PUA.Win32.FusionCore.SMBD

2019年10月16日

更新者 : Jay Garcia

別名:

W32/FusionCore.A.gen!Eldorado (FPROT); a variant of Win32/FusionCore.L potentially unwanted application (NOD32)

プラットフォーム:

Windows

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ: 潜在的に迷惑なアプリケーション
破壊活動の有無: なし
暗号化:
感染報告の有無: はい

概要

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

詳細

ファイルサイズ 1,063,424 bytes

タイプ EXE

メモリ常駐なし

発見日 2019年10月4日

侵入方法

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

プログラムは、以下のファイルを作成します。

%Program Files%\Rene.E Laboratory\PDFAide\unins000.exe
%Program Files%\Rene.E Laboratory\PDFAide\msvcp100.dll
%Program Files%\Rene.E Laboratory\PDFAide\msvcr100.dll
%Program Files%\Rene.E Laboratory\PDFAide\QtCore4.dll
%Program Files%\Rene.E Laboratory\PDFAide\QtGui4.dll
%Program Files%\Rene.E Laboratory\PDFAide\QtNetwork4.dll
%Program Files%\Rene.E Laboratory\PDFAide\QtWebKit4.dll
%Program Files%\Rene.E Laboratory\PDFAide\QtXml4.dll
%Program Files%\Rene.E Laboratory\PDFAide\RsCrashRestarter.exe
%Program Files%\Rene.E Laboratory\PDFAide\vcredist_x86.exe
%Program Files%\Rene.E Laboratory\PDFAide\cmap\cmap_cns.dll
%Program Files%\Rene.E Laboratory\PDFAide\cmap\cmap_gb.dll
%Program Files%\Rene.E Laboratory\PDFAide\cmap\cmap_japan.dll
%Program Files%\Rene.E Laboratory\PDFAide\cmap\cmap_korea.dll
%Program Files%\Rene.E Laboratory\PDFAide\imageformats\qgif4.dll
%Program Files%\Rene.E Laboratory\PDFAide\imageformats\qjpeg4.dll
%Program Files%\Rene.E Laboratory\PDFAide\imageformats\qtiff4.dll
%Program Files%\Rene.E Laboratory\PDFAide\sample\chi_sim_text.jpg
%Program Files%\Rene.E Laboratory\PDFAide\sample\chi_tra_text.jpg
%Program Files%\Rene.E Laboratory\PDFAide\sample\eng_text.jpg
%Program Files%\Rene.E Laboratory\PDFAide\sample\jap_text.jpg
%Program Files%\Rene.E Laboratory\PDFAide\sample\kor_text.jpg
%Program Files%\Rene.E Laboratory\PDFAide\sample\link_test.pdf
%Program Files%\Rene.E Laboratory\PDFAide\sample\Pdf2Office.pdf
%Program Files%\Rene.E Laboratory\PDFAide\watermark\watermark_chn.pdf
%Program Files%\Rene.E Laboratory\PDFAide\watermark\watermark_kor.pdf
%Program Files%\Rene.E Laboratory\PDFAide\libeay32.dll
%Program Files%\Rene.E Laboratory\PDFAide\ocrconfig.dat
%Program Files%\Rene.E Laboratory\PDFAide\PdfAide.exe
%Program Files%\Rene.E Laboratory\PDFAide\ReFB.exe
%Program Files%\Rene.E Laboratory\PDFAide\ReneeUpdater.exe
%Program Files%\Rene.E Laboratory\PDFAide\ReTW.exe
%Program Files%\Rene.E Laboratory\PDFAide\ssleay32.dll

プログラムは、以下のプロセスを追加します。

"%Program Files%\Rene.E Laboratory\PDFAide\vcredist_x86.exe" /norestart /q

プログラムは、以下のフォルダを作成します。

%Program Files%\Rene.E Laboratory
%Program Files%\Rene.E Laboratory\PDFAide\imageformats
%Program Files%\Rene.E Laboratory\PDFAide
%Program Files%\Rene.E Laboratory\PDFAide\watermark
%All Users Profile%\Microsoft\Windows\Start Menu\Programs\Rene.E Laboratory\PDFAide
%Program Files%\Rene.E Laboratory\PDFAide\cmap
%All Users Profile%\Microsoft\Windows\Start Menu\Programs\Rene.E Laboratory
%Program Files%\Rene.E Laboratory\PDFAide\sample

(註：%Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。C:\Program Files in Windows 2000(32-bit)、Server 2003(32-bit)、XP、Vista(64-bit)、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)、8.1(64-bit)、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files（x86）" です。. %All Users Profile%フォルダは、ユーザの共通プロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\All Users” です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData” です。)

他のシステム変更

プログラムは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
{GUID}_is1

HKEY_CURRENT_USER\Software\Trolltech\
OrganizationDefaults

プログラムは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Rene.E Laboratory\
PDFAide
iProgramLanguage = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{GUID}_is1
Inno Setup: Setup Version = "5.5.4 (u)"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{GUID}_is1
Inno Setup: App Path = "%Program Files%\Rene.E Laboratory\PDFAide"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{GUID}_is1
InstallLocation = "%Program Files%\Rene.E Laboratory\PDFAide"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{GUID}_is1
Inno Setup: Icon Group = "Rene.E Laboratory\PDFAide"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{GUID}_is1
Inno Setup: User = "{username}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{GUID}_is1
Inno Setup: Language = "en"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{GUID}_is1
DisplayName = "Renee PDF Aide 2016.10.13.71"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{GUID}_is1
UninstallString = "%Program Files%\Rene.E Laboratory\PDFAide\unins000.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{GUID}_is1
QuietUninstallString = "%Program Files%\Rene.E Laboratory\PDFAide\unins000.exe /SILENT"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{GUID}_is1
DisplayVersion = "2016.10.13.71"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{GUID}_is1
Publisher = "Rene.E Laboratory"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{GUID}_is1
URLInfoAbout = "http://www.{BLOCKED}ab.com"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{GUID}_is1
HelpLink = "http://www.{BLOCKED}ab.com"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{GUID}_is1
URLUpdateInfo = "http://www.{BLOCKED}ab.com"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{GUID}_is1
NoModify = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{GUID}_is1
NoRepair = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{GUID}_is1
InstallDate = "{date}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{GUID}_is1
MajorVersion = "2016"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{GUID}_is1
MinorVersion = "10"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
{GUID}_is1
EstimatedSize = "52030"

HKEY_CURRENT_USER\Software\Rene.E Laboratory
JoinOperationShare = "1"

HKEY_CURRENT_USER\Software\Trolltech\
OrganizationDefaults\Qt Plugin Cache 4.8.false\%Program Files%\
Rene.E Laboratory\PDFAide\imageformats
qgif4.dll = "\x00\x00\x00\x00"

HKEY_CURRENT_USER\Software\Trolltech\
OrganizationDefaults\Qt Factory Cache 4.8\com.trolltech.Qt.QImageIOHandlerFactoryInterface:\
%Program Files%\Rene.E Laboratory\PDFAide\
imageformats
qgif4.dll = "\x00\x00"

HKEY_CURRENT_USER\Software\Trolltech\
OrganizationDefaults\Qt Plugin Cache 4.8.false\%Program Files%\
Rene.E Laboratory\PDFAide\imageformats
qjpeg4.dll = "\x00\x00\x00\x00"

HKEY_CURRENT_USER\Software\Trolltech\
OrganizationDefaults\Qt Plugin Cache 4.8.false\%Program Files%\
Rene.E Laboratory\PDFAide\imageformats
qtiff4.dll = "\x00\x00\x00\x00"

HKEY_CURRENT_USER\Software\Rene.E Laboratory\
PDFAide
FreeVersionDaysEntry = "{hex data}"

その他

プログラムは、以下の不正なWebサイトにアクセスします。

http://rp.{BLOCKED}uardapp.com/
http://os.{BLOCKED}uardapp.com/FusionReneeLab/
http://os2.{BLOCKED}uardapp.com/FusionReneeLab/
http://os.{BLOCKED}uardapp.com/FusionReneeLab/

対応方法

対応検索エンジン: 9.850

SSAPI パターンバージョン: 2.203.00

SSAPI パターンリリース日: 2019年8月8日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

自身のアンインストールオプションを使用し、「PUA.Win32.FusionCore.SMBD」を削除します。

[ 詳細 ]

マルウェアのプロセスの削除

手順 3

最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「PUA.Win32.FusionCore.SMBD」と検出したファイルはすべて削除してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

ご利用はいかがでしたか？　アンケートにご協力ください