Trojan.Win32.LOADSELL.A
Trojan:Win32/Azorult.ML!MTB(MICROSOFT); HEUR:Trojan-Ransom.Win32.Stop.gen(KASPERSKY);
Windows
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化: はい
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。 ただし、情報公開日現在、このWebサイトにはアクセスできません。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のプロセスを追加します。
- To delete itself:
- "%System%\cmd.exe" /c taskkill /im "{Malware Filename}.exe" /f & erase "{Malware Filepath}\{Malware Filename}.exe" & exit
- If download is successful:
- "%System%\cmd.exe" /c start /I "" "{4 Random Characters}-{5 Random Characters}-{4 Random Characters}-{5 Random Characters}\{11 Random Numbers}.exe"
- "%System%\cmd.exe" /c start /I "" "{4 Random Characters}-{5 Random Characters}-{4 Random Characters}-{5 Random Characters}\{11 Random Numbers}.exe" /{mix, eu or us depending on the country}
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)
マルウェアは、以下のフォルダを作成します。
- %User Temp%\{4 Random Characters}-{5 Random Characters}-{4 Random Characters}-{5 Random Characters}\ → Hidden
(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)
ダウンロード活動
マルウェアは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。
- http://{BLOCKED}artners.in/dlc/distribution.php?pub={string} → Depending on the {User Agent} used. It may receive a file or a secondary download link
- {Received secondary download link}
マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。
- %User Temp%\{4 Random Characters}-{5 Random Characters}-{4 Random Characters}-{5 Random Characters}\{11 Random Numbers}.exe
(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)
情報漏えい
マルウェアは、以下の情報を収集します。
- Username
- IP Address
- Country
- Keyboard Layout/Language
その他
マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。
- {BLOCKED}n.biz/decision.php?pub={String}
- {BLOCKED}partners.in/stats/remember.php?pub={String}&user={username}
- {BLOCKED}partners.in/stats/statistics.php?trackid={track id}&postback={postback value}
- {BLOCKED}partners.in/stats/itscis.php?pub={String}
- Where depending on the country the infected machine is located in, {String} can be the following:
- ustwo
- euthree
- mixsix
- eutwo
- usthree
- pmix
- peu
- pus
- umix
- ueu
- uus
- cashmix
- casheu
- cashus
- willmix
- willeu
- willus
- usone
- mixone
- euone
- usfour
- eufour
- pux
- eux
- mixthree
- eufive
- usfive
- cafive
- mixfive
- mixseven
- euinte
- usinte
- cainte
- mixinte
マルウェアは、以下を実行します。
- It will terminate and delete itself if it finds any of the following:
- The following folders:
- %User Desktop%\Garbage Cleaner
- The following registry keys:
- HKEY_CURRENT_USER\Software\GCleaner
- The system's locale or language:
- Russian
- Ukrainian
- Kazakh
- The following folders:
- It connects to the following url(s) to log the Connecting Machine's IP Address:
- http://{BLOCKED}ger.org/{characters} → accessible
- where depending on the {String} used, {Characters} can be the following:
- /1SbGr7
- /1S3Jr7
- /1SVGr7
- /1SDGr7
- /1SXGr7
- /1RGrt7
- /1B6de7
- /1B8de7
- /1B9de7
- /1exB47
- /1ecB47
- /1evB47
- /1KWC77
- /1KEC77
- /1KRC77
- /11juE
- /11cuE
- /11QuE
- /1SMHr7
- /1SvGr7
- /1SZGr7
- /1xA9f7
- /1xF9f7
- /1BaHp7
- /1Uvu47
- /1SEGr7
- /17xdv7
- /17vdv7
- /17bdv7
- /17mdv7
- /1SGGr7
- /1stmu7
- /1ssmu7
- /1sdmu7
- /1u3ha7
- where depending on the {String} used, {Characters} can be the following:
- http://{BLOCKED}ger.org/{characters} → accessible
ただし、情報公開日現在、このWebサイトにはアクセスできません。
対応方法
手順 1
トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。
- Troj.Win32.TRX.XXPE50FFF045
手順 2
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 3
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 4
以下のファイルを検索し削除します。
- %User Temp%\{4 Random Characters}-{5 Random Characters}-{4 Random Characters}-{5 Random Characters}\{11 Random Numbers}.exe
- Windowsエクスプローラ画面を開きます。
- Windows Vista、7 および Server 2008 の場合:
- [スタート]-[コンピューター]を選択します。
- Windows 8、8.1 および Server 2012 の場合:
- 画面の左下隅を右クリックし、[エクスプローラー]を選択します。
- Windows Vista、7 および Server 2008 の場合:
- [コンピューターの検索]に、以下を入力します。
DATA_GENERIC - ファイルが表示されたら、そのファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
- 残りのファイルに対して、マルウェアのコンポーネントファイルの削除の手順 2.)から4 .)を繰り返してください。
註:Windows 7 において上記の手順が正しく行われない場合、マイクロソフトのWebサイトをご確認ください。
手順 5
以下のフォルダを検索し削除します。
- %User Temp%\{4 Random Characters}-{5 Random Characters}-{4 Random Characters}-{5 Random Characters}\
手順 6
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Trojan.Win32.LOADSELL.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください