BKDR_IRCBOT.USRG
別名:
Trojan-PSW.Win32.Fareit.aoku (Kaspersky); Troj/Malit-BJ, Troj/AutoIt-AFX, Troj/Malit-BJ (Sophos); Backdoor.Win32.Ircbot.gen (v) (Sunbelt)
プラットフォーム:
Windows 2000, Windows XP, Windows Server 2003
危険度:
ダメージ度:
感染力:
感染確認数:
マルウェアタイプ:
バックドア型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
ファイルサイズ 1,479,366 bytes
タイプ EXE
メモリ常駐 なし
発見日 2014年5月8日
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のフォルダを作成します。
- %System Root%\DOCUME~1
- %System Root%\DOCUME~1\Wilbert
- %User Profile%\LOCALS~1
- %User Temp%\Adv94zk4K
- %Desktop%\System
(註:%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。. %User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>" です。. %User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %Desktop%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\デスクトップ"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\デスクトップ" です。)
他のシステム変更
マルウェアは、以下のレジストリキーを追加します。
HKEY_CURRENT_USER\Software\WinRAR SFX
マルウェアは、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\WinRAR SFX
C%%DOCUME~1%Wilbert%LOCALS~1%Temp%Adv94zk4K = "%User Temp%\Adv94zk4K"
作成活動
マルウェアは、以下のファイルを作成します。
- __tmp_rar_sfx_access_check_79593
- 6n80Bp7L.bat
- A8vPs90lf.vbs
- Ap2S305hO.bat
- axx.exe.1.part
- axx.exe.10.part
- axx.exe.100.part
- axx.exe.101.part
- axx.exe.102.part
- axx.exe.103.part
- axx.exe.104.part
- axx.exe.105.part
- axx.exe.106.part
- axx.exe.107.part
- axx.exe.108.part
- axx.exe.109.part
- axx.exe.11.part
- axx.exe.110.part
- axx.exe.111.part
- axx.exe.112.part
- axx.exe.113.part
- axx.exe.114.part
- axx.exe.115.part
- axx.exe.116.part
- axx.exe.117.part
- axx.exe.118.part
- axx.exe.119.part
- axx.exe.12.part
- axx.exe.120.part
- axx.exe.121.part
- axx.exe.122.part
- axx.exe.123.part
- axx.exe.124.part
- axx.exe.125.part
- axx.exe.126.part
- axx.exe.127.part
- axx.exe.128.part
- axx.exe.129.part
- axx.exe.13.part
- axx.exe.130.part
- axx.exe.131.part
- axx.exe.132.part
- axx.exe.133.part
- axx.exe.134.part
- axx.exe.135.part
- axx.exe.136.part
- axx.exe.137.part
- axx.exe.138.part
- axx.exe.139.part
- axx.exe.14.part
- axx.exe.140.part
- axx.exe.141.part
- axx.exe.142.part
- axx.exe.143.part
- axx.exe.144.part
- axx.exe.145.part
- axx.exe.146.part
- axx.exe.147.part
- axx.exe.148.part
- axx.exe.149.part
- axx.exe.15.part
- axx.exe.150.part
- axx.exe.151.part
- axx.exe.152.part
- axx.exe.153.part
- axx.exe.154.part
- axx.exe.155.part
- axx.exe.156.part
- axx.exe.157.part
- axx.exe.158.part
- axx.exe.159.part
- axx.exe.16.part
- axx.exe.160.part
- axx.exe.161.part
- axx.exe.162.part
- axx.exe.163.part
- axx.exe.164.part
- axx.exe.165.part
- axx.exe.166.part
- axx.exe.167.part
- axx.exe.168.part
- axx.exe.169.part
- axx.exe.17.part
- axx.exe.170.part
- axx.exe.171.part
- axx.exe.172.part
- axx.exe.173.part
- axx.exe.174.part
- axx.exe.175.part
- axx.exe.176.part
- axx.exe.177.part
- axx.exe.178.part
- axx.exe.179.part
- axx.exe.18.part
- axx.exe.180.part
- axx.exe.181.part
- axx.exe.182.part
- axx.exe.183.part
- axx.exe.184.part
- axx.exe.185.part
- axx.exe.186.part
- axx.exe.187.part
- axx.exe.188.part
- axx.exe.189.part
- axx.exe.19.part
- axx.exe.190.part
- axx.exe.191.part
- axx.exe.192.part
- axx.exe.193.part
- axx.exe.194.part
- axx.exe.195.part
- axx.exe.196.part
- axx.exe.197.part
- axx.exe.198.part
- axx.exe.199.part
- axx.exe.2.part
- axx.exe.20.part
- axx.exe.200.part
- axx.exe.201.part
- axx.exe.202.part
- axx.exe.203.part
- axx.exe.204.part
- axx.exe.205.part
- axx.exe.206.part
- axx.exe.207.part
- axx.exe.208.part
- axx.exe.209.part
- axx.exe.21.part
- axx.exe.210.part
- axx.exe.211.part
- axx.exe.212.part
- axx.exe.213.part
- axx.exe.214.part
- axx.exe.215.part
- axx.exe.216.part
- axx.exe.217.part
- axx.exe.218.part
- axx.exe.219.part
- axx.exe.22.part
- axx.exe.220.part
- axx.exe.221.part
- axx.exe.222.part
- axx.exe.223.part
- axx.exe.224.part
- axx.exe.225.part
- axx.exe.226.part
- axx.exe.227.part
- axx.exe.228.part
- axx.exe.229.part
- axx.exe.23.part
- axx.exe.230.part
- axx.exe.231.part
- axx.exe.232.part
- axx.exe.233.part
- axx.exe.234.part
- axx.exe.235.part
- axx.exe.236.part
- axx.exe.237.part
- axx.exe.238.part
- axx.exe.239.part
- axx.exe.24.part
- axx.exe.240.part
- axx.exe.241.part
- axx.exe.242.part
- axx.exe.243.part
- axx.exe.244.part
- axx.exe.245.part
- axx.exe.246.part
- axx.exe.247.part
- axx.exe.248.part
- axx.exe.249.part
- axx.exe.25.part
- axx.exe.250.part
- axx.exe.251.part
- axx.exe.252.part
- axx.exe.253.part
- axx.exe.254.part
- axx.exe.255.part
- axx.exe.256.part
- axx.exe.257.part
- axx.exe.258.part
- axx.exe.259.part
- axx.exe.26.part
- axx.exe.260.part
- axx.exe.261.part
- axx.exe.262.part
- axx.exe.263.part
- axx.exe.264.part
- axx.exe.265.part
- axx.exe.266.part
- axx.exe.267.part
- axx.exe.268.part
- axx.exe.269.part
- axx.exe.27.part
- axx.exe.270.part
- axx.exe.271.part
- axx.exe.272.part
- axx.exe.273.part
- axx.exe.274.part
- axx.exe.275.part
- axx.exe.276.part
- axx.exe.277.part
- axx.exe.278.part
- axx.exe.279.part
- axx.exe.28.part
- axx.exe.280.part
- axx.exe.281.part
- axx.exe.282.part
- axx.exe.283.part
- axx.exe.284.part
- axx.exe.285.part
- axx.exe.286.part
- axx.exe.287.part
- axx.exe.288.part
- axx.exe.289.part
- axx.exe.29.part
- axx.exe.290.part
- axx.exe.291.part
- axx.exe.292.part
- axx.exe.293.part
- axx.exe.294.part
- axx.exe.295.part
- axx.exe.296.part
- axx.exe.297.part
- axx.exe.298.part
- axx.exe.299.part
- axx.exe.3.part
- axx.exe.30.part
- axx.exe.300.part
- axx.exe.301.part
- axx.exe.302.part
- axx.exe.303.part
- axx.exe.304.part
- axx.exe.305.part
- axx.exe.306.part
- axx.exe.307.part
- axx.exe.308.part
- axx.exe.309.part
- axx.exe.31.part
- axx.exe.310.part
- axx.exe.311.part
- axx.exe.312.part
- axx.exe.313.part
- axx.exe.314.part
- axx.exe.315.part
- axx.exe.316.part
- axx.exe.317.part
- axx.exe.318.part
- axx.exe.319.part
- axx.exe.32.part
- axx.exe.320.part
- axx.exe.321.part
- axx.exe.322.part
- axx.exe.33.part
- axx.exe.34.part
- axx.exe.35.part
- axx.exe.36.part
- axx.exe.37.part
- axx.exe.38.part
- axx.exe.39.part
- axx.exe.4.part
- axx.exe.40.part
- axx.exe.41.part
- axx.exe.42.part
- axx.exe.43.part
- axx.exe.44.part
- axx.exe.45.part
- axx.exe.46.part
- axx.exe.47.part
- axx.exe.48.part
- axx.exe.49.part
- axx.exe.5.part
- axx.exe.50.part
- axx.exe.51.part
- axx.exe.52.part
- axx.exe.53.part
- axx.exe.54.part
- axx.exe.55.part
- axx.exe.56.part
- axx.exe.57.part
- axx.exe.58.part
- axx.exe.59.part
- axx.exe.6.part
- axx.exe.60.part
- axx.exe.61.part
- axx.exe.62.part
- axx.exe.63.part
- axx.exe.64.part
- axx.exe.65.part
- axx.exe.66.part
- axx.exe.67.part
- axx.exe.68.part
- axx.exe.69.part
- axx.exe.7.part
- axx.exe.70.part
- axx.exe.71.part
- axx.exe.72.part
- axx.exe.73.part
- axx.exe.74.part
- axx.exe.75.part
- axx.exe.76.part
- axx.exe.77.part
- axx.exe.78.part
- axx.exe.79.part
- axx.exe.8.part
- axx.exe.80.part
- axx.exe.81.part
- axx.exe.82.part
- axx.exe.83.part
- axx.exe.84.part
- axx.exe.85.part
- axx.exe.86.part
- axx.exe.87.part
- axx.exe.88.part
- axx.exe.89.part
- axx.exe.9.part
- axx.exe.90.part
- axx.exe.91.part
- axx.exe.92.part
- axx.exe.93.part
- axx.exe.94.part
- axx.exe.95.part
- axx.exe.96.part
- axx.exe.97.part
- axx.exe.98.part
- axx.exe.99.part
- %Desktop%\System\svchost.exe
(註:%Desktop%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\デスクトップ"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\デスクトップ" です。)
このウイルス情報は、自動解析システムにより作成されました。
対応方法
対応検索エンジン: 9.300
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
不明なレジストリ値を削除します。
[ 詳細 ]
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software
- WinRAR SFX
手順 3
このレジストリ値を削除します。
[ 詳細 ]
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\WinRAR SFX
- C%%DOCUME~1%Wilbert%LOCALS~1%Temp%Adv94zk4K = "%User Temp%\Adv94zk4K"
手順 4
以下のファイルを検索し削除します。
[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。 - __tmp_rar_sfx_access_check_79593
- 6n80Bp7L.bat
- A8vPs90lf.vbs
- Ap2S305hO.bat
- axx.exe.1.part
- axx.exe.10.part
- axx.exe.100.part
- axx.exe.101.part
- axx.exe.102.part
- axx.exe.103.part
- axx.exe.104.part
- axx.exe.105.part
- axx.exe.106.part
- axx.exe.107.part
- axx.exe.108.part
- axx.exe.109.part
- axx.exe.11.part
- axx.exe.110.part
- axx.exe.111.part
- axx.exe.112.part
- axx.exe.113.part
- axx.exe.114.part
- axx.exe.115.part
- axx.exe.116.part
- axx.exe.117.part
- axx.exe.118.part
- axx.exe.119.part
- axx.exe.12.part
- axx.exe.120.part
- axx.exe.121.part
- axx.exe.122.part
- axx.exe.123.part
- axx.exe.124.part
- axx.exe.125.part
- axx.exe.126.part
- axx.exe.127.part
- axx.exe.128.part
- axx.exe.129.part
- axx.exe.13.part
- axx.exe.130.part
- axx.exe.131.part
- axx.exe.132.part
- axx.exe.133.part
- axx.exe.134.part
- axx.exe.135.part
- axx.exe.136.part
- axx.exe.137.part
- axx.exe.138.part
- axx.exe.139.part
- axx.exe.14.part
- axx.exe.140.part
- axx.exe.141.part
- axx.exe.142.part
- axx.exe.143.part
- axx.exe.144.part
- axx.exe.145.part
- axx.exe.146.part
- axx.exe.147.part
- axx.exe.148.part
- axx.exe.149.part
- axx.exe.15.part
- axx.exe.150.part
- axx.exe.151.part
- axx.exe.152.part
- axx.exe.153.part
- axx.exe.154.part
- axx.exe.155.part
- axx.exe.156.part
- axx.exe.157.part
- axx.exe.158.part
- axx.exe.159.part
- axx.exe.16.part
- axx.exe.160.part
- axx.exe.161.part
- axx.exe.162.part
- axx.exe.163.part
- axx.exe.164.part
- axx.exe.165.part
- axx.exe.166.part
- axx.exe.167.part
- axx.exe.168.part
- axx.exe.169.part
- axx.exe.17.part
- axx.exe.170.part
- axx.exe.171.part
- axx.exe.172.part
- axx.exe.173.part
- axx.exe.174.part
- axx.exe.175.part
- axx.exe.176.part
- axx.exe.177.part
- axx.exe.178.part
- axx.exe.179.part
- axx.exe.18.part
- axx.exe.180.part
- axx.exe.181.part
- axx.exe.182.part
- axx.exe.183.part
- axx.exe.184.part
- axx.exe.185.part
- axx.exe.186.part
- axx.exe.187.part
- axx.exe.188.part
- axx.exe.189.part
- axx.exe.19.part
- axx.exe.190.part
- axx.exe.191.part
- axx.exe.192.part
- axx.exe.193.part
- axx.exe.194.part
- axx.exe.195.part
- axx.exe.196.part
- axx.exe.197.part
- axx.exe.198.part
- axx.exe.199.part
- axx.exe.2.part
- axx.exe.20.part
- axx.exe.200.part
- axx.exe.201.part
- axx.exe.202.part
- axx.exe.203.part
- axx.exe.204.part
- axx.exe.205.part
- axx.exe.206.part
- axx.exe.207.part
- axx.exe.208.part
- axx.exe.209.part
- axx.exe.21.part
- axx.exe.210.part
- axx.exe.211.part
- axx.exe.212.part
- axx.exe.213.part
- axx.exe.214.part
- axx.exe.215.part
- axx.exe.216.part
- axx.exe.217.part
- axx.exe.218.part
- axx.exe.219.part
- axx.exe.22.part
- axx.exe.220.part
- axx.exe.221.part
- axx.exe.222.part
- axx.exe.223.part
- axx.exe.224.part
- axx.exe.225.part
- axx.exe.226.part
- axx.exe.227.part
- axx.exe.228.part
- axx.exe.229.part
- axx.exe.23.part
- axx.exe.230.part
- axx.exe.231.part
- axx.exe.232.part
- axx.exe.233.part
- axx.exe.234.part
- axx.exe.235.part
- axx.exe.236.part
- axx.exe.237.part
- axx.exe.238.part
- axx.exe.239.part
- axx.exe.24.part
- axx.exe.240.part
- axx.exe.241.part
- axx.exe.242.part
- axx.exe.243.part
- axx.exe.244.part
- axx.exe.245.part
- axx.exe.246.part
- axx.exe.247.part
- axx.exe.248.part
- axx.exe.249.part
- axx.exe.25.part
- axx.exe.250.part
- axx.exe.251.part
- axx.exe.252.part
- axx.exe.253.part
- axx.exe.254.part
- axx.exe.255.part
- axx.exe.256.part
- axx.exe.257.part
- axx.exe.258.part
- axx.exe.259.part
- axx.exe.26.part
- axx.exe.260.part
- axx.exe.261.part
- axx.exe.262.part
- axx.exe.263.part
- axx.exe.264.part
- axx.exe.265.part
- axx.exe.266.part
- axx.exe.267.part
- axx.exe.268.part
- axx.exe.269.part
- axx.exe.27.part
- axx.exe.270.part
- axx.exe.271.part
- axx.exe.272.part
- axx.exe.273.part
- axx.exe.274.part
- axx.exe.275.part
- axx.exe.276.part
- axx.exe.277.part
- axx.exe.278.part
- axx.exe.279.part
- axx.exe.28.part
- axx.exe.280.part
- axx.exe.281.part
- axx.exe.282.part
- axx.exe.283.part
- axx.exe.284.part
- axx.exe.285.part
- axx.exe.286.part
- axx.exe.287.part
- axx.exe.288.part
- axx.exe.289.part
- axx.exe.29.part
- axx.exe.290.part
- axx.exe.291.part
- axx.exe.292.part
- axx.exe.293.part
- axx.exe.294.part
- axx.exe.295.part
- axx.exe.296.part
- axx.exe.297.part
- axx.exe.298.part
- axx.exe.299.part
- axx.exe.3.part
- axx.exe.30.part
- axx.exe.300.part
- axx.exe.301.part
- axx.exe.302.part
- axx.exe.303.part
- axx.exe.304.part
- axx.exe.305.part
- axx.exe.306.part
- axx.exe.307.part
- axx.exe.308.part
- axx.exe.309.part
- axx.exe.31.part
- axx.exe.310.part
- axx.exe.311.part
- axx.exe.312.part
- axx.exe.313.part
- axx.exe.314.part
- axx.exe.315.part
- axx.exe.316.part
- axx.exe.317.part
- axx.exe.318.part
- axx.exe.319.part
- axx.exe.32.part
- axx.exe.320.part
- axx.exe.321.part
- axx.exe.322.part
- axx.exe.33.part
- axx.exe.34.part
- axx.exe.35.part
- axx.exe.36.part
- axx.exe.37.part
- axx.exe.38.part
- axx.exe.39.part
- axx.exe.4.part
- axx.exe.40.part
- axx.exe.41.part
- axx.exe.42.part
- axx.exe.43.part
- axx.exe.44.part
- axx.exe.45.part
- axx.exe.46.part
- axx.exe.47.part
- axx.exe.48.part
- axx.exe.49.part
- axx.exe.5.part
- axx.exe.50.part
- axx.exe.51.part
- axx.exe.52.part
- axx.exe.53.part
- axx.exe.54.part
- axx.exe.55.part
- axx.exe.56.part
- axx.exe.57.part
- axx.exe.58.part
- axx.exe.59.part
- axx.exe.6.part
- axx.exe.60.part
- axx.exe.61.part
- axx.exe.62.part
- axx.exe.63.part
- axx.exe.64.part
- axx.exe.65.part
- axx.exe.66.part
- axx.exe.67.part
- axx.exe.68.part
- axx.exe.69.part
- axx.exe.7.part
- axx.exe.70.part
- axx.exe.71.part
- axx.exe.72.part
- axx.exe.73.part
- axx.exe.74.part
- axx.exe.75.part
- axx.exe.76.part
- axx.exe.77.part
- axx.exe.78.part
- axx.exe.79.part
- axx.exe.8.part
- axx.exe.80.part
- axx.exe.81.part
- axx.exe.82.part
- axx.exe.83.part
- axx.exe.84.part
- axx.exe.85.part
- axx.exe.86.part
- axx.exe.87.part
- axx.exe.88.part
- axx.exe.89.part
- axx.exe.9.part
- axx.exe.90.part
- axx.exe.91.part
- axx.exe.92.part
- axx.exe.93.part
- axx.exe.94.part
- axx.exe.95.part
- axx.exe.96.part
- axx.exe.97.part
- axx.exe.98.part
- axx.exe.99.part
- %Desktop%\System\svchost.exe
手順 5
以下のフォルダを検索し削除します。
[ 詳細 ]
フォルダが隠しフォルダ属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。 - %System Root%\DOCUME~1
- %System Root%\DOCUME~1\Wilbert
- %User Profile%\LOCALS~1
- %User Temp%\Adv94zk4K
- %Desktop%\System
手順 6
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「BKDR_IRCBOT.USRG」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください