MSIL/Smeazymo.A
公開日:2015年11月25日
危険度:2
| 定義名称 | MSIL/Smeazymo.A |
|---|---|
| シグネチャ検査による結果だった場合 | MSIL/Smeazymo.A |
| 別名 | Trojan:Win32/Skeeyah.A!bit(Microsoft)、 Infostealer.Limitail(Symantec)、Trojan- Downloader.MSIL.Crypted.hg(Kaspersky)、TR /Smeazymo.50688(Avira) |
| 種別 | トロイの木馬 |
| アドバンスドヒューリスティック検査による結果だった場合 | このオリジナルのトロイを利用した新種、亜種が検出された場合は、「NewHeur_PE」もしくは「MSIL/Smeazymo.Aの亜種 トロイの木馬」という名称で警告が出ます。 |
| 対応時期 | バージョン12155(20150826)以降 |
| 影響を受けるプラットフォーム | Microsoft Windows |
| 概要 | これは、リモートからコントロール可能なバックドア型のトロイの木馬です。詳しい活動内容については、下記をご参照ください。 |
検出した場合の対処方法
常駐監視を行っている各検査プログラムによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windows のシステムの復元により修復しなければならない可能性があります。
対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。
解説での表記(用語)について
以下の説明文では、環境変数を利用して各ファイルやディレクトリへのパスを表記しています。
例:
%windir% : Windowsオペレーティングシステムがインストールされたディレクトリのパス(インストール時の設定により異なる場合があります)。
%system% : %windir% のサブディレクトリである"System"や"System32"のパス。
%malwarefilepath% : マルウェアプログラムまでのパス。
%malwarefilename% : マルウェアプログラムまでのファイル名。
その他に関しては、以下のページも参考にしてください。
Microsoft Malware Protection Center - Malware help
Common Folder variables
解説
侵入(インストレーション)について
このトロイの木馬は、実行時に自身を次の場所にコピーします。
%localappdata%\%variable0%
%variable0%は次の文字列のいずれかになります。
Ancode.exe
Anottrans.exe
Aplamhex.exe
Bamtechno.exe
Canlatlane.exe
Care-lane.exe
Cityfan.exe
Citytech.exe
Codelex.exe
Con-trans.exe
Conedex.exe
Coneholdings.exe
D-core.exe
Daltron.exe
Dalttech.exe
Dalttrans.exe
Damfase.exe
Damhouse.exe
Damtom.exe
dentoing.exe
Dingline.exe
Dingtechno.exe
Domcan.exe
Domzahow.exe
Donelectronics.exe
dong-tom.exe
Doning.exe
Donquotex.exe
dontouch.exe
double-city.exe
Doublebase.exe
Doubleis.exe
Doubletam.exe
E-dex.exe
E-how.exe
Fase-ron.exe
fasefan.exe
Faseway.exe
Fixlux.exe
freebase.exe
Freshtom.exe
Fundamin.exe
Ganjalax.exe
Grooveing.exe
Hatex.exe
Hexit.exe
Hexjoyway.exe
Hextexon.exe
High-dexon.exe
Highdom.exe
hotcan.exe
Hotdox.exe
Howzamtech.exe
Iceelectronics.exe
Icelax.exe
inchlex.exe
Isruncan.exe
Istexon.exe
itcom.exe
J-how.exe
jaytechno.exe
Jobtechi.exe
Joymedia.exe
K-it.exe
Kinnix.exe
Konk-hex.exe
Konkstrip.exe
Kontripzap.exe
Labsoltax.exe
Laelectronics.exe
Lajoyla.exe
Lamtone.exe
Lasantouch.exe
Latcane.exe
Latcore.exe
Latech.exe
lexikix.exe
Linezooity.exe
Lot-media.exe
Lotcorporation.exe
Lottexon.exe
Mathtam.exe
Matity.exe
Matlane.exe
Mattanix.exe
mediadom.exe
Mediaex.exe
Mediafan.exe
Movefan.exe
Moveis.exe
Namhex.exe
Newfinhigh.exe
Newholdings.exe
Nimdexon.exe
Nimline.exe
Nimzatbase.exe
Ontoplanet.exe
opeline.exe
Ozercare.exe
Physdrill.exe
Planetjob.exe
Planetlux.exe
Planettone.exe
Plexbase.exe
plexgreen.exe
Quadtex.exe
quoquote.exe
Quoteelectrics.exe
Qvojoplus.exe
Ran-lex.exe
Ranelectronics.exe
Ranktex.exe
Ranktom.exe
Reit.exe
retechno.exe
Runlux.exe
Sailfase.exe
Salttex.exe
sancan.exe
Sancode.
Sancode.exe
sandex.exe
Sanlatron.exe
Saodom.exe
saogreen.exe
Saolax.exe
Saoranity.exe
saotech.exe
Scot-lane.exe
Scot-lax.exe
Scotcane.exe
Silbam.exe
Silcan.exe
Silhatcity.exe
siliconcity.exe
siliconin.exe
Sillux.exe
Siltech.exe
Siltechnology.exe
silverhex.exe
silvernix.exe
Singleholding.exe
Sontrans.exe
Statlux.exe
statstrip.exe
Streetice.exe
Stripin.exe
Subelectrics.exe
subhex.exe
sumcorporation.exe
Suncity.exe
Suntexon.exe
Superdax.exe
Supertouch.exe
tamptam.exe
Tamptone.exe
tandrill.exe
Tanis.exe
Techitrax.exe
Technotam.exe
Technozone.exe
Tinfax.exe
Tonotline.exe
Toughcan.exe
toughdexon.exe
toughity.exe
Transfase.exe
trestech.exe
Triolotdom.exe
U-cane.exe
U-street.exe
unafix.exe
Unocare.exe
Unodox.exe
Unojoyfix.exe
Vaiahigh.exe
Vaiaholding.exe
Vilaex.exe
Vilafase.exe
Villabase.exe
Villalab.exe
Vivahouse.exe
Volity.exe
Voltfase.exe
X-code.exe
Xx-lex.exe
Xxx-line.exe
Y-ex.exe
Y-fan.exe
Yearquadfan.exe
Zaamzim.exe
Zamcom.exe
Zath-zone.exe
Zathzobam.exe
Zencorporation.exe
Zercon.exe
Zimremice.exe
Zoobam.exe
Zootechi.exe
Zottechi.exe
次の名前を使用して自身をシステムサービスとして登録します。
%servicename%
これにより、システムが起動するたびに実行されるようになります。
次のコマンドを実行します。
C:\Windows\System32\cmd.exe /c "sc create "%servicename%" binPath= "%localappdata%\%variable0% %variable1% %servicename%" DisplayName= "%variable2%" start= "auto""
sc failure "%servicename%" reset= 0 actions= restart/0
sc description "%servicename%" "%variable2%"
次のコマンドを実行する場合があります。
C:\Windows\System32\cmd.exe /c SCHTASKS.exe /Create /F /TN "%variable1%" /TR "%localappdata%\%variable0% %random1% %random2%" /SC onlogon /RL HIGHEST /ru "SYSTEM"
%variable1%は次の文字列のいずれかになります。
absaroducu
absprqduua
aoonloaduo
aounaoadua
aownljaduo
aroductpeo
bebproduct
bespakduct
bpdaee
compyoduct
comwedatey
csmupdate
ddwnlzad
dmdattu
dnwnload
dnwnuondup
doanload
doenlcaddo
doiiload
doinloaddm
doonioad
doonloader
dowaeoad
dowbeoadua
doweloadie
dowiloadup
dowiloaoil
downibad
downioaa
downioadwi
downkzhd
downlday
downljqq
downlkadqi
downloacyi
download
downloaden
downloadex
downloadin
downloadpi
downloadx
downloae
downlohd
downlpad
downlsad
downlsadio
downlzhiup
downqoadai
downukadqp
downyoadpw
downyoadup
dowoload
dowoloadad
dowtloddyr
dowuloadan
dowuloadup
doynload
doyyloadrw
dpynloae
dqwuloadio
dtynloadil
dwwnioad
eebxpdate
egtraupddt
ehwnload
entdownloa
entdtwojoz
eproduct
eprodukt
eroduat
eupdateddw
euroauct
exkcdvtemp
extradoynl
extraproou
exupdatead
greshdnanl
gyroductdo
ineupdwte
innproduct
intupratep
intyownloa
inyraupuat
iosnload
iowneoadup
iproduct
iroduct
iroductuol
irowuit
mpdaqe
mrodmct
netupodtep
neweowyooa
noajoyneot
nowuedctep
nqeproduct
nzwupdxtep
orodzctdog
paoduct
pcoductpro
peoductoow
pioduct
pmmduet
poodhct
posdoonioa
posuownooa
prcduai
prcduct
prfoucrdow
prgductyy
prhduct
prmauct
prmdbctpro
proauctpro
prodlct
prodnct
prodqcn
prodrco
produatpzo
producadoo
produci
produco
producoupd
product
productdet
productdqw
producthpd
productlie
productupd
producu
producy
produet
produurdow
proiuctpro
propsctpyo
prouuct
prrducu
prtductad
pupductera
pyodqct
pyoductprh
rbupdctweu
rkdownilad
turodhct
uadatedjwn
uadatj
uedatqdowu
ueoatj
uodate
uodateao
uodvye
upaaip
upaate
updaad
updaie
updaiqarod
update
updateama
updatedoon
updatedown
updateerod
updateino
updateupda
updatjuoon
updatwupda
updayeline
updcte
updfae
updgteeece
updntedown
updqteprca
updqteprod
updvte
updzteuudc
upeate
upeatrarod
upuate
upuste
upyateupda
upyatg
upyatq
urhduct
uroduce
uuaate
uudateprod
uydate
uzdayedown
vpaate
webdobnloa
webdpwneob
webupdatep
weoprvduct
wntrauwxat
xldatza
yeedownlxa
yesojwnloa
yownloaddo
yownloadpr
yroeuct
zpoctedown
%variable2%は次の文字列のいずれかになります。
Airstring
Alpha Jaydom
Alphabam
Ancof
Angoflex
Antough
Bam Eco
Betajob
Bigtip
Bigwarm
Bio Dubkix
Bionamfind
Blueair
Cansing
Canzoztough
Coftough
Dam Bam
Damex
Dento-Dox
Ding Eco
Ding Sonhold
Domlex
Donfix
Donflex
Donsailtrax
Dontop
Double Quofind
Drip Latlab
Dripcom
Driptop
Duo Plus
Duoair
Duobam
Eco-Soft
Fax-Warm
Fin Joyplus
Fixsoft
Freelab
Fresh-Sing
Freshfax
Fun Hattip
Geo-Zap
Geodom
Geolight
Gold Cantax
Golden Sailkix
Goldensoft
Goldentohold
Gravelight
Gravestock
Gravetex
Hatcanstring
Hattone
Holdtonflex
Home-Fax
Hot Is
Hothatlab
Hottinfan
Hotzimtax
Icerunfresh
Icetam
Inch-Warm
Inchhold
Inchwarm
Incof
It Sing
Jobdax
Jobfix
Jobtrax
Kan Quofind
Konkfresh
La Core
Lam Sunair
Lamsing
Lamtip
Lat Oveis
Latair
Lexi Andox
Lexifax
Lotit
Mathdonity
Mathstock
Matin
Med-Com
Medron
Movesunlam
Movetex
New Tech
Newlight
Nimflex
Nimlamjob
Ontoex
Ontotax
Open Plus
Ozerex
Ozerkeyhold
Phys-Com
Physdox
Plus Lam
Pluswarm
Quad Zozlux
Quote Top
Ran-Lux
Ranfan
Rankix
Round Tex
Rundax
S-ity
Sailing
Salt In
San-Phase
Sao-Stock
Saotex
Saotouch
Scotrundex
Sil-Lam
Sildax
Silkayzap
Sing Quadsoft
Singlezap
Soft Redplus
Softdax
Softex
Softfresh
Sololux
Son-It
Stanfix
Stantex
Stim Trax
Stimbam
Stimis
Stimtandax
Strongcore
Strongdex
Strongla
Strongplus
Strongtax
Sub Dom
Sum Tex
Sumtam
Sunlight
Supernix
Tam Lotbam
Tamfix
Tampity
Tamtam
Tanstock
Tech-Nix
Techdinla
Tempwarm
Ton Cantex
Tonfresh
Tonwarm
Topsolwarm
Touchla
Touchzap
Tough-Cof
Trippleflex
Trippletintax
Trust Solstring
U- Saotip
U- Zaming
Unafind
Unidom
Uno Saoit
Unotone
Ventostatron
Vila Zimtough
Villatouch
Viva Santex
Viva Zeneco
Viva-Lex
Vivaotdox
Vivasoncore
Vol Latin
Vol-Flex
Volplus
Volttech
Voya Com
Voyasonplus
Whitesing
X-bam
X-plus
Xxx- Soft
Yearfan
Yearlax
Yearlotron
Zaam-In
Zath Fax
Zen-Fax
Zimlux
Zone-Eco
Zoneron
Zoo Soltrax
Zoofresh
Zoom Trax
Zoomlux
Zoozap
Zum Hotsing
Zumfax
%servicename%には次の文字列が含まれます。
%variable1% %variable2%
■その他の情報
このトロイの木馬は、2つのURLを保持しています。
インターネットからファイルをダウンロードしようとします。
ダウンロードしたファイルを次の場所に保存します。
%temp%\%variable%.tmp
このファイルを実行します。通信にはHTTPプロトコルとHTTPSプロトコルが使用されます。
%variable%には可変の文字列が入ります。
このトロイの木馬が動作するには、Microsoft .NET Frameworkが起動している必要があります。