解析者: Cris Nowell Pantanilla   
 更新者 : Ryan Gardo

 別名:

W97M/Downloader.adx(McAfee), Troj/DocDl-EU(Sophos),

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

感染経路 Eメール経由による侵入

トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。

この検体は、マクロベースのマルウェアで、添付のDOCファイルを含む偽のAir Canadaのeチケットを使用していました。このDOCファイルは航空会社の情報を偽装しています。ユーザがこのDOCファイルを開くと、悪意あるマクロを含む文書が作成されます。

マルウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。

  詳細

ファイルサイズ 76,800 bytes
タイプ DOC
メモリ常駐 なし
発見日 2015年3月2日
ペイロード URLまたはIPアドレスに接続, ファイルのダウンロード

侵入方法

マルウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。

注意:

不正な文書が開かれる際、マルウェアコードを含むマクロは、以下のファイルを実行および作成します。

  • WindowsのバージョンがWindows XPまたはそれ以降の場合:
    • %Temp%\adobeacd-update.bat
    • %Temp%\adobeacd-updatexp.vbs
  • WindowsのバージョンがWindows Vistaまたはそれ以降の場合:
    • %User Temp%\adobeacd-update.vbs
    • %User Temp%\adobeacd-update.bat
    • %User Temp%\adobeacd-update.ps1

ファイル"adobeacd-updatexp.vbs"および"adobeacd-update.ps1"は、以下のリンクへアクセスし、ファイルをダウンロードします。

  • http://{BLOCKED}c.su/5229109.png (WindowsのバージョンがXPまたはそれ以前の場合)
  • http://{BLOCKED}c.su/5220917.png (WindowsのバージョンがWindows Vistaまたはそれ以降の場合)
  • http://{BLOCKED}.{BLOCKED}.131.73/ca/file.pif

マルウェアは、以下のファイル名を用いてファイルを保存します。

  • %Temp%\444.exe - WindowsのバージョンがWindows XPまたはそれ以前の場合 (「TROJ_HANCITOR.VVQB」として検出)
  • %User Temp%\444.exe - WindowsのバージョンがWindows Vistaまたはそれ以降の場合 (「TROJ_HANCITOR.VVQB」として検出)
  • %User Temp%\444.jpg - WindowsのバージョンがWindows Vistaまたはそれ以降の場合

Windows XPまたはそれ以前の場合、 ファイル"adobeacd-update.bat"は、"adobeacd-updatexp.vb"とダウンロードされたファイル"%Temp\444.exe%"を実行します。また、マルウェアは実行後、自身を削除します。

WindowsのバージョンがWindows Vistaまたはそれ以降の場合、ファイル"adobeacd-update.bat"は、"adobeacd-update.vbs"を実行し、次に"adobeacd-update.ps1"を実行します。ファイル"adobeacd-update.ps1"は、ダウンロードされたファイルが確実に実行され、実行後にすべての作成されたファイルが削除されるようにします。

  対応方法

対応検索エンジン: 9.750
初回 VSAPI パターンバージョン 11.504.07
初回 VSAPI パターンリリース日 2015年2月27日
VSAPI OPR パターンバージョン 11.505.00
VSAPI OPR パターンリリース日 2015年2月28日

手順 1

「W2KM_BARTALEX.EU」 を作成またはダウンロードする不正なファイルを削除します。(註:以下のマルウェアもしくはアドウェア等がすでに削除されている場合は、本手順は行う必要はありません。)

     TROJ_HANCITOR.VVQB

手順 2

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 3

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %Temp%\adobeacd-update.bat (For OS Version XP and below)
  • %Temp%\adobeacd-updatexp.vbs (For OS Version XP and below)
  • %User Temp%\adobeacd-update.vbs (For OS Version Vista and above)
  • %User Temp%\adobeacd-update.bat (For OS Version Vista and above)
  • %User Temp%\adobeacd-update.ps1 (For OS Version Vista and above)

手順 4

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「W2KM_BARTALEX.EU」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください