Trojan.Win32.DOWNLOADER.NLJ
Trojan:Win32/Offloader.AMAF!MTB (MICROSOFT)
Windows
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のフォルダを追加します。
- %Temporary Internet Files%\Content.IE5\[Random Characters}
- %User Temp%\{Random Characters}{Random Hex}.tmp
- %User Temp%\is-{Random Characters}.tmp
(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)
マルウェアは、以下のファイルを作成します。
- %Favorites%\Links\Suggested Sites.url
- %Favorites%\Links\Suggested Sites.url:favicon
- %System Root%\vcredist_x64.exe
- %Temporary Internet Files%\Content.IE5\[Random Characters}\6c-7627b9[1]
- %Temporary Internet Files%\Content.IE5\[Random Characters}\{GUID}[1].png
- %Temporary Internet Files%\Content.IE5\[Random Characters}\article-support-bridge[1].css
- %Temporary Internet Files%\Content.IE5\[Random Characters}\articleCss-overwrite[1].css
- %Temporary Internet Files%\Content.IE5\[Random Characters}\authorize[1].htm
- %Temporary Internet Files%\Content.IE5\[Random Characters}\authorize[1].txt
- %Temporary Internet Files%\Content.IE5\[Random Characters}\bootstrap.min[1].css
- %Temporary Internet Files%\Content.IE5\[Random Characters}\css[1].css
- %Temporary Internet Files%\Content.IE5\[Random Characters}\feedback[1].css
- %Temporary Internet Files%\Content.IE5\[Random Characters}\FetchSessions_Core_{Random Characters}[1].js
- %Temporary Internet Files%\Content.IE5\[Random Characters}\glyphs[1].css
- %Temporary Internet Files%\Content.IE5\[Random Characters}\jquery.min[1].js
- %Temporary Internet Files%\Content.IE5\[Random Characters}\Mail-GrayScale[1].png
- %Temporary Internet Files%\Content.IE5\[Random Characters}\Me[1].htm
- %Temporary Internet Files%\Content.IE5\[Random Characters}\ms.analytics-web-4.0.2.min[1].js
- %Temporary Internet Files%\Content.IE5\[Random Characters}\search-box[1].css
- %Temporary Internet Files%\Content.IE5\[Random Characters}\SearchBox.Main.min[1].js
- %Temporary Internet Files%\Content.IE5\[Random Characters}\shimmerExperiment.Main.min[1].js
- %Temporary Internet Files%\Content.IE5\[Random Characters}\SilentSignInManager.Main.min[1].js
- %Temporary Internet Files%\Content.IE5\[Random Characters}\Support.Main.min[1].js
- %Temporary Internet Files%\Content.IE5\[Random Characters}\teaching-callout[1].css
- %Temporary Internet Files%\Content.IE5\[Random Characters}\TelemetryLogging[1].js
- %Temporary Internet Files%\Content.IE5\[Random Characters}\thank_you[1].htm
- %Temporary Internet Files%\Content.IE5\[Random Characters}\thank_you[1].php
- %Temporary Internet Files%\Content.IE5\[Random Characters}\ucsCreativeService[1].js
- %Temporary Internet Files%\Content.IE5\{Random Characters}\Article.Main.min[1].js
- %Temporary Internet Files%\Content.IE5\{Random Characters}\article[1].css
- %Temporary Internet Files%\Content.IE5\{Random Characters}\{GUID}[1].png
- %Temporary Internet Files%\Content.IE5\{Random Characters}\Facebook-GrayScale[1].png
- %Temporary Internet Files%\Content.IE5\{Random Characters}\favicon[1].ico
- %Temporary Internet Files%\Content.IE5\{Random Characters}\internet-explorer-help-{GUID}[1].htm
- %Temporary Internet Files%\Content.IE5\{Random Characters}\internet-explorer-help-{GUID}[1].txt
- %Temporary Internet Files%\Content.IE5\{Random Characters}\MeControlCallout.Main.min[1].js
- %Temporary Internet Files%\Content.IE5\{Random Characters}\meversion[1]
- %Temporary Internet Files%\Content.IE5\{Random Characters}\promotion-banner[1].css
- %Temporary Internet Files%\Content.IE5\{Random Characters}\PromotionBanner.Main.min[1].js
- %Temporary Internet Files%\Content.IE5\{Random Characters}\RE1Mu3b[1].png
- %Temporary Internet Files%\Content.IE5\{Random Characters}\site-fonts[1].css
- %Temporary Internet Files%\Content.IE5\{Random Characters}\44-c33a61[1].txt
- %Temporary Internet Files%\Content.IE5\{Random Characters}\favicon[1].ico
- %Temporary Internet Files%\Content.IE5\{Random Characters}\favicon[2].ico
- %Temporary Internet Files%\Content.IE5\{Random Characters}\feedback[1].js
- %Temporary Internet Files%\Content.IE5\{Random Characters}\Linkedin-GrayScale[1].png
- %Temporary Internet Files%\Content.IE5\{Random Characters}\mwfmdl2-v3.54[1].eot
- %Temporary Internet Files%\Content.IE5\{Random Characters}\officeShared[1].css
- %Temporary Internet Files%\Content.IE5\{Random Characters}\sticky-feedback[1].css
- %Temporary Internet Files%\Content.IE5\{Random Characters}\wcp-consent[1].js
- %User Temp%\{Random Characters}{Random Hex}.tmp\inetc.dll
- %User Temp%\{Random Characters}{Random Hex}.tmp\s
- %User Temp%\{Random Characters}{Random Hex}.tmp\setup_0.exe
- %User Temp%\{Random Characters}{Random Hex}.tmp\setup_1.exe
- %User Temp%\{Random Characters}{Random Hex}.tmp\setup_2.exe
- %User Temp%\{Random Characters}{Random Hex}.tmp\setup_3.exe
- %User Temp%\{Random Characters}{Random Hex}.tmp\setup_4.exe
- %User Temp%\{Random Characters}{Random Hex}.tmp\setup_5.exe
- %User Temp%\{Random Characters}{Random Hex}.tmp\status.log
- %User Temp%\{Random Characters}{Random Hex}.tmp\status.log
- %User Temp%\{Random Characters}{Random Hex}.tmp\status.log
- %User Temp%\{Random Characters}{Random Hex}.tmp\status.log
- %User Temp%\{Random Characters}{Random Hex}.tmp\status.log
- %User Temp%\{Random Characters}{Random Hex}.tmp\status.log
- %User Temp%\~{Random Hex}.TMP
- %User Temp%\is-{Random Characters}.tmp\is-{Random Characters}.tmp
- %User Temp%\is-{Random Characters}.tmp\{Malware File Name}.tmp
- %User Temp%\www{Random Hex}.tmp
- %User Temp%\www{Random Hex}.tmp:favicon
- %Windows%\is-{Random Characters}.tmp
- %Windows%\unins000.dat
- %User Temp%\www{Random Hex}.tmp
(註:%Favorites%フォルダは、現在ログオンしているユーザのお気に入りフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Favorites" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\Favorites" です。. %System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)
マルウェアは、以下のプロセスを追加します。
- "%User Temp%\is-{Random Characters}.tmp\{Malware Name}.tmp" /SL5="$2A01BC,832512,832512,{Malware Path}\{Malware File Name}"
- "%User Temp%\is-{Random Characters}.tmp\setup.exe"
(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)
他のシステム変更
マルウェアは、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Crysis 2 Remastered Trainer.exe_is1
Inno Setup: Setup Version = 6.2.2
DisplayName = Crysis 2 Remastered Trainer.exe version 1.15.1
DisplayVersion = 1.15.1
EstimatedSize = 3124
HelpLink = https://www.win-rar.com
Inno Setup: App Path = {Empty}
Inno Setup: Icon Group = (Default)
Inno Setup: Language = default
Inno Setup: User = {Username}
InstallDate = 20240126
MajorVersion = 1
MinorVersion = 15
NoModify = 1
NoRepair = 1
Publisher = Winrar
QuietUninstallString = "%Windows%\unins000.exe" /SILENT
UninstallString = "%Windows%\unins000.exe"
URLInfoAbout = https://www.win-rar.com
URLUpdateInfo = https://www.win-rar.com
VersionMajor = 1
VersionMinor = 15
その他
マルウェアは、以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Crysis 2 Remastered Trainer.exe_is1
マルウェアは、以下の不正なWebサイトにアクセスします。
- https://{BLOCKED}eat.site/tracker/thank_you.php?trk=2529
- https://{BLOCKED}eat.site/favicon.ico
マルウェアは、以下のWebサイトにアクセスして不正なファイルをダウンロードします。
- http://{BLOCKED}tion.website/lam.php?pe=n&p=3851&t=48335474&title=Q3J5c2lzIDIgUmVtYXN0ZXJlZCBUcmFpbmVyLmV4ZQ==&sub=&ps=65a435e14f375
- http://{BLOCKED}tion.website/lamp.php
- http://{BLOCKED}bies.xyz/pe/build.php?pe=n&sub=&source=3851&s1=48335474&title=Q3J5c2lzIDIgUmVtYXN0ZXJlZCBUcmFpbmVyLmV4ZQ%3D%3D&ti=1706259607
- https://{BLOCKED}orce.site/ploss.php?a=3851&cc=PH&t=1706259591
- http://{BLOCKED}orce.site/plo.php?spot=6&a=2529&on=319&o=1638
- http://{BLOCKED}orce.site/plo.php?spot=4&a=2529&on=416&o=1658
- http://{BLOCKED}orce.site/plo.php?spot=1&a=2529&on=420&o=1662
- http://{BLOCKED}orce.site/plo.php?spot=3&a=2529&on=425&o=1665
- http://{BLOCKED}orce.site/plo.php?spot=5&a=2529&on=430&o=1667
- http://{BLOCKED}orce.site/plo.php?spot=2&a=2529&on=437&o=1671
- http://{BLOCKED}orce.site/plopp.php?fz=&d=nsis&msg=&r=offer_execution_fail&rk=no&o=1638&a=2529&dn=319&spot=6&t=1706259591
- http://{BLOCKED}orce.site/plopp.php?fz=&d=nsis&msg=&r=offer_execution_fail&rk=no&o=1658&a=2529&dn=416&spot=4&t=1706259591
- http://{BLOCKED}orce.site/plopp.php?fz=&d=nsis&msg=&r=offer_execution_fail&rk=no&o=1662&a=2529&dn=420&spot=1&t=1706259591
- http://{BLOCKED}orce.site/plopp.php?fz=&d=nsis&msg=&r=offer_execution_fail&rk=no&o=1665&a=2529&dn=425&spot=3&t=1706259591
- http://{BLOCKED}orce.site/plopp.php?fz=&d=nsis&msg=&r=offer_execution_fail&rk=no&o=1667&a=2529&dn=430&spot=5&t=1706259591
- http://{BLOCKED}orce.site/plopp.php?fz=&d=nsis&msg=&r=offer_execution_fail&rk=no&o=1671&a=2529&dn=437&spot=2&t=1706259591
対応方法
手順 1
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Crysis 2 Remastered Trainer.exe_is1
- Inno Setup: Setup Version = 6.2.2
- DisplayName = Crysis 2 Remastered Trainer.exe version 1.15.1
- DisplayVersion = 1.15.1
- EstimatedSize = 3124
- HelpLink = https://www.win-rar.com
- Inno Setup: App Path = {Empty}
- Inno Setup: Icon Group = (Default)
- Inno Setup: Language = default
- Inno Setup: User = {Username}
- InstallDate = 20240126
- MajorVersion = 1
- MinorVersion = 15
- NoModify = 1
- NoRepair = 1
- Publisher = Winrar
- QuietUninstallString = "%Windows%\unins000.exe" /SILENT
- UninstallString = "%Windows%\unins000.exe"
- URLInfoAbout = https://www.win-rar.com
- URLUpdateInfo = https://www.win-rar.com
- VersionMajor = 1
- VersionMinor = 15
- Inno Setup: Setup Version = 6.2.2
手順 4
このレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
- Crysis 2 Remastered Trainer.exe_is1
- Crysis 2 Remastered Trainer.exe_is1
手順 5
以下のファイルを検索し削除します。
- %Favorites%\Links\Suggested Sites.url
- %Favorites%\Links\Suggested Sites.url:favicon
- %System Root%\vcredist_x64.exe
- %Temporary Internet Files%\Content.IE5\[Random Characters}\6c-7627b9[1]
- %Temporary Internet Files%\Content.IE5\[Random Characters}\{GUID}[1].png
- %Temporary Internet Files%\Content.IE5\[Random Characters}\article-support-bridge[1].css
- %Temporary Internet Files%\Content.IE5\[Random Characters}\articleCss-overwrite[1].css
- %Temporary Internet Files%\Content.IE5\[Random Characters}\authorize[1].htm
- %Temporary Internet Files%\Content.IE5\[Random Characters}\authorize[1].txt
- %Temporary Internet Files%\Content.IE5\[Random Characters}\bootstrap.min[1].css
- %Temporary Internet Files%\Content.IE5\[Random Characters}\css[1].css
- %Temporary Internet Files%\Content.IE5\[Random Characters}\feedback[1].css
- %Temporary Internet Files%\Content.IE5\[Random Characters}\FetchSessions_Core_{Random Characters}[1].js
- %Temporary Internet Files%\Content.IE5\[Random Characters}\glyphs[1].css
- %Temporary Internet Files%\Content.IE5\[Random Characters}\jquery.min[1].js
- %Temporary Internet Files%\Content.IE5\[Random Characters}\Mail-GrayScale[1].png
- %Temporary Internet Files%\Content.IE5\[Random Characters}\Me[1].htm
- %Temporary Internet Files%\Content.IE5\[Random Characters}\ms.analytics-web-4.0.2.min[1].js
- %Temporary Internet Files%\Content.IE5\[Random Characters}\search-box[1].css
- %Temporary Internet Files%\Content.IE5\[Random Characters}\SearchBox.Main.min[1].js
- %Temporary Internet Files%\Content.IE5\[Random Characters}\shimmerExperiment.Main.min[1].js
- %Temporary Internet Files%\Content.IE5\[Random Characters}\SilentSignInManager.Main.min[1].js
- %Temporary Internet Files%\Content.IE5\[Random Characters}\Support.Main.min[1].js
- %Temporary Internet Files%\Content.IE5\[Random Characters}\teaching-callout[1].css
- %Temporary Internet Files%\Content.IE5\[Random Characters}\TelemetryLogging[1].js
- %Temporary Internet Files%\Content.IE5\[Random Characters}\thank_you[1].htm
- %Temporary Internet Files%\Content.IE5\[Random Characters}\thank_you[1].php
- %Temporary Internet Files%\Content.IE5\[Random Characters}\ucsCreativeService[1].js
- %Temporary Internet Files%\Content.IE5\{Random Characters}\Article.Main.min[1].js
- %Temporary Internet Files%\Content.IE5\{Random Characters}\article[1].css
- %Temporary Internet Files%\Content.IE5\{Random Characters}\{GUID}[1].png
- %Temporary Internet Files%\Content.IE5\{Random Characters}\Facebook-GrayScale[1].png
- %Temporary Internet Files%\Content.IE5\{Random Characters}\favicon[1].ico
- %Temporary Internet Files%\Content.IE5\{Random Characters}\internet-explorer-help-{GUID}[1].htm
- %Temporary Internet Files%\Content.IE5\{Random Characters}\internet-explorer-help-{GUID}[1].txt
- %Temporary Internet Files%\Content.IE5\{Random Characters}\MeControlCallout.Main.min[1].js
- %Temporary Internet Files%\Content.IE5\{Random Characters}\meversion[1]
- %Temporary Internet Files%\Content.IE5\{Random Characters}\promotion-banner[1].css
- %Temporary Internet Files%\Content.IE5\{Random Characters}\PromotionBanner.Main.min[1].js
- %Temporary Internet Files%\Content.IE5\{Random Characters}\RE1Mu3b[1].png
- %Temporary Internet Files%\Content.IE5\{Random Characters}\site-fonts[1].css
- %Temporary Internet Files%\Content.IE5\{Random Characters}\44-c33a61[1].txt
- %Temporary Internet Files%\Content.IE5\{Random Characters}\favicon[1].ico
- %Temporary Internet Files%\Content.IE5\{Random Characters}\favicon[2].ico
- %Temporary Internet Files%\Content.IE5\{Random Characters}\feedback[1].js
- %Temporary Internet Files%\Content.IE5\{Random Characters}\Linkedin-GrayScale[1].png
- %Temporary Internet Files%\Content.IE5\{Random Characters}\mwfmdl2-v3.54[1].eot
- %Temporary Internet Files%\Content.IE5\{Random Characters}\officeShared[1].css
- %Temporary Internet Files%\Content.IE5\{Random Characters}\sticky-feedback[1].css
- %Temporary Internet Files%\Content.IE5\{Random Characters}\wcp-consent[1].js
- %User Temp%\{Random Characters}{Random Hex}.tmp\inetc.dll
- %User Temp%\{Random Characters}{Random Hex}.tmp\s
- %User Temp%\{Random Characters}{Random Hex}.tmp\setup_0.exe
- %User Temp%\{Random Characters}{Random Hex}.tmp\setup_1.exe
- %User Temp%\{Random Characters}{Random Hex}.tmp\setup_2.exe
- %User Temp%\{Random Characters}{Random Hex}.tmp\setup_3.exe
- %User Temp%\{Random Characters}{Random Hex}.tmp\setup_4.exe
- %User Temp%\{Random Characters}{Random Hex}.tmp\setup_5.exe
- %User Temp%\{Random Characters}{Random Hex}.tmp\status.log
- %User Temp%\{Random Characters}{Random Hex}.tmp\status.log
- %User Temp%\{Random Characters}{Random Hex}.tmp\status.log
- %User Temp%\{Random Characters}{Random Hex}.tmp\status.log
- %User Temp%\{Random Characters}{Random Hex}.tmp\status.log
- %User Temp%\{Random Characters}{Random Hex}.tmp\status.log
- %User Temp%\~{Random Hex}.TMP
- %User Temp%\is-{Random Characters}.tmp\is-{Random Characters}.tmp
- %User Temp%\is-{Random Characters}.tmp\{Malware File Name}.tmp
- %User Temp%\www{Random Hex}.tmp
- %User Temp%\www{Random Hex}.tmp:favicon
- %Windows%\is-{Random Characters}.tmp
- %Windows%\unins000.dat
- %User Temp%\www{Random Hex}.tmp
手順 6
以下のフォルダを検索し削除します。
- %Temporary Internet Files%\Content.IE5\[Random Characters}
- %User Temp%\{Random Characters}{Random Hex}.tmp
- %User Temp%\is-{Random Characters}.tmp
手順 7
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Trojan.Win32.DOWNLOADER.NLJ」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください