OBVOD
Obvod (Microsoft), TrojanClicker (Eset)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
「OBVOD」は、トロイの木馬型マルウェアのファミリで、クリック報酬型オンライン広告を利用した不正活動で知られています。実行されると、「OBVOD」の亜種は、特定のWebサイトに接続して、クリック報酬型オンライン広告を実施するために訪れるURLのリストを入手します。
さらに、特定のレジストリキーのレジストリ値で発見された情報を確認する亜種もあります。収集した情報から、拡張子「EXE」および「COM」といった拡張子を持つすべてのファイルを特定し、それらのファイル名を改名します。またマルウェアは、改名したファイルのオリジナルのファイルおよびフォルダ名を利用して、自身のコピーを作成します。
詳細
インストール
マルウェアは、以下のファイルを作成し実行します。
- %Windows%\Tasks\At1.job
- %Windows%\Tasks\At2.job
- %Windows%\Tasks\At3.job
- %Windows%\Tasks\At4.job
- %Windows%\Tasks\At5.job
- %Windows%\Tasks\At6.job
- %Windows%\Tasks\At7.job
- %Windows%\Tasks\At8.job
- %Windows%\Tasks\At9.job
- %Windows%\Tasks\At10.job
- %Windows%\Tasks\At11.job
- %Windows%\Tasks\At12.job
- %Windows%\Tasks\At13.job
- %Windows%\Tasks\At14.job
- %Windows%\Tasks\At15.job
- %Windows%\Tasks\At16.job
- %Windows%\Tasks\At17.job
- %Windows%\Tasks\At18.job
- %Windows%\Tasks\At19.job
- %Windows%\Tasks\At20.job
- %Windows%\Tasks\At21.job
- %Windows%\Tasks\At22.job
- %Windows%\Tasks\At23.job
- %Windows%\Tasks\At24.job
- %Windows%\Tasks\At25.job
- %Windows%\Tasks\At26.job
- %Windows%\Tasks\At27.job
- %Windows%\Tasks\At28.job
- %Windows%\Tasks\At29.job
- %Windows%\Tasks\At30.job
- %Windows%\Tasks\At31.job
- %Windows%\Tasks\At32.job
- %Windows%\Tasks\At33.job
- %Windows%\Tasks\At34.job
- %Windows%\Tasks\At35.job
- %Windows%\Tasks\At36.job
- %Windows%\Tasks\At37.job
- %Windows%\Tasks\At38.job
- %Windows%\Tasks\At39.job
- %Windows%\Tasks\At40.job
- %Windows%\Tasks\At41.job
- %Windows%\Tasks\At42.job
- %Windows%\Tasks\At43.job
- %Windows%\Tasks\At44.job
- %Windows%\Tasks\At45.job
- %Windows%\Tasks\At46.job
- %Windows%\Tasks\At47.job
- %Windows%\Tasks\At48.job
- %All Users Profile%\Application Data\5q2B8R.dat
- %All Users Profile%\Application Data\{random file name}.exe.b
- %All Users Profile%\Application Data\{random file name}.exe_.b
(註:%Windows%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、"C:\Windows" です。)
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %All Users Profile%\Application Data\{random file name}.exe
他のシステム変更
マルウェアは、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
DisableScriptDebuggerIE = "yes"
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
Error Dlg Displayed On Every Error = "no"
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
NoProtectedModeBanner = "1"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\InternetSettings
WarnOnZoneCrossing = "0"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\InternetSettings\
Zones\3
2500 = "3"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Direct3d
LA = "400"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Schedule
AtTaskMaxHours = "72"
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- {BLOCKED}3.{BLOCKED}d.in
- {BLOCKED}i.{BLOCKED}d.in
- {BLOCKED}p.{BLOCKED}d.in
- {BLOCKED}d.in
対応方法
トレンドマイクロのお客様:
最新のバージョン(パターンファイル および エンジン)を導入したセキュリティ対策製品を用い、ウイルス検索を実行してください。検出したファイルはすべて「削除」し、検出したウイルスはすべて「駆除」してください。削除対象となるファイルには、トロイの木馬型マルウェアやスクリプト系、上書き感染型ウイルス(overwriting virus)、ジョーク・プログラムなど「駆除」できないマルウェアがあげられ、これらのファイルを検出した場合は、すべて「削除」してください。
インターネットをご利用の皆様:
- トレンドマイクロの「オンラインスキャン」を使って、あなたの PC がウイルスに侵されていないかどうかを簡単にチェックすることが可能です。オンラインスキャンはあなたのコンピュータの中に不正なプログラムが存在するかどうかをチェックします。
- 今日、PCやネットワークをセキュリティ上の脅威から守り、安全なIT環境を維持するためには、セキュリティ製品を活用することが最も有効な方法となっています。トレンドマイクロは、一般の個人ユーザだけでなく、企業ユーザやインターネット・サービス・プロバイダ(ISP)向けに、ウイルス対策製品やコンテンツセキュリティ対策をご提供しています。トレンドマイクロの製品・サービスについては、こちらをご参照ください。
ご利用はいかがでしたか? アンケートにご協力ください