Trojan.X97M.DRIDEX.BZ
Trojan-Downloader.Office.Doc (IKARUS); TrojanDownloader:O97M/Dridex.RA!MTB (MICROSOFT)
Windows
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
はい
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
ただし、情報公開日現在、このWebサイトにはアクセスできません。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- %Application Data%\{Random Characters}.xsl -> contains the malicious script
(註:%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)
マルウェアは、以下のプロセスを追加します。
- wmic os get /format:"%Application Data%\{Random Characters}.xsl"
- "%System%\rundll32.exe" %Temp%//{Random Characters}.dll ValidateLog
(註:%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。. %Temp%フォルダは、一時的にファイルが保存されるフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Windows\Temp" です。.)
ダウンロード活動
マルウェアは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。
- https://{BLOCKED}ematch.net/back_up/under/fonts/Montserrat/kDCn9x8aeY8jz.php
- https://{BLOCKED}chton.club/wp-content/uploads/2020/01/sULnmh1mel6Ha.php
- https://{BLOCKED}ccount.inventorybiz.com//X70ySsjm2.php
- https://{BLOCKED}mp1sbw.sch.id/ro-plugins/ckeditor/skins/moono-lisa/767884gnQIu.php
- https://{BLOCKED}ursandtravel.com/wp-includes/SimplePie/Decode/HTML/i06d5d4XcypWc.php
- https://{BLOCKED}.empoweredmw.com/lib/minify/matthiasmullie-minify/data/WD3Uawo4EEZ.php
- https://{BLOCKED}detraduccionespuce.com/intranet_old/css/vendor/square/risWzMrGzRtO4bS.php
- https://{BLOCKED}as.net/wp-content/plugins/LayerSlider/classes/gt45kDacR6.php
- https://{BLOCKED}m.co.uk/wp-includes/css/dist/block-directory/Pk57G2yz.php
- https://{BLOCKED}lus.com/wp-includes/sodium_compat/namespaced/Core/n95mTqnEYm2lEqF.php
- https://{BLOCKED}mbill.com/B2B/js/public_html/new.bombill.com/kML98YVm1.php
- https://{BLOCKED}ox.net/school/bower_components/chosen/docsupport/7Il9rC5wQ.php
- https://{BLOCKED}alngofederation.com/wp-includes/SimplePie/Decode/HTML/CQiRG6YtYGt.php
- https://{BLOCKED}kingresort.com/wp-includes/js/mediaelement/renderers/Qh3RRz2g.php
- https://{BLOCKED}net.com.br/__MACOSX/wp-includes/js/codemirror/3Uqzx5RTyl8pT.php
- https://{BLOCKED}ys.rs/img/icons/tabs/xTPpiyC3.php
- https://{BLOCKED}cabins.com/wp-includes/js/mediaelement/renderers/KcsChOSuEV.php
- https://{BLOCKED}co.za/wsz2SCI6sU6k6o.php
- https://{BLOCKED}andecontabil.com.br/vo/vfm-admin/images/avatars/1Wu2EdUfRb3q7Zu.php
- https://{BLOCKED}.net/wp-includes/SimplePie/Content/Type/0lOzUuHLScUH.php
- https://{BLOCKED}pal.com/wp-content/cache/object/013/bFPs28xfQyOe.php
- https://{BLOCKED}eetleorchid.in//i07uqfyKKQ3jUN8.php
- https://{BLOCKED}arissa.ro/hms/highslide/graphics/outlines/aKBRsNGhkJnFy.php
- https://{BLOCKED}story.es/wp-content/uploads/2021/01/InOm7e9u4vMmW.php
- https://{BLOCKED}co.tz/wp-includes/sodium_compat/namespaced/Core/HMJi1PQC.php
- https://{BLOCKED}kicpa.com/tmp/install_5a4f05d42cc52/install_5a4f05f303fa0/backend/vlvzskOj4To9.php
- https://{BLOCKED}designstudiowi.com/wp-content/uploads/2021/01/9eFsntMZ.php
- https://{BLOCKED}vents.com//RcjJztqmB3CJ.php
- https://{BLOCKED}datapos.com/modules/goals/language/bulgarian/vdOwNUr2yXh.php
- https://{BLOCKED}frikaans.co.za/5TdZj0lfsvo.php
- https://{BLOCKED}.tg/wp-content/themes/agronomics-lite/css/nj6N9LQhADNC.php
- https://{BLOCKED}indiagroup.com/wp-content/uploads/elementor/css/Y1KA13a0oHq0vv.php
- https://{BLOCKED}ch.co.uk/wp-content/uploads/2020/01/XBKtCe6h.php
- https://{BLOCKED}sautomotriz.com/wp-includes/Requests/Exception/HTTP/U997eIiQSqs3.php
- https://{BLOCKED}nicaeduardo.com.br/www3/sistema/application/config/ANBPUKvb49gQn.php
- https://{BLOCKED}rocom.co.za/images/pagebuilder/testimonials/120x120/ww2aIKCx8.php
- https://{BLOCKED}fo.com/wp-content/plugins/better-wp-security/core/Z3w9lRfmiUeqn.php
- https://{BLOCKED}arkschools.com.ng/wp-content/uploads/revslider/ButterflyRoom/F32C387qaC.php
- https://{BLOCKED}arantitorna.com/wp-includes/css/dist/block-directory/j9nCiyCAcJQDh3.php
- https://{BLOCKED}t.com.au/include/Base/Modules/Filter/KZyRSXJtoC.php
マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。
- %Temp%/{Random Characters}.dll
(註:%Temp%フォルダは、一時的にファイルが保存されるフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Windows\Temp" です。.)
その他
マルウェアは、以下を実行します。
- It displays the following to lure users into enabling macro content:
ただし、情報公開日現在、このWebサイトにはアクセスできません。
対応方法
手順 1
トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。
- Downloader.VBA.TRX.XXVBAF01FF015
手順 2
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 3
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 4
「Trojan.X97M.DRIDEX.BZ」で検出したファイル名を確認し、そのファイルを終了します。
- すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
- 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、こちらをご参照下さい。 - 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。
手順 5
以下のファイルを検索し削除します。
- %Application Data%\{Random Characters}.xsl
- %Temp%/{5 Random Characters}.dll
手順 6
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Trojan.X97M.DRIDEX.BZ」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください