Worm.Win32.BLASQUI.C
Trojan:Win32/Vindor!pz (MICROSOFT)
Windows
マルウェアタイプ:
ワーム
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ワームは、以下のファイルを作成します。
- %ProgramData%\spreadVhijkl.exe → deleted afterwards
- %ProgramData%\spread.txt → copy of itself
- %ProgramData%\SMB.exe → deleted afterwards
- %ProgramData%\__tmp_rar_sfx_access_check_4110127 → deleted afterwards
- %ProgramData%\adfw.dll
- %ProgramData%\adfw-2.dll
- %ProgramData%\cnli-0.dll
- %ProgramData%\cnli-1.dll
- %ProgramData%\coli-0.dll
- %ProgramData%\crli-0.dll
- %ProgramData%\dmgd-1.dll
- %ProgramData%\dmgd-4.dll
- %ProgramData%\esco-0.dll
- %ProgramData%\etch-0.dll
- %ProgramData%\etchCore-0.x64.dll
- %ProgramData%\etchCore-0.x86.dll
- %ProgramData%\eteb-2.dll
- %ProgramData%\etebCore-2.x64.dll
- %ProgramData%\etebCore-2.x86.dll
- %ProgramData%\exma.dll
- %ProgramData%\exma-1.dll
- %ProgramData%\iconv.dll
- %ProgramData%\libcurl.dll
- %ProgramData%\libeay32.dll
- %ProgramData%\libiconv-2.dll
- %ProgramData%\libxml2.dll
- %ProgramData%\pcla-0.dll
- %ProgramData%\pcre-0.dll
- %ProgramData%\pcrecpp-0.dll
- %ProgramData%\pcreposix-0.dll
- %ProgramData%\posh.dll
- %ProgramData%\posh-0.dll
- %ProgramData%\riar.dll
- %ProgramData%\riar-2.dll
- %ProgramData%\serverlong.exe
- %ProgramData%\serverlong.fb
- %ProgramData%\serverlong.xml
- %ProgramData%\Shellcode.ini
- %ProgramData%\ssleay32.dll
- %ProgramData%\svchostlong.exe
- %ProgramData%\svchostlong.fb
- %ProgramData%\svchostlong.xml
- %ProgramData%\svchostromance.exe
- %ProgramData%\svchostromance.xml
- %ProgramData%\tibe.dll
- %ProgramData%\tibe-1.dll
- %ProgramData%\tibe-2.dll
- %ProgramData%\trch.dll
- %ProgramData%\trch-0.dll
- %ProgramData%\trch-1.dll
- %ProgramData%\trfo.dll
- %ProgramData%\trfo-0.dll
- %ProgramData%\trfo-2.dll
- %ProgramData%\tucl.dll
- %ProgramData%\tucl-1.dll
- %ProgramData%\ucl.dll
- %ProgramData%\X64.dll
- %ProgramData%\X86.dll
- %ProgramData%\xdvl-0.dll
- %ProgramData%\zibe.dll
- %ProgramData%\zlib1.dll
- %ProgramData%\__tmp_rar_sfx_access_check_4116273 → deleted afterwards
- \\{remote IP address}\ADMIN$\spread.txt → copy of itself → deleted afterwards
(註:%ProgramData%フォルダは、マルチユーザーシステムにおいて任意のユーザがプログラムに変更を加えることができるプログラムファイルフォルダのバージョンです。これには、すべてのユーザのアプリケーションデータが含まれます。Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData" です。Windows Server 2003(32-bit)、2000(32-bit)、XPの場合、通常 "C:\Documents and Settings\All Users" です。 )
ワームは、以下のプロセスを追加します。
- cmd /c schtasks /create /sc minute /mo 1 /tn "QQMusic" /tr {malware directory}\{malware filename} /F
- schtasks /create /sc minute /mo 1 /tn "QQMusic" /tr {malware directory}\{malware filename} /F
- cmd /c taskkill /f /im spreadVhijkl.exe&&exit
- taskkill /f /im spreadVhijkl.exe
- cmd /c ipconfig /flush
- ipconfig /flush
- %ProgramData%\spreadVhijkl.exe -o stratum+tcp://auto.c3pool.org:443 -u 4AAjsvwrMQxBJpExraeoqdKrV8bwz2kkJG7P4axGTSip46CjmCrvSa8dztbNC4n6XuLr8wiXYgxS9c979hpdmi6s3LCNNja -p X -a cn/r --max-cpu-usage=25 --cpu-priority 1 --cpu-max-threads-hint=25 -K
- %ProgramData%\SMB.exe
(註:%ProgramData%フォルダは、マルチユーザーシステムにおいて任意のユーザがプログラムに変更を加えることができるプログラムファイルフォルダのバージョンです。これには、すべてのユーザのアプリケーションデータが含まれます。Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData" です。Windows Server 2003(32-bit)、2000(32-bit)、XPの場合、通常 "C:\Documents and Settings\All Users" です。 )
自動実行方法
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
QQMusic = {malware directory}\{malware filename}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion
QQMusic = {malware directory}\{malware filename}
他のシステム変更
ワームは、以下のレジストリ値を変更します。
HKEY_CURRENT_USER\Network\K
RemotePath = \{remote IP address}\ADMIN$
HKEY_CURRENT_USER\Network\K
UserName = {default}
HKEY_CURRENT_USER\Network\K
ProviderName = Microsoft Windows Network
HKEY_CURRENT_USER\Network\K
ProviderType = 131072
HKEY_CURRENT_USER\Network\K
ConnectionType = 0
HKEY_CURRENT_USER\Network\K
DeferFlags = 4
その他
ワームは、以下のレジストリキーを追加します。
HKEY_CURRENT_USER\Network\K
以下のスケジュールされたタスクを追加します:
- Task name: QQMusic
Task to be run: {malware directory}\{malware filename}
モバイル端末を狙う不正プログラムの不正活動
ワームは、以下の不正なWebサイトにアクセスします。
- {BLOCKED}.{BLOCKED}.255.1 to 2
- {BLOCKED}.{BLOCKED}.255.4
- {BLOCKED}.{BLOCKED}.255.6 to 8
- {BLOCKED}.{BLOCKED}.255.10
- {BLOCKED}.{BLOCKED}.255.12 to 14
- {BLOCKED}.{BLOCKED}.255.16
- {BLOCKED}.{BLOCKED}.255.18 to 20
- {BLOCKED}.{BLOCKED}.255.22
- {BLOCKED}.{BLOCKED}.255.24
- {BLOCKED}.{BLOCKED}.255.26 to 28
- {BLOCKED}.{BLOCKED}.255.30
- {BLOCKED}.{BLOCKED}.255.32
- {BLOCKED}.{BLOCKED}.255.34
- {BLOCKED}.{BLOCKED}.255.36
- {BLOCKED}.{BLOCKED}.255.38
- {BLOCKED}.{BLOCKED}.255.40
- {BLOCKED}.{BLOCKED}.255.42
- {BLOCKED}.{BLOCKED}.255.44
- {BLOCKED}.{BLOCKED}.255.46
- {BLOCKED}.{BLOCKED}.255.48
- {BLOCKED}.{BLOCKED}.255.50
- {BLOCKED}.{BLOCKED}.255.52
- {BLOCKED}.{BLOCKED}.255.54
- {BLOCKED}.{BLOCKED}.255.56
- {BLOCKED}.{BLOCKED}.255.58
- {BLOCKED}.{BLOCKED}.255.60
- {BLOCKED}.{BLOCKED}.255.62
- {BLOCKED}.{BLOCKED}.255.64
- {BLOCKED}.{BLOCKED}.255.66
- {BLOCKED}.{BLOCKED}.255.68
- {BLOCKED}.{BLOCKED}.255.70
- {BLOCKED}.{BLOCKED}.255.72
- {BLOCKED}.{BLOCKED}.255.74
- {BLOCKED}.{BLOCKED}.255.76
- {BLOCKED}.{BLOCKED}.255.78
- {BLOCKED}.{BLOCKED}.255.80
- {BLOCKED}.{BLOCKED}.255.82
- {BLOCKED}.{BLOCKED}.255.84
- {BLOCKED}.{BLOCKED}.255.86
- {BLOCKED}.{BLOCKED}.255.88
- {BLOCKED}.{BLOCKED}.255.90
- {BLOCKED}.{BLOCKED}.255.92
- {BLOCKED}.{BLOCKED}.255.94
- {BLOCKED}.{BLOCKED}.255.96
- {BLOCKED}.{BLOCKED}.255.98
- {BLOCKED}.{BLOCKED}.255.100
- {BLOCKED}.{BLOCKED}.255.102
- {BLOCKED}.{BLOCKED}.255.104 to 108
- {BLOCKED}.{BLOCKED}.255.110
- {BLOCKED}.{BLOCKED}.255.112
- {BLOCKED}.{BLOCKED}.255.114 to 120
- {BLOCKED}.{BLOCKED}.255.124 to 126
- {BLOCKED}.{BLOCKED}.255.130
- {BLOCKED}.{BLOCKED}.255.132
- {BLOCKED}.{BLOCKED}.255.134
- {BLOCKED}.{BLOCKED}.255.136 to 137
- {BLOCKED}.{BLOCKED}.255.146
- {BLOCKED}.{BLOCKED}.255.149 to 150
- {BLOCKED}.{BLOCKED}.255.152 to 213
- {BLOCKED}.{BLOCKED}.255.222 to 223
- {BLOCKED}.{BLOCKED}.255.227 to 254
- auto.{BLOCKED}.org:443
- {BLOCKED}.shop
対応方法
手順 1
トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。
Troj.Win32.TRX.XXPE50FFF100
手順 2
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 3
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 4
Windowsをセーフモードで再起動します。
手順 5
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Network\K
- RemotePath = \{remote IP address}\ADMIN$
- RemotePath = \{remote IP address}\ADMIN$
- In HKEY_CURRENT_USER\Network\K
- UserName = {default}
- UserName = {default}
- In HKEY_CURRENT_USER\Network\K
- ProviderName = Microsoft Windows Network
- ProviderName = Microsoft Windows Network
- In HKEY_CURRENT_USER\Network\K
- ProviderType = 131072
- ProviderType = 131072
- In HKEY_CURRENT_USER\Network\K
- ConnectionType = 0
- ConnectionType = 0
- In HKEY_CURRENT_USER\Network\K
- DeferFlags = 4
- DeferFlags = 4
手順 6
不明なレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Network\K
手順 7
以下のファイルを検索し削除します。
- %ProgramData%\spread.txt
- %ProgramData%\adfw.dll
- %ProgramData%\adfw-2.dll
- %ProgramData%\cnli-0.dll
- %ProgramData%\cnli-1.dll
- %ProgramData%\coli-0.dll
- %ProgramData%\crli-0.dll
- %ProgramData%\dmgd-1.dll
- %ProgramData%\dmgd-4.dll
- %ProgramData%\esco-0.dll
- %ProgramData%\etch-0.dll
- %ProgramData%\etchCore-0.x64.dll
- %ProgramData%\etchCore-0.x86.dll
- %ProgramData%\eteb-2.dll
- %ProgramData%\etebCore-2.x64.dll
- %ProgramData%\etebCore-2.x86.dll
- %ProgramData%\exma.dll
- %ProgramData%\exma-1.dll
- %ProgramData%\iconv.dll
- %ProgramData%\libcurl.dll
- %ProgramData%\libeay32.dll
- %ProgramData%\libiconv-2.dll
- %ProgramData%\libxml2.dll
- %ProgramData%\pcla-0.dll
- %ProgramData%\pcre-0.dll
- %ProgramData%\pcrecpp-0.dll
- %ProgramData%\pcreposix-0.dll
- %ProgramData%\posh.dll
- %ProgramData%\posh-0.dll
- %ProgramData%\riar.dll
- %ProgramData%\riar-2.dll
- %ProgramData%\serverlong.exe
- %ProgramData%\serverlong.fb
- %ProgramData%\serverlong.xml
- %ProgramData%\Shellcode.ini
- %ProgramData%\ssleay32.dll
- %ProgramData%\svchostlong.exe
- %ProgramData%\svchostlong.fb
- %ProgramData%\svchostlong.xml
- %ProgramData%\svchostromance.exe
- %ProgramData%\svchostromance.xml
- %ProgramData%\tibe.dll
- %ProgramData%\tibe-1.dll
- %ProgramData%\tibe-2.dll
- %ProgramData%\trch.dll
- %ProgramData%\trch-0.dll
- %ProgramData%\trch-1.dll
- %ProgramData%\trfo.dll
- %ProgramData%\trfo-0.dll
- %ProgramData%\trfo-2.dll
- %ProgramData%\tucl.dll
- %ProgramData%\tucl-1.dll
- %ProgramData%\ucl.dll
- %ProgramData%\X64.dll
- %ProgramData%\X86.dll
- %ProgramData%\xdvl-0.dll
- %ProgramData%\zibe.dll
- %ProgramData%\zlib1.dll
手順 8
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Worm.Win32.BLASQUI.C」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 9
トレンドマイクロモバイル機器用セキュリティ対策対応方法
「ウイルスバスター モバイル for Android™」 は、不正なアプリケーションやトロイの木馬化されたアプリケーションからAndroid OSに対応したモバイル機器を保護します。「不正アプリ対策」機能は不正なアプリケーションやトロイの木馬化されたアプリケーションがダウンロードされた場合にそれらを検出します。また、「Web脅威対策」機能で、Android端末用Webブラウザの不正なWebサイトへのアクセスをブロックします。
ご利用はいかがでしたか? アンケートにご協力ください