Trend Micro Security

TROJ_DLOADER.QTO

2010年10月28日
 解析者:   
 プラットフォーム:

Windows 98, ME, NT, 2000, XP, Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 システムへの影響:
 情報漏えい:


  • マルウェアタイプ:
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


マルウェアは、特定のWebサイトにアクセスします。これにより、不正リモートユーザにマルウェアのインストールが知らされます。また、不正なファイルがダウンロードされます。この結果、感染コンピュータは、さらなる他の脅威にさらされることとなります。 マルウェアは、Webサイトにアクセスし、ファイルをダウンロードします。これにより、感染コンピュータ上に他のマルウェアがダウンロードまたは作成されます。



  詳細

ファイルサイズ 222208 bytes
メモリ常駐 はい
発見日 2009年12月17日

インストール


マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

      • %System%\iexpres.exe

    (註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、""C:\Windows\System""、Windows NT および 2000 の場合、""C:\WinNT\System32""、Windows XP および Server 2003 の場合、""C:\Windows\System32"" です。)

    )



    自動実行方法


    マルウェアは、以下のファイルを作成します。

      • %Application Data%\lizkavd.exe
      • C:\DOCUMENTS AND SETTINGS\ALL USERS\START MENU\Programs\Startup\iexpres.exe

    (註:%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 ""C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"" 、 Windows NTの場合 ""C:\WINNT\Profiles\<ユーザ名>\Application Data""、Windows 98 および MEの場合、""C:\Windows\Profiles\<ユーザ名>\Application Data"" です。)

    )



    ダウンロード活動


    マルウェアは、以下の不正Webサイトにアクセスします。

      • {BLOCKED}
      • {BLOCKED}
      • {BLOCKED}
      • {BLOCKED}
      • {BLOCKED}
      • {BLOCKED}
      • {BLOCKED}
      • {BLOCKED}
      • {BLOCKED}
      • {BLOCKED}


    マルウェアは、Webサイトにアクセスし、以下のファイルをダウンロードします。

      • %Application Data%\seres.exe
      • %Application Data%\svcst.exe
      • C:\iexpres.exe

    (註:%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 ""C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"" 、 Windows NTの場合 ""C:\WINNT\Profiles\<ユーザ名>\Application Data""、Windows 98 および MEの場合、""C:\Windows\Profiles\<ユーザ名>\Application Data"" です。)

    )


      対応方法


    手順 1


    メモリ上で実行されているプロセスを終了します。

    [ 詳細 ]

    1. 検出ファイルが、Windows のタスクマネージャに表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
      セーフモードについては、こちらをご参照下さい。
    2. 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。

    DATA_GENERIC
  • 使用している Windows のバージョンに応じて、[タスクの終了]、または、[プロセスの終了]をクリックします。
  • マルウェアのプロセスが終了されているかを確認するには、タスクマネージャを再起動してください。
  • タスクマネージャを閉じてください。


    • 手順 2


    以下のファイルを検索し削除します。

    [ 詳細 ]
    コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
    • C:\DOCUMENTS AND SETTINGS\ALL USERS\START MENU\Programs\Startup\iexpres.exe
    • C:\iexpres.exe
    • %System%\iexpres.exe


    手順 3


    最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TROJ_DLOADER.QTO」と検出したファイルはすべて削除してください。 註=検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。ただし、念のため、隔離されたファイルを削除してください。詳しくは、こちらをご確認下さい。


    ご利用はいかがでしたか? アンケートにご協力ください