Trend Micro Security

TROJ_INJECT.XXTWR

2015年5月12日
 別名:

BackDoor-FCPD!1DD83943A0EE (McAfee); Mal/MSIL-NR (Sophos); Trojan.Win32.Generic!BT (Sunbelt); Trojan horse MSIL7.BHQV (AVG)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、実行後、自身を削除します。

  詳細

ファイルサイズ 304,163 bytes
タイプ EXE
メモリ常駐 はい
発見日 2015年5月12日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のフォルダを作成します。

  • %Application Data%\atezyq

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
atezyq = "%Application Data%\atezyq\atezyq.exe "

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main\FeatureControl

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main\FeatureControl\
FEATURE_BROWSER_EMULATION

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Main\FeatureControl\
FEATURE_BROWSER_EMULATION

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main\FeatureControl\
FEATURE_AJAX_CONNECTIONEVENTS

HKEY_LOCAL_MACHINE\SOFTWARE\83E77C41

HKEY_CURRENT_USER\Software\83E77C41

HKEY_LOCAL_MACHINE\SOFTWARE\8DA51132

HKEY_CURRENT_USER\Software\8DA51132

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Run

マルウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
Ratings
.Default = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main\FeatureControl\
FEATURE_BROWSER_EMULATION
svchost.exe = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main\FeatureControl\
FEATURE_BROWSER_EMULATION
explorer.exe = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Main\FeatureControl\
FEATURE_BROWSER_EMULATION
svchost.exe = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Main\FeatureControl\
FEATURE_BROWSER_EMULATION
explorer.exe = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main\FeatureControl\
FEATURE_AJAX_CONNECTIONEVENTS
svchost.exe = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\83E77C41
1 = "%Application Data%\atezyq\atezyq.exe"

HKEY_CURRENT_USER\Software\83E77C41
1 = "%Application Data%\atezyq\atezyq.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\83E77C41
2 = "860"

HKEY_CURRENT_USER\Software\83E77C41
2 = "860"

HKEY_LOCAL_MACHINE\SOFTWARE\83E77C41
3 = "F477FD26D850DDDF"

HKEY_CURRENT_USER\Software\83E77C41
3 = "F477FD26D850DDDF"

HKEY_LOCAL_MACHINE\SOFTWARE\83E77C41
4 = "1427975776"

HKEY_CURRENT_USER\Software\83E77C41
4 = "1427975776"

HKEY_LOCAL_MACHINE\SOFTWARE\83E77C41
7 = "8DA51132"

HKEY_CURRENT_USER\Software\83E77C41
7 = "8DA51132"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
Explorer\Run
atezyq = "%Application Data%\atezyq\atezyq.exe "

HKEY_LOCAL_MACHINE\SOFTWARE\83E77C41
5 = "{random characters}"

HKEY_CURRENT_USER\Software\83E77C41
5 = "{random characters}"

HKEY_LOCAL_MACHINE\SOFTWARE
B48709113F = "B48709113F"

マルウェアは、以下のレジストリ値を変更します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\3
1400 = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\3
1402 = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\3
1407 = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\3
1206 = "0"

(註:変更前の上記レジストリ値は、「3」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\3
1601 = "0"

(註:変更前の上記レジストリ値は、「1」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\3
2300 = "0"

(註:変更前の上記レジストリ値は、「1」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\3
1809 = "3"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\1
1400 = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\1
1402 = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\1
1407 = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\1
1206 = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\1
1601 = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\1
2300 = "0"

(註:変更前の上記レジストリ値は、「1」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\1
1809 = "3"

(註:変更前の上記レジストリ値は、「3」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows\Safer\
CodeIdentifiers
TransparentEnabled = "1"

(註:変更前の上記レジストリ値は、「1」となります。)

作成活動

マルウェアは、以下のファイルを作成します。

  • %Application Data%\atezyq\atezyq.exe

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.)

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

  • http://{BLOCKED}ni.ru
  • {BLOCKED}.67.23
  • {BLOCKED}6.44.221
  • {BLOCKED}8.227.110
  • {BLOCKED}.107.12
  • {BLOCKED}3.129.130
  • {BLOCKED}.182.99
  • {BLOCKED}82.212
  • {BLOCKED}0.89.37
  • {BLOCKED}.113.6
  • {BLOCKED}1.110.179
  • {BLOCKED}.1.100
  • {BLOCKED}51.51
  • {BLOCKED}.95.225
  • {BLOCKED}1.28.185
  • {BLOCKED}3.242.3
  • {BLOCKED}4.65.149
  • {BLOCKED}.148.84
  • {BLOCKED}230.137
  • {BLOCKED}1.43.253
  • {BLOCKED}.18.10
  • {BLOCKED}.189.238
  • {BLOCKED}8.107.240
  • {BLOCKED}91.86
  • {BLOCKED}.205.222
  • {BLOCKED}.145.80
  • {BLOCKED}3.38.51
  • {BLOCKED}1.191.191
  • {BLOCKED}.209.228
  • {BLOCKED}8.30.20
  • {BLOCKED}133.118
  • {BLOCKED}69.152
  • {BLOCKED}6.65.185
  • {BLOCKED}5.28.202
  • {BLOCKED}.19.161
  • {BLOCKED}7.93.9
  • {BLOCKED}.198.43
  • {BLOCKED}70.189
  • {BLOCKED}.25.28
  • {BLOCKED}.135.253
  • {BLOCKED}237.102
  • {BLOCKED}58.218
  • {BLOCKED}.75.197
  • {BLOCKED}.253.193
  • {BLOCKED}.194.160
  • {BLOCKED}160.142
  • {BLOCKED}162.66
  • {BLOCKED}.186.60
  • {BLOCKED}24.206
  • {BLOCKED}.165.106
  • {BLOCKED}8.31.147
  • {BLOCKED}.49.162
  • {BLOCKED}51.151
  • {BLOCKED}8.146.76
  • {BLOCKED}6.175.7
  • {BLOCKED}95.26
  • {BLOCKED}163.39
  • {BLOCKED}.160.76
  • {BLOCKED}0.229.8
  • {BLOCKED}.174.224
  • {BLOCKED}.230.168
  • {BLOCKED}6.254.112
  • {BLOCKED}.38.202
  • {BLOCKED}5.207.30
  • {BLOCKED}8.136.89
  • {BLOCKED}.231.22
  • {BLOCKED}254.91
  • {BLOCKED}2.128
  • {BLOCKED}.140.157
  • {BLOCKED}0.140.64
  • {BLOCKED}.124.251
  • {BLOCKED}.133.83
  • {BLOCKED}.254.179
  • {BLOCKED}.162.216
  • {BLOCKED}.200.195
  • {BLOCKED}7.225.33
  • {BLOCKED}.255.118
  • {BLOCKED}4.180.10
  • {BLOCKED}2.189.117
  • {BLOCKED}.50.65
  • {BLOCKED}.94.89
  • {BLOCKED}7.94.34
  • {BLOCKED}.181.92
  • {BLOCKED}.24.22
  • {BLOCKED}193.198
  • {BLOCKED}2.183.39
  • {BLOCKED}6.169.11

マルウェアは、実行後、自身を削除します。

このウイルス情報は、自動解析システムにより作成されました。

  対応方法

対応検索エンジン: 9.750

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 3

不明なレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
    • FeatureControl
  • In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl
    • FEATURE_BROWSER_EMULATION
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl
    • FEATURE_BROWSER_EMULATION
  • In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl
    • FEATURE_AJAX_CONNECTIONEVENTS
  • In HKEY_LOCAL_MACHINE\SOFTWARE
    • 83E77C41
  • In HKEY_CURRENT_USER\Software
    • 83E77C41
  • In HKEY_LOCAL_MACHINE\SOFTWARE
    • 8DA51132
  • In HKEY_CURRENT_USER\Software
    • 8DA51132
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
    • Run

手順 4

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • atezyq = "%Application Data%\atezyq\atezyq.exe "
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings
    • .Default = "1"
  • In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION
    • svchost.exe = "0"
  • In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION
    • explorer.exe = "0"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION
    • svchost.exe = "0"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION
    • explorer.exe = "0"
  • In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_AJAX_CONNECTIONEVENTS
    • svchost.exe = "1"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\83E77C41
    • 1 = "%Application Data%\atezyq\atezyq.exe"
  • In HKEY_CURRENT_USER\Software\83E77C41
    • 1 = "%Application Data%\atezyq\atezyq.exe"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\83E77C41
    • 2 = "860"
  • In HKEY_CURRENT_USER\Software\83E77C41
    • 2 = "860"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\83E77C41
    • 3 = "F477FD26D850DDDF"
  • In HKEY_CURRENT_USER\Software\83E77C41
    • 3 = "F477FD26D850DDDF"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\83E77C41
    • 4 = "1427975776"
  • In HKEY_CURRENT_USER\Software\83E77C41
    • 4 = "1427975776"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\83E77C41
    • 7 = "8DA51132"
  • In HKEY_CURRENT_USER\Software\83E77C41
    • 7 = "8DA51132"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
    • atezyq = "%Application Data%\atezyq\atezyq.exe "
  • In HKEY_LOCAL_MACHINE\SOFTWARE\83E77C41
    • 5 = "{random characters}"
  • In HKEY_CURRENT_USER\Software\83E77C41
    • 5 = "{random characters}"
  • In HKEY_LOCAL_MACHINE\SOFTWARE
    • B48709113F = "B48709113F"

手順 5

変更されたレジストリ値を修正します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
事前に意図的に対象の設定を変更していた場合は、意図するオリジナルの設定に戻してください。変更する値が分からない場合は、システム管理者にお尋ねいただき、レジストリの編集はお客様の責任として行なって頂くようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
    • 1400 = "0"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
    • 1402 = "0"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
    • 1407 = "0"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
    • From: 1206 = "0"
      To: 1206 = ""3""
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
    • From: 1601 = "0"
      To: 1601 = ""1""
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
    • From: 2300 = "0"
      To: 2300 = ""1""
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
    • 1809 = "3"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
    • 1400 = "0"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
    • 1402 = "0"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
    • 1407 = "0"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
    • 1206 = "0"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
    • 1601 = "0"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
    • From: 2300 = "0"
      To: 2300 = ""1""
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
    • From: 1809 = "3"
      To: 1809 = ""3""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
    • From: TransparentEnabled = "1"
      To: TransparentEnabled = ""1""

手順 6

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %Application Data%\atezyq\atezyq.exe

手順 7

以下のフォルダを検索し削除します。

[ 詳細 ]
註:このフォルダは、隠しフォルダとして設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %Application Data%\atezyq

手順 8

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TROJ_INJECT.XXTWR」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください