temp%\art685E.tmp
- %User Profile%\Documents\t
- %Temp%\artF7DB.tmp
- %Temp%\art808B.tmp
- %Temp%\art5E82.tmp
- %Temp%\artE6DE.tmp
- %Temp%\artFC88.tmp
- %Temp%\art5D00.tmp
- %Temp%\artEA2C.tmp
- %Temp%\art1DD7.tmp
- %Temp%\art1912.tmp
- %Temp%\art1F2A.tmp
- %Temp%\art1A97.tmp
- %Temp%\artBCE6.tmp
- %Temp%\artD981.tmp
- %Temp%\artCDAE.tmp
- %Temp%\art7B49.tmp
- %Temp%\art1D29.tmp
- %Temp%\art8FE4.tmp
- %Temp%\artC904.tmp
- %Temp%\art545F.tmp
- %Temp%\art3514.tmp
- %Temp%\artBEDE.tmp
- %Temp%\artF652.tmp
- %Temp%\art9C4A.tmp
- %Temp%\artE8FB.tmp
- %Temp%\artD640.tmp
- %Temp%\art247A.tmp
- %Temp%\artF9E4.tmp
- %Temp%\artE40.tmp
- %Temp%\art958A.tmp
- %Temp%\artBF5E.tmp
- %Temp%\artC3AD.tmp
- %Temp%\artC95F.tmp
- %Temp%\artA643.tmp
- %Temp%\artB2D3.tmp
- %Temp%\art6EDF.tmp
- %Temp%\art9D0.tmp
- %Temp%\art3D24.tmp
- %Temp%\art2EAE.tmp
- %Temp%\artA82D.tmp
- %Temp%\art25EE.tmp
- %Temp%\art4451.tmp
- %Temp%\art4931.tmp
- %Temp%\art3BDD.tmp
- %Temp%\art6060.tmp
- %Temp%\art7984.tmp
- %Temp%\artD158.tmp
- %Temp%\artFC0C.tmp
- %Temp%\art9667.tmp
- %Temp%\art64B6.tmp
- %Temp%\artFE25.tmp
- %Temp%\art5DD4.tmp
- %Temp%\art1F8E.tmp
- %Temp%\artA9C3.tmp
- %Temp%\art4499.tmp
- %Temp%\artA4C2.tmp
- %Temp%\artE685.tmp
- %Temp%\art5513.tmp
- %Temp%\art65A9.tmp
- %Temp%\art4E1F.tmp
- %Temp%\art7FC.tmp
- %Temp%\art6154.tmp
- %Temp%\artCF3.tmp
- %Temp%\art3A6C.tmp
- %Temp%\artB793.tmp
- %Temp%\art4429.tmp
- %Temp%\art1802.tmp
- %Temp%\art33FF.tmp
- %Temp%\artAD70.tmp
- %Temp%\art94B3.tmp
- %Temp%\artB327.tmp
- %Temp%\artD0BD.tmp
- %Temp%\art5320.tmp
- %Temp%\art732E.tmp
- %Temp%\artDE8F.tmp
- %Temp%\art8082.tmp
- %Temp%\art9AC.tmp
- %Temp%\art1C30.tmp
- %Temp%\artB78F.tmp
- %Temp%\art1353.tmp
- %Temp%\artE1E4.tmp
- %Temp%\art5D53.tmp
- %Temp%\artFA2A.tmp
- %Temp%\art1C79.tmp
- %Temp%\art7F5E.tmp
- %Temp%\art1235.tmp
- %Temp%\art6A6F.tmp
- %Temp%\artDC41.tmp
- %Temp%\art36F2.tmp
- %Temp%\art6D8B.tmp
- %Temp%\artE028.tmp
- %Temp%\art6506.tmp
- %Temp%\artA3B9.tmp
- %Temp%\artFEA1.tmp
- %Temp%\artEB0.tmp
- %Temp%\art53FB.tmp
- %Temp%\artB6AD.tmp
- %Temp%\art2FD2.tmp
- %Temp%\art95B4.tmp
- %Temp%\art6A42.tmp
- %Temp%\art5235.tmp
- %Temp%\art3DFB.tmp
- %Temp%\artACFD.tmp
- %Temp%\art49D0.tmp
- %Temp%\art10FC.tmp
- %Temp%\art3729.tmp
- %Temp%\art9C67.tmp
- %Temp%\art3BD6.tmp
- %Temp%\art6D41.tmp
- %Temp%\artE994.tmp
- %Temp%\art2CED.tmp
- %Temp%\art85B8.tmp
- %Temp%\art2566.tmp
- %Temp%\art7FF7.tmp
- %Temp%\art48F6.tmp
- %Temp%\art4461.tmp
- %Temp%\art7B60.tmp
- %Temp%\artE751.tmp
- %Temp%\art9D29.tmp
- %Temp%\art2809.tmp
- %Temp%\artA4F8.tmp
- %Temp%\artC341.tmp
- %Temp%\art168A.tmp
- %Temp%\artEC36.tmp
- %Temp%\artF7C0.tmp
- %Temp%\art9DA1.tmp
- %Temp%\artED55.tmp
- %Temp%\art8E8D.tmp
- %Temp%\art754.tmp
- %Temp%\art228A.tmp
- %Temp%\artD24D.tmp
- %Temp%\artCB42.tmp
- %Temp%\art6D8A.tmp
- %Temp%\art9C58.tmp
- %Temp%\art7F89.tmp
- %Temp%\art2D6B.tmp
- %Temp%\artFB1E.tmp
- %Temp%\art8CDB.tmp
- %Temp%\artA786.tmp
- %Temp%\art7D11.tmp
- %Temp%\art2AD.tmp
- %Temp%\artCC44.tmp
- %Temp%\artBBE8.tmp
- %Temp%\artB17D.tmp
- %Temp%\art9851.tmp
- %Temp%\art2404.tmp
- %Temp%\artBC1A.tmp
- %Temp%\artD1E0.tmp
- %Temp%\artE0BC.tmp
- %Temp%\art7A0D.tmp
- %Temp%\art130E.tmp
- %Temp%\artAB2.tmp
- %Temp%\art449E.tmp
- %Temp%\art1C01.tmp
- %Temp%\artBE8E.tmp
- %Temp%\art68A2.tmp
- %Temp%\art7060.tmp
- %Temp%\artD057.tmp
- %Temp%\art1DBD.tmp
- %Temp%\art69D5.tmp
- %Temp%\art4D61.tmp
- %Temp%\art54D4.tmp
- %Temp%\art48C6.tmp
- %Temp%\artC0FC.tmp
- %Temp%\art1B03.tmp
- %Temp%\art88A3.tmp
- %Temp%\artB8FF.tmp
- %Temp%\art76C6.tmp
- %Temp%\artC75A.tmp
- %Temp%\artDFF.tmp
- %Temp%\art202E.tmp
- %Temp%\artC025.tmp
- %Temp%\artD1A1.tmp
- %Temp%\artDE1D.tmp
- %Temp%\art62C7.tmp
- %Temp%\art2270.tmp
- %Temp%\art193B.tmp
- %Temp%\art84C2.tmp
- %Temp%\artE66B.tmp
- %Temp%\art8F97.tmp
- %Temp%\art1D14.tmp
- %Temp%\art8F47.tmp
- %Temp%\artA548.tmp
- %Temp%\art51F7.tmp
- %Temp%\art5807.tmp
- %Temp%\art60AF.tmp
(註:%User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\<ユーザー名>\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\TEMP" です。. %User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>"、Windows NTでは、"C:\WINNT\Profiles\<ユーザ名>"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\<ユーザ名>" です。. %Temp%は、<Windows Temporary フォルダ>のことで、標準設定では "C:\WINNT\Temp" または "C:\Windows\Temp" です。)
このウイルス情報は、自動解析システムにより作成されました。
対応方法
手順 1
Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
- artm_newreg
手順 3
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\artm_newreg
- DllName = "%User Profile%\Settings\artm_new.dll"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\artm_newreg
- Startup = "artm_newreg"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\artm_newreg
- Impersonate = "1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\artm_newreg
- Asynchronous = "1"
手順 4
以下のファイルを検索し削除します。
- %User Temp%\art685E.tmp
- %User Profile%\Documents\t
- %Temp%\artF7DB.tmp
- %Temp%\art808B.tmp
- %Temp%\art5E82.tmp
- %Temp%\artE6DE.tmp
- %Temp%\artFC88.tmp
- %Temp%\art5D00.tmp
- %Temp%\artEA2C.tmp
- %Temp%\art1DD7.tmp
- %Temp%\art1912.tmp
- %Temp%\art1F2A.tmp
- %Temp%\art1A97.tmp
- %Temp%\artBCE6.tmp
- %Temp%\artD981.tmp
- %Temp%\artCDAE.tmp
- %Temp%\art7B49.tmp
- %Temp%\art1D29.tmp
- %Temp%\art8FE4.tmp
- %Temp%\artC904.tmp
- %Temp%\art545F.tmp
- %Temp%\art3514.tmp
- %Temp%\artBEDE.tmp
- %Temp%\artF652.tmp
- %Temp%\art9C4A.tmp
- %Temp%\artE8FB.tmp
- %Temp%\artD640.tmp
- %Temp%\art247A.tmp
- %Temp%\artF9E4.tmp
- %Temp%\artE40.tmp
- %Temp%\art958A.tmp
- %Temp%\artBF5E.tmp
- %Temp%\artC3AD.tmp
- %Temp%\artC95F.tmp
- %Temp%\artA643.tmp
- %Temp%\artB2D3.tmp
- %Temp%\art6EDF.tmp
- %Temp%\art9D0.tmp
- %Temp%\art3D24.tmp
- %Temp%\art2EAE.tmp
- %Temp%\artA82D.tmp
- %Temp%\art25EE.tmp
- %Temp%\art4451.tmp
- %Temp%\art4931.tmp
- %Temp%\art3BDD.tmp
- %Temp%\art6060.tmp
- %Temp%\art7984.tmp
- %Temp%\artD158.tmp
- %Temp%\artFC0C.tmp
- %Temp%\art9667.tmp
- %Temp%\art64B6.tmp
- %Temp%\artFE25.tmp
- %Temp%\art5DD4.tmp
- %Temp%\art1F8E.tmp
- %Temp%\artA9C3.tmp
- %Temp%\art4499.tmp
- %Temp%\artA4C2.tmp
- %Temp%\artE685.tmp
- %Temp%\art5513.tmp
- %Temp%\art65A9.tmp
- %Temp%\art4E1F.tmp
- %Temp%\art7FC.tmp
- %Temp%\art6154.tmp
- %Temp%\artCF3.tmp
- %Temp%\art3A6C.tmp
- %Temp%\artB793.tmp
- %Temp%\art4429.tmp
- %Temp%\art1802.tmp
- %Temp%\art33FF.tmp
- %Temp%\artAD70.tmp
- %Temp%\art94B3.tmp
- %Temp%\artB327.tmp
- %Temp%\artD0BD.tmp
- %Temp%\art5320.tmp
- %Temp%\art732E.tmp
- %Temp%\artDE8F.tmp
- %Temp%\art8082.tmp
- %Temp%\art9AC.tmp
- %Temp%\art1C30.tmp
- %Temp%\artB78F.tmp
- %Temp%\art1353.tmp
- %Temp%\artE1E4.tmp
- %Temp%\art5D53.tmp
- %Temp%\artFA2A.tmp
- %Temp%\art1C79.tmp
- %Temp%\art7F5E.tmp
- %Temp%\art1235.tmp
- %Temp%\art6A6F.tmp
- %Temp%\artDC41.tmp
- %Temp%\art36F2.tmp
- %Temp%\art6D8B.tmp
- %Temp%\artE028.tmp
- %Temp%\art6506.tmp
- %Temp%\artA3B9.tmp
- %Temp%\artFEA1.tmp
- %Temp%\artEB0.tmp
- %Temp%\art53FB.tmp
- %Temp%\artB6AD.tmp
- %Temp%\art2FD2.tmp
- %Temp%\art95B4.tmp
- %Temp%\art6A42.tmp
- %Temp%\art5235.tmp
- %Temp%\art3DFB.tmp
- %Temp%\artACFD.tmp
- %Temp%\art49D0.tmp
- %Temp%\art10FC.tmp
- %Temp%\art3729.tmp
- %Temp%\art9C67.tmp
- %Temp%\art3BD6.tmp
- %Temp%\art6D41.tmp
- %Temp%\artE994.tmp
- %Temp%\art2CED.tmp
- %Temp%\art85B8.tmp
- %Temp%\art2566.tmp
- %Temp%\art7FF7.tmp
- %Temp%\art48F6.tmp
- %Temp%\art4461.tmp
- %Temp%\art7B60.tmp
- %Temp%\artE751.tmp
- %Temp%\art9D29.tmp
- %Temp%\art2809.tmp
- %Temp%\artA4F8.tmp
- %Temp%\artC341.tmp
- %Temp%\art168A.tmp
- %Temp%\artEC36.tmp
- %Temp%\artF7C0.tmp
- %Temp%\art9DA1.tmp
- %Temp%\artED55.tmp
- %Temp%\art8E8D.tmp
- %Temp%\art754.tmp
- %Temp%\art228A.tmp
- %Temp%\artD24D.tmp
- %Temp%\artCB42.tmp
- %Temp%\art6D8A.tmp
- %Temp%\art9C58.tmp
- %Temp%\art7F89.tmp
- %Temp%\art2D6B.tmp
- %Temp%\artFB1E.tmp
- %Temp%\art8CDB.tmp
- %Temp%\artA786.tmp
- %Temp%\art7D11.tmp
- %Temp%\art2AD.tmp
- %Temp%\artCC44.tmp
- %Temp%\artBBE8.tmp
- %Temp%\artB17D.tmp
- %Temp%\art9851.tmp
- %Temp%\art2404.tmp
- %Temp%\artBC1A.tmp
- %Temp%\artD1E0.tmp
- %Temp%\artE0BC.tmp
- %Temp%\art7A0D.tmp
- %Temp%\art130E.tmp
- %Temp%\artAB2.tmp
- %Temp%\art449E.tmp
- %Temp%\art1C01.tmp
- %Temp%\artBE8E.tmp
- %Temp%\art68A2.tmp
- %Temp%\art7060.tmp
- %Temp%\artD057.tmp
- %Temp%\art1DBD.tmp
- %Temp%\art69D5.tmp
- %Temp%\art4D61.tmp
- %Temp%\art54D4.tmp
- %Temp%\art48C6.tmp
- %Temp%\artC0FC.tmp
- %Temp%\art1B03.tmp
- %Temp%\art88A3.tmp
- %Temp%\artB8FF.tmp
- %Temp%\art76C6.tmp
- %Temp%\artC75A.tmp
- %Temp%\artDFF.tmp
- %Temp%\art202E.tmp
- %Temp%\artC025.tmp
- %Temp%\artD1A1.tmp
- %Temp%\artDE1D.tmp
- %Temp%\art62C7.tmp
- %Temp%\art2270.tmp
- %Temp%\art193B.tmp
- %Temp%\art84C2.tmp
- %Temp%\artE66B.tmp
- %Temp%\art8F97.tmp
- %Temp%\art1D14.tmp
- %Temp%\art8F47.tmp
- %Temp%\artA548.tmp
- %Temp%\art51F7.tmp
- %Temp%\art5807.tmp
- %Temp%\art60AF.tmp
手順 5
以下のフォルダを検索し削除します。
- %User Profile%\Documents\Settings
手順 6
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TROJ_DLOADER.BHL」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 7
以下のファイルをバックアップを用いて修復します。なお、マイクロソフト製品に関連したファイルのみ修復されます。このマルウェア/グレイウェア/スパイウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。
- %User Profile%\Settings\artm_new.dll~
ご利用はいかがでしたか? アンケートにご協力ください