Trend Micro Security

TROJ_INJECT.ECD

2012年10月9日
 更新者 : rolandde

 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化: はい
  • 感染報告の有無: はい

  概要


このマルウェアは、他の不正なファイルを読み込んで起動する「ローダー」としての役割を果たします。マルウェアは、特定のコンポーネントを確認します。そして、マルウェアは、プロセスを追加し、そのプロセスに確認したコンポーネントを組み込みます。また、マルウェアは、特定のファイルを実行します。その結果、このファイルの不正活動が感染コンピュータ上で展開されることとなります。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、ワーム活動の機能を備えていません。

マルウェアは、バックドア活動の機能を備えていません。

マルウェアは、ダウンロードする機能を備えていません。

マルウェアは、情報収集する機能を備えていません。


  詳細

ファイルサイズ 37,704 bytes
タイプ EXE
メモリ常駐 なし
発見日 2010年5月29日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\
Active Setup\Installed Components\{CA054628-7954-5693-0102-N4GTE76NH543}
Locale = "en"

HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\
Active Setup\Installed Components\{CA054628-7954-5693-0103-N4GTE76NH543}
IsInstalled = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\
Active Setup\Installed Components\{CA054628-7954-5693-0102-N4GTE76NH543}
Version = "{malware version}"

HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\
Active Setup\Installed Components\{CA054628-7954-5693-0102-N4GTE76NH543}
StubPath = "{malware path and file name}"

HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\
Active Setup\Installed Components\{CA054628-7954-5693-0103-N4GTE76NH543}
StubPath = "{malware path and file name}"

HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\
Active Setup\Installed Components\{CA054628-7954-5693-0103-N4GTE76NH543}
Version = "{malware version}"

感染活動

マルウェアは、ワーム活動の機能を備えていません。

バックドア活動

マルウェアは、バックドア活動の機能を備えていません。

ダウンロード活動

マルウェアは、ダウンロードする機能を備えていません。

情報漏えい

マルウェアは、情報収集する機能を備えていません。

その他

マルウェアが自身の不正活動を実行するためには、以下のコンポーネントが必要になります。

  • %User Profile%\Microsoft\UsetSet\Hood\detoured.dll
  • %User Profile\Microsoft\Usetset\Hood\kbdmon.dll
  • %User Profile%\Application Data\Microsoft\Windows\thumbs\csrss.exe

(註:%User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>"、Windows NTでは、"C:\WINNT\Profiles\<ユーザ名>"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\<ユーザ名>" です。)

このマルウェアは、他の不正なファイルを読み込んで起動する「ローダー」としての役割を果たします。

マルウェアは、以下のコンポーネントを確認します。

  • %User Profile%\Microsoft\UsetSet\Hood\detoured.dll
  • %User Profile%\Microsoft\Usetset\Hood\kbdmon.dll

そして、マルウェアは、以下のいずれかのプロセスを追加し、そのプロセスに上述のコンポーネントを組み込みます。

  • alg.exe
  • spoolsv.exe
  • wuauclt.exe
  • mprexe.exe

また、マルウェアは、以下のファイルを実行します。

  • %User Profile%\Application Data\Microsoft\Windows\thumbs\csrss.exe

その結果、このファイルの不正活動が感染コンピュータ上で展開されることとなります。


  対応方法

対応検索エンジン: 9.200
初回 VSAPI パターンバージョン 7.204.14
初回 VSAPI パターンリリース日 2010年5月29日
VSAPI OPR パターンバージョン 7.205.00
VSAPI OPR パターンリリース日 2010年5月29日

手順 1

Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このレジストリキーを削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

 
  • In HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\Active Setup\Installed Components\
    • {CA054628-7954-5693-0102-N4GTE76NH543}

手順 3

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TROJ_INJECT.ECD」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください