TROJ_GORIADU.SMX
Windows 2000, Windows XP, Windows Server 2003
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
パラメータ「DNS {IP address 1},{IP address 2}」を用いて実行されたとき、マルウェアは、コンピュータによって利用されているDNSサーバを{IP address 1}および{IP address 2}に置換します。パラメータ「md5 -s {file name 1} -d {file name 2}」を用いて実行されたとき、マルウェアは、{file name 1}内にランダムなデータを加え、{file name 2}として保存します。
マルウェアは、「TROJ_FKEPLAYR.CH」が特定のパラメータを用いることによって実行され、ファイル "ipseccmd.exe" および "setup{numbers}.exe" を作成します。
パラメータ内のファイル "s0001.xml" および "dsop7.xml" マルウェアは、暗号化されたファイルです。これらのファイルは、「TROJ_FKEPLAYR.CH」によって作成されたマルウェアのパッケージに含まれています。
「TROJ_FKEPLAYR.CH」は、感染コンピュータとある特定のIPアドレス間の通信をブロックするために、特定のパラメータを用いて、ファイル "ipseccmd.exe" を実行します。このファイルは、IPセキュリティポリシーを設定するために用いられる正規のマイクロソフトファイルです。
「TROJ_FKEPLAYR.CH」は、メインとなるマルウェアのコンポーネントをインストールするために、パラメータ「"/VERYSILENT /NORESTART"」を用いて、ファイル "setup{numbers}.exe" を実行します。このファイルは、「TROJ_GORIADU.DRP」として検出されます。
マルウェアは、他のマルウェアに作成され、コンピュータに侵入します。
マルウェアは、作成されたファイルを実行します。
詳細
侵入方法
マルウェアは、以下のマルウェアに作成され、コンピュータに侵入します。
- TROJ_FKEPLAYR.CH
作成活動
マルウェアは、作成されたファイルを実行します。
その他
パラメータ「DNS {IP address 1},{IP address 2}」を用いて実行されたとき、マルウェアは、コンピュータによって利用されているDNSサーバを{IP address 1}および{IP address 2}に置換します。パラメータ「md5 -s {file name 1} -d {file name 2}」を用いて実行されたとき、マルウェアは、{file name 1}内にランダムなデータを加え、{file name 2}として保存します。
マルウェアは、「TROJ_FKEPLAYR.CH」が以下のパラメータを用いることによって実行され、ファイル "ipseccmd.exe" および "setup{numbers}.exe" を作成します。
- msfsg.exe uncompress -s s0001.xml -d ipseccmd.exe
- msfsg.exe md5 -s ipseccmd.exe -d ipseccmd.exe -l 10000000
- msfsg.exe uncompress -s dsop7.xml -d setup756432.exe
パラメータ内のファイル "s0001.xml" および "dsop7.xml" は、暗号化されたファイルです。これらのファイルは、「TROJ_FKEPLAYR.CH」によって作成されたマルウェアのパッケージに含まれています。
「TROJ_FKEPLAYR.CH」は、、感染コンピュータとある特定のIPアドレス間の通信をブロックするために、以下のパラメータを用いて、ファイル "ipseccmd.exe" を実行します。このファイルは、IPセキュリティポリシーを設定するために用いられる正規のマイクロソフトファイルです。
- sc start PolicyAgent
- ipseccmd -p Block1 -r BlockTCP -f 119.147.91.*+0 -n BLOCK -x
- ipseccmd -p Block2 -r BlockNEW -f 119.188.4.*+0 -n BLOCK -x
- ipseccmd -p Block3 -r BlockTWO -f 122.70.130.*+0 -n BLOCK -x
- ipseccmd -p Block4 -r BlockTHREE -f 124.238.243.*+0 -n BLOCK -x
- ipseccmd -p Block5 -r Block5 -f 124.238.244.*+0 -n BLOCK -x
- ipseccmd -p Block6 -r Block6 -f 125.39.100.*+0 -n BLOCK -x
- ipseccmd -p Block7 -r Block7 -f 125.39.102.*+0 -n BLOCK -x
- ipseccmd -p Block8 -r Block8 -f 220.181.126.*+0 -n BLOCK -x
- ipseccmd -p Block9 -r Block9 -f 221.194.142.*+0 -n BLOCK -x
- ipseccmd -p Block0 -r Block0 -f 118.145.31.*+0-n BLOCK -x
「TROJ_FKEPLAYR.CH」は、メインとなるマルウェアのコンポーネントをインストールするために、パラメータ「"/VERYSILENT /NORESTART"」を用いて、ファイル "setup{numbers}.exe" を実行します。このファイルは、「TROJ_GORIADU.DRP」として検出されます。
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
この「TROJ_GORIADU.SMX」が作成、あるいは、ダウンロードした以下のファイルを検索し、検索した場合は削除してください。
手順 3
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TROJ_GORIADU.SMX」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください