Trojan.Win32.CONVAGENT.0NA103AQ24
Trojan.Win32.Diple (IKARUS)
Windows
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- %Favorites%\{Random Character}.url
- %User Temp%\Temp\{Random Character}.tmp
- %User Temp%\{Random Character}TMP\{Random Character}.tmp
- %Favorites%\淘宝购物\icon.ico
- %Favorites%\驴家旅游\icon.ico
- %Favorites%\淘宝购物\Desktop.ini
- %Favorites%\驴家旅游\Desktop.ini
- %User Temp%\{Random Character}.tmp → Deleted afterward
- %User Temp%\fbinst.dll → Deleted afterward
(註:%Favorites%フォルダは、現在ログオンしているユーザのお気に入りフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Favorites" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\Favorites" です。. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)
マルウェアは、以下のプロセスを追加します。
- %AppDataLocal%\{Random Character}TMP\Fav~Url.tmp -y -o"%Favorites%"
- %System%\cmd.exe /c %User Temp%\fbinst.dll "%System%\uqdOnce\SUPPORT.IM_" output IMG/* %~nx
- %System%\cmd.exe /c ping 127.0.0.1 -n 50® add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /d "http://www.{BLOCKED}0.com/?3" /f
- %System%\cmd.exe /c ping 127.0.0.1 -n 3&del /q "{Malware File Path}"
- reg add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /d "http://www..{BLOCKED}0.com/?3" /f
自動実行方法
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
ctfmon.exe = %System%\ctfmon.exe
他のシステム変更
マルウェアは、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\Apache
DependOnService = Tcpip, Afd
HKLM\SYSTEM\ControlSet001\
services\Apache
Description = Apache/2.2.19 (Win32) PHP/5.2.9-1
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\Apache
DisplayName = Apache
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\Apache
ErrorControl = 1
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\Apache
ImagePath = "%Windows%\Apache\bin\httpd.exe" -k runservice
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\Apache
ObjectName = LocalSystem
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\Apache
Start = 2
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\Apache
Type = 16
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\Apache\Parameters
ConfigArgs = -f, %Windows%\Apache\conf\httpd.conf, -d, %Windows%\Apache\.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\Apache\Security
Security = {Hex values}
その他
マルウェアは、以下のレジストリキーを追加します。
HKEY_CURRENT_USER\Software\360safe
HKEY_CURRENT_USER\Software\360safe\
360se
HKEY_CURRENT_USER\Software\360
HKEY_CURRENT_USER\Software\360\
360se3
HKEY_CURRENT_USER\Software\360\
360se5
HKEY_CURRENT_USER\Software\360\
360se5\default
HKEY_CURRENT_USER\Software\360\
360se5\default\LastUrls
HKEY_CURRENT_USER\Software\360\
360se5\default\option
HKEY_CURRENT_USER\Software\360chrome
HKEY_CURRENT_USER\Software\360chrome\
Homepage
HKEY_CURRENT_USER\Software\360chrome\
Homepage\Default
HKEY_CURRENT_USER\Software\360\
360se6
HKEY_CURRENT_USER\Software\360\
360se6\Chrome
HKEY_CURRENT_USER\Software\360\
360se5\default\Wnd
HKEY_CURRENT_USER\Software\360\
360se5\default\Search
HKEY_CURRENT_USER\Software\360\
360se5\default\main
HKEY_CURRENT_USER\Software\PPStream
HKEY_CURRENT_USER\Software\PPStream\
main
HKEY_CURRENT_USER\Software\Baidu
HKEY_CURRENT_USER\Software\Baidu\
BaiduBrowser
HKEY_CURRENT_USER\Software\Baidu\
BaiduBrowser\updateinfo
HKEY_LOCAL_MACHINE\SOFTWARE\360SD
HKEY_LOCAL_MACHINE\SOFTWARE\360Safe
HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\
Coop
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Synacast
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\Apache
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\Apache\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\Apache\Security
マルウェアは、以下を実行します。
- Deletes itself after execution.
対応方法
手順 1
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
このレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\360safe
- In HKEY_CURRENT_USER\Software\360safe\360se
- In HKEY_CURRENT_USER\Software\360
- In HKEY_CURRENT_USER\Software\360\360se3
- In HKEY_CURRENT_USER\Software\360\360se5
- In HKEY_CURRENT_USER\Software\360\360se5\default
- In HKEY_CURRENT_USER\Software\360\360se5\default\LastUrls
- In HKEY_CURRENT_USER\Software\360\360se5\default\option
- In HKEY_CURRENT_USER\Software\360chrome
- In HKEY_CURRENT_USER\Software\360chrome\Homepage
- In HKEY_CURRENT_USER\Software\360chrome\Homepage\Default
- In HKEY_CURRENT_USER\Software\360\360se6
- In HKEY_CURRENT_USER\Software\360\360se6\Chrome
- In HKEY_CURRENT_USER\Software\360\360se5\default\Wnd
- In HKEY_CURRENT_USER\Software\360\360se5\default\Search
- In HKEY_CURRENT_USER\Software\360\360se5\default\main
- In HKEY_CURRENT_USER\Software\PPStream
- In HKEY_CURRENT_USER\Software\PPStream\main
- In HKEY_CURRENT_USER\Software\Baidu
- In HKEY_CURRENT_USER\Software\Baidu\BaiduBrowser
- In HKEY_CURRENT_USER\Software\Baidu\BaiduBrowser\updateinfo
- In HKEY_LOCAL_MACHINE\SOFTWARE\360SD
- In HKEY_LOCAL_MACHINE\SOFTWARE\360Safe
- In HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\Coop
- In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Synacast
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Apache
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Apache\Parameters
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Apache\Security
手順 4
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Apache
- DependOnService = Tcpip, Afd
- DependOnService = Tcpip, Afd
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Apache
- Description = Apache/2.2.19 (Win32) PHP/5.2.9-1
- Description = Apache/2.2.19 (Win32) PHP/5.2.9-1
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Apache
- DisplayName = Apache
- DisplayName = Apache
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Apache
- ErrorControl = 1
- ErrorControl = 1
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Apache
- ImagePath = "%Windows%\Apache\bin\httpd.exe" -k runservice
- ImagePath = "%Windows%\Apache\bin\httpd.exe" -k runservice
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Apache
- ObjectName = LocalSystem
- ObjectName = LocalSystem
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Apache
- Start = 2
- Start = 2
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Apache
- Type = 16
- Type = 16
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Apache\Parameters
- ConfigArgs = -f, %Windows%\Apache\conf\httpd.conf, -d, %Windows%\Apache\.
- ConfigArgs = -f, %Windows%\Apache\conf\httpd.conf, -d, %Windows%\Apache\.
- In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Apache\Security
- Security = {Hex values}
- Security = {Hex values}
手順 5
以下のファイルを検索し削除します。
- %Favorites%\{Random Character}.url
- %User Temp%\Temp\{Random Character}.tmp
- %User Temp%\{Random Character}TMP\{Random Character}.tmp
- %Favorites%\淘宝购物\icon.ico
- %Favorites%\驴家旅游\icon.ico
- %Favorites%\淘宝购物\Desktop.ini
- %Favorites%\驴家旅游\Desktop.ini
- %User Temp%\aut35B3.tmp
- %User Temp%\fbinst.dll
手順 6
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Trojan.Win32.CONVAGENT.0NA103AQ24」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください