TROJ_AGENT.RS
Adware:Win32/180SolutionsSearchAssistant, TrojanSpy:Win32/Vwealer.BQ (Microsoft); [5.nsis]:Adware-180SA., [6.nsis]:Generic PWS.y (McAfee); Adware.180Search, Adware.ZangoSearch, Infostealer.Bancos.gen (Symantec); ARC:NSIS, PAK:[CEDP.Stealer.exe]:PE_Patch.PECompact, PAK:[CEDP.Stealer.exe]:PecBundle, PAK:[CEDP.Ste (Kaspersky); Trojan.Win32.Generic!BT (Sunbelt); Trojan.Generic.1387643 (FSecure)
Windows 2000, Windows XP, Windows Server 2003
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のフォルダを作成します。
- %User Temp%\nsm3.tmp
- %Program Files%\180SearchAssistant
- %Program Files%\CEDP Stealer 3.5
- %Start Menu%\Programs\CEDP Stealer
(註:%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %Program Files%フォルダは、Windows 2000、Server 2003、XP (32ビット)、通常 Vista (32ビット) および 7 (32ビット) の場合、通常 "C:\Program Files"、Windows XP (64ビット)、Vista (64ビット) および 7 (64ビット) の場合、通常 "C:\Program Files (x86)" です。. %Start Menu%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Windows\Start Menu" または "C:\Documents and Settings\<ユーザ名>\Start Menu"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu" です。)
自動実行方法
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
saap = "%Program Files%\180searchassistant\saap.exe"
他のシステム変更
マルウェアは、以下のファイルを削除します。
- %User Temp%\nsh1.tmp
- %User Temp%\nsm3.tmp
(註:%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。)
マルウェアは、以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
CEDP Stealer
HKEY_LOCAL_MACHINE\Software\saap
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
saap
HKEY_CURRENT_USER\Software\saap
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\
CE.DP.Stealer\Settings
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\
CE.DP.Stealer\Times
マルウェアは、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
CEDP Stealer
DisplayName = "CEDP Stealer"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
CEDP Stealer
UninstallString = "%Program Files%\CEDP Stealer 3.5\Uninstall.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\saap
did = "598"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
saap
DisplayName = "Uninstall 180search Assistant"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
saap
UninstallString = "%Program Files%\180searchassistant\saap.exe /uninst_simple_init=y"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
saap
DisplayIcon = "%Program Files%\180searchassistant\saap.exe,0"
HKEY_CURRENT_USER\Software\saap
last_conn_h = "1cca37c"
HKEY_CURRENT_USER\Software\saap
last_conn_l = "217ec7a"
HKEY_CURRENT_USER\Software\saap
we = "4"
HKEY_CURRENT_USER\Software\saap
we = "0"
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\
CE.DP.Stealer\Settings
RK = "4495"
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\
CE.DP.Stealer\Times
A = "yes"
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\
CE.DP.Stealer\Times
B = "0"
マルウェアは、以下のレジストリ値を変更します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
NoNetAutodial = "0"
作成活動
マルウェアは、以下のファイルを作成します。
- %User Temp%\nsh2.tmp
- %User Temp%\nsm3.tmp\ioSpecial.ini
- %User Temp%\nsm3.tmp\modern-wizard.bmp
- %User Temp%\nsm3.tmp\InstallOptions.dll
- %Program Files%\180SearchAssistant\saap.exe
- %Program Files%\CEDP Stealer 3.5\CEDP.Stealer.exe
- %Program Files%\CEDP Stealer 3.5\README.TXT
- %Program Files%\CEDP Stealer 3.5\zip32.dll
- %Start Menu%\Programs\CEDP Stealer\CEDP Stealer.lnk
- %Start Menu%\Programs\CEDP Stealer\Uninstall CEDP Stealer.lnk
- %Program Files%\CEDP Stealer 3.5\Uninstall.exe
(註:%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %Program Files%フォルダは、Windows 2000、Server 2003、XP (32ビット)、通常 Vista (32ビット) および 7 (32ビット) の場合、通常 "C:\Program Files"、Windows XP (64ビット)、Vista (64ビット) および 7 (64ビット) の場合、通常 "C:\Program Files (x86)" です。. %Start Menu%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Windows\Start Menu" または "C:\Documents and Settings\<ユーザ名>\Start Menu"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu" です。)
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- http://bis.{BLOCKED}utions.com/TrackedEvent.aspx?{random characters}
このウイルス情報は、自動解析システムにより作成されました。
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
Windowsをセーフモードで再起動します。
手順 3
このレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
- CEDP Stealer
- In HKEY_LOCAL_MACHINE\Software
- saap
- In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall
- saap
- In HKEY_CURRENT_USER\Software
- saap
- In HKEY_CURRENT_USER\Software\VB and VBA Program Settings\CE.DP.Stealer
- Settings
- In HKEY_CURRENT_USER\Software\VB and VBA Program Settings\CE.DP.Stealer
- Times
手順 4
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- saap = "%Program Files%\180searchassistant\saap.exe"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CEDP Stealer
- DisplayName = "CEDP Stealer"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CEDP Stealer
- UninstallString = "%Program Files%\CEDP Stealer 3.5\Uninstall.exe"
- In HKEY_LOCAL_MACHINE\SOFTWARE\saap
- did = "598"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\saap
- DisplayName = "Uninstall 180search Assistant"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\saap
- UninstallString = "%Program Files%\180searchassistant\saap.exe /uninst_simple_init=y"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\saap
- DisplayIcon = "%Program Files%\180searchassistant\saap.exe,0"
- In HKEY_CURRENT_USER\Software\saap
- last_conn_h = "1cca37c"
- In HKEY_CURRENT_USER\Software\saap
- last_conn_l = "217ec7a"
- In HKEY_CURRENT_USER\Software\saap
- we = "4"
- In HKEY_CURRENT_USER\Software\saap
- we = "0"
- In HKEY_CURRENT_USER\Software\VB and VBA Program Settings\CE.DP.Stealer\Settings
- RK = "4495"
- In HKEY_CURRENT_USER\Software\VB and VBA Program Settings\CE.DP.Stealer\Times
- A = "yes"
- In HKEY_CURRENT_USER\Software\VB and VBA Program Settings\CE.DP.Stealer\Times
- B = "0"
手順 5
変更されたレジストリ値を修正します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
- NoNetAutodial = "0"
手順 6
以下のファイルを検索し削除します。
- %User Temp%\nsh2.tmp
- %User Temp%\nsm3.tmp\ioSpecial.ini
- %User Temp%\nsm3.tmp\modern-wizard.bmp
- %User Temp%\nsm3.tmp\InstallOptions.dll
- %Program Files%\180SearchAssistant\saap.exe
- %Program Files%\CEDP Stealer 3.5\CEDP.Stealer.exe
- %Program Files%\CEDP Stealer 3.5\README.TXT
- %Program Files%\CEDP Stealer 3.5\zip32.dll
- %Start Menu%\Programs\CEDP Stealer\CEDP Stealer.lnk
- %Start Menu%\Programs\CEDP Stealer\Uninstall CEDP Stealer.lnk
- %Program Files%\CEDP Stealer 3.5\Uninstall.exe
手順 7
以下のフォルダを検索し削除します。
- %User Temp%\nsm3.tmp
- %Program Files%\180SearchAssistant
- %Program Files%\CEDP Stealer 3.5
- %Start Menu%\Programs\CEDP Stealer
手順 8
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TROJ_AGENT.RS」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 9
以下のファイルをバックアップを用いて修復します。なお、マイクロソフト製品に関連したファイルのみ修復されます。このマルウェア/グレイウェア/スパイウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。
- %User Temp%\nsh1.tmp
- %User Temp%\nsm3.tmp
ご利用はいかがでしたか? アンケートにご協力ください