Trend Micro Security

TROJ_DLOADR.RFV

2014年4月16日
 解析者: Adrian Cofreros   
 別名:

Win32/TrojanDownloader.Small.PSD trojan(NOD32),Trojan.Win32.Generic.pak!cobra(Sunbelt)

 プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、ダウンロードしたファイルを実行します。

  詳細

ファイルサイズ 89,600 bytes
タイプ EXE
メモリ常駐 なし
発見日 2014年4月9日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ダウンロード活動

マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。

  • %User Temp%\mss{value}.exe
  • %Temporary Internet Files%\Content.IE5\{random}\{successful downloaded url file name}[1].txt - (example: %Temporary Internet Files%\Content.IE5\{random}\discreteness[1].txt)

(註:%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %Temporary Internet Files%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>\Local Settings\Temporary Internet Files"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local\Microsoft\Windows\Temporary Internet Files" です。)

マルウェアは、ダウンロードしたファイルを実行します。

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

  • http://{BLOCKED}chanics.com/spengler/beatle
  • http://{BLOCKED}astersandiego.com/impugning/felsitic
  • http://{BLOCKED}universe.ca/bided/discreteness
  • http://{BLOCKED}.{BLOCKED}.161.78/mishapping/fleeceable
  • http://www.{BLOCKED}s.net/dyslexia/horizonless
  • http://{BLOCKED}60.co.uk/mervin/number
  • http://{BLOCKED}ttoplay.co.uk/duffer/salutations
  • http://{BLOCKED}icekitchencabinets.ca/abettor/unfloured
  • http://{BLOCKED}.{BLOCKED}.41.251/goiters/wonderless
  • http://{BLOCKED}tcollection.com/adverb/songless
  • http://www.{BLOCKED}boutiquehotelsandvillas.com/qualm/onder
  • http://{BLOCKED}-flooring.org.uk/stern/just
  • http://{BLOCKED}enta.co/mores/wait
  • http://{BLOCKED}temas.com.ar/ennobles/moment
  • http://{BLOCKED}o.com/carped/loose
  • http://{BLOCKED}ytours.ca/precluding/enlarge
  • http://www.{BLOCKED}decontracts.co.uk/racked/pennis
  • http://{BLOCKED}ndcommercials.co.uk/transepts/your
  • http://{BLOCKED}hofeck.de/gerardo/biggest
  • http://{BLOCKED}a.com.tr/pennons/fan
  • http://ftp.{BLOCKED}es.org/cajoling/make
  • http://{BLOCKED}s.co.za/willing/hill
  • http://{BLOCKED}lineuk.co.uk/habit/day
  • http://{BLOCKED}uialadivinamisericordia.com/starless/free
  • http://{BLOCKED}hofeck.de/motors/media
  • http://{BLOCKED}o.com/cruelly/wayder

  対応方法

対応検索エンジン: 9.700
初回 VSAPI パターンバージョン 10.716.08
初回 VSAPI パターンリリース日 2014年4月9日
VSAPI OPR パターンバージョン 10.717.00
VSAPI OPR パターンリリース日 2014年4月10日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。  
  • %User Temp%\mss{value}.exe

手順 3

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TROJ_DLOADR.RFV」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

註:

ファイル%Temporary Internet Files%\Content.IE5\{random folder}\{successful downloaded url file name}[1].txtを削除する方法

  1. [スタート]をクリックします。[検索]をクリックします。
  2. [ファイルやフォルダ]をクリックし、以下の情報を入力します。

    ファイル名のすべてまたは一部:例 "[1].txt"
    以下のフォルダ内を確認します。
    • %Temporary Internet Files%
  3. 確認したら、そのファイルを選択し、[SHIFT] + [DELETE]キーを押します。


ご利用はいかがでしたか? アンケートにご協力ください