プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 356,800 bytes
タイプ EXE
メモリ常駐 なし
発見日 2013年12月13日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のフォルダを作成します。

  • %System Root%\DOCUME~1
  • %System Root%\DOCUME~1\Wilbert
  • %User Profile%\LOCALS~1

(註:%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。. %User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>" です。)

他のシステム変更

マルウェアは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
DirectDraw\MostRecentApplication
Name = "iexplore.exe"

(註:変更前の上記レジストリ値は、「iexplore.exe」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
DirectDraw\MostRecentApplication
ID = "4117b81"

(註:変更前の上記レジストリ値は、「41107b81」となります。)

作成活動

マルウェアは、以下のファイルを作成します。

  • __tmp_rar_sfx_access_check_67125
  • FTE BUDGET 2013 Knowledge Service Center.xlsx
  • WindowsSearch.exe

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

  • http://www.{BLOCKED}o.org/cap2k/blog.asp?juit=3321137275
  • http://www.{BLOCKED}o.org/cap2k/logo.png
  • http://www.{BLOCKED}o.org/cap2k/rd.asp?{random characters}
  • http://www.{BLOCKED}o.org/cap2k/di.asp?id=bl.^
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?gzzu=3197218027
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?jbt=2144766213
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?pwp=2990880462
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?tyj=2001247239
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?tyjxcp=5045820397
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?wj=7231936203
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?ztgq=3794820677
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?ggcaqr=5660294299
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?ggc=8431850970
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?jqeo=3711590918
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?mtyttt=5526901177
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?p=6277270520
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?pdby=9036385647
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?zar=2918666048
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?dllcap=5432841971
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?gnnhlp=5482532036
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?jyi=2708922158
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?jy=7996487372
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?mika=3202399118
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?qlefo=4961668558
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?tvgs=9257864780
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?wfax=9040261579
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?wfaxsl=5545787583
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?dsxiv=4313353691
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?gd=1272145492
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?gdr=2641407636
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?jf=7867097192
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?mpng=9684992164
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?mp=7213212034
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?qapl=3509428366
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?tc=7754253741
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?tckz=9436253812
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?wnme=3585247238
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?ax=7404897951
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?axg=8178625224
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?dh=7698722767
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?d=6542771985
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?gkccil=5144806500
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?gkccil=5619634684
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?j=0211225679
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?nfzntm=5338895391
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?nfz=8451936789
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?qht=2683768135
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?qhta=9251111648
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?trvf=9973418171
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?w=6473377262
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?wc=1031029665
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?a=0771026108
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?aer=2463027391
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?d=6618049745
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?dpl=8772939125
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?gzoi=3629589837
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?gzo=8886064933
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?jb=7528141496
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?jbi=8292179749
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?nmkt=3129749461
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?nmk=8667192865
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?qweg=3596764587
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?qw=1813281645
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?tz=7799093255
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?t=6447273232
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?wjarjm=5011239069
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?wjar=3058854138
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?atv=8987206840
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?dwxkug=5867551410
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?dwxkug=5127669664
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?gg=7340204456
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?ggrp=9432482856
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?krtuy=4350054548
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?krtu=3610152892
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?nt=7129553487
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?qepn=3692349651
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?q=0687203279
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?t=6548369586
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?xqmymk=5594729872
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?abgle=4998854525
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?abgl=3663134585
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?dl=7174635000
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?goc=2620601167
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?goc=2374639442
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?kywb=3842908893
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?kywba=4837088263
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?ni=7647721493
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?niz=8421900973
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?qlttdh=5206545384
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?tv=1262157894
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?tvvz=3060578135
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?x=0264534773
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?xgp=8978339893
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?airrz=4134142393
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?airrzj=5118032794
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?d=0046682496
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?ds=1719610769
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?hdoccc=5637082481
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?h=6103011754
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?kf=1230661377
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?kfihv=4012550757
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?n=6106730147
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?n=0616130742
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?nq=1798138122
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?qaeayf=5207539738
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?q=6873367891
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?ucyf=3257230618
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?ucyf=3921268991
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?xnbt=9077882521
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?xn=1961062901
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?ax=7026784411
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?daxd=9803295870
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?dax=2926346160
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?daxd=3098434541
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?hk=7527755156
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?hk=1036255641
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?kut=2110335021
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?kutwx=4103212421
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?nx=1577286136
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?nxnb=9596893497
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?qh=1931421898
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?uskmtd=5670722303
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?uskm=9189125798
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?usk=2290374286
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?xumzee=5819775502
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?xu=7894965182
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?ae=1303185577
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?ae=1877114852
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?epa=8351087677
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?e=0435064057
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?hrcpz=4944465473
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?hrcpz=4618293748
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?k=0574017258
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?n=6457695550
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?nmzil=4576112691
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?rptn=9414762311
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?rptn=9067590686
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?u=6642483411
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?uzv=8426563891
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?xjpg=9518752292
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?xjpg=3670630772
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?amr=8528202384
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?amrl=9997542528
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?ewmq=3341276881
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?ewmqj=4817104157
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?hho=8945674877
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?hhod=9318613142
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?kjijn=4236065862
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?kjijn=4902093147
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?ntco=9839643837
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?nt=1911642238
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?re=7077466748
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?ree=2625039143
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?u=0979469101
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?xrbmba=5977222839
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?b=0805882542
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?b=0479610725
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?e=6435324335
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?e=0419311715
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?elxxm=4038714320
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?hor=2667822499
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?r=6366733860
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?uvkn=3631616697
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?uvknl=4304454760
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?xg=1610924912
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?big=8599960480
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?b=6433919609
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?etal=3808872236
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?etalh=4571610519
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?hddrz=4557332604
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?k=0513853324
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?kfxwk=4505033704
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?o=0487189194
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?oq=1951917458
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?ratovu=5460318963
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?r=6544515443
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?ud=1471167055
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?udvu=3453055435
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?xnpzy=4528134936
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?xnp=8057635421
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?x=0119534801
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?bx=1103722201
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?bxserw=5632113896
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?eams=9141413292
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?eams=9815452565
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?hkgxu=4743804187
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?hkg=8254224792
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?lvic=9336404172
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?lvic=3865605767
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?ox=7384105183
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?oxc=2922778586
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?rievp=4906756966
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?riev=9426156451
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?uszai=4363708173
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?uszais=5017537446
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?y=0966109169
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?yub=2067358457
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?bfvtl=4149448837
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?bf=7260597025
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?e=0381681641
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?epx=2243761021
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?hsre=3698868757
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?lc=7107369243
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?lctjh=4392223661
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?omo=8821543276
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?rp=1007224558
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?u=0808491437
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?ykemvr=5927063039
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?bmgz=9845168099
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?bm=1827166490
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?ewafg=4336567085
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?e=6420756465
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?ihdk=9646217933
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?ihdk=9390045206
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?ljxpkm=5671041579
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?ljx=8774391768
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?ouzdc=4838905498
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?ou=7051254786
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?retinn=5452199401
  • http://www.{BLOCKED}o.org/cap2k/blog.asp?retinn=5028128784

このウイルス情報は、自動解析システムにより作成されました。

  対応方法

対応検索エンジン: 9.300

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

変更されたレジストリ値を修正します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication
    • From: Name = "iexplore.exe"
      To: Name = ""iexplore.exe""
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication
    • From: ID = "4117b81"
      To: ID = ""41107b81""

手順 3

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • __tmp_rar_sfx_access_check_67125
  • FTE BUDGET 2013 Knowledge Service Center.xlsx
  • WindowsSearch.exe

手順 4

以下のフォルダを検索し削除します。

[ 詳細 ]
フォルダが隠しフォルダ属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %System Root%\DOCUME~1
  • %System Root%\DOCUME~1\Wilbert
  • %User Profile%\LOCALS~1

手順 5

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TROJ_TOOKA.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください