Win32/Crossza.A
公開日:2019年09月06日
危険度:1
| 定義名称 | Win32/Crossza.A |
|---|---|
| シグネチャ検査による結果だった場合 | Win32/Crossza.A |
| 別名 | Trojan:Win32/Skeeyah.A!bit(Microsoft)、Trojan-Spy.Win32.Zbot.zgqm(Kaspersky) |
| 種別 | トロイの木馬 |
| アドバンスドヒューリスティック検査による結果だった場合 | このオリジナルのトロイを利用した新種、亜種が検出された場合は、「NewHeur_PE」もしくは「Win32/Crossza.Aの亜種 トロイの木馬」という名称で警告が出ます。 |
| 対応時期 | バージョン18274(20181025)以降 |
| 影響を受けるプラットフォーム | Microsoft Windows |
| 概要 | このトロイの木馬は、インターネットから別のマルウェアをダウンロードしようとします。詳しい活動内容については、下記をご参照ください。 |
検出した場合の対処方法
常駐監視を行っている各検査プログラムによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windows のシステムの復元により修復しなければならない可能性があります。
対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。
解説での表記(用語)について
以下の説明文では、環境変数を利用して各ファイルやディレクトリへのパスを表記しています。
例:
%windir% : Windowsオペレーティングシステムがインストールされたディレクトリのパス(インストール時の設定により異なる場合があります)。
%system% : %windir% のサブディレクトリである"System"や"System32"のパス。
%malwarefilepath% : マルウェアプログラムまでのパス。
%malwarefilename% : マルウェアプログラムまでのファイル名。
その他に関しては、以下のページも参考にしてください。
Microsoft Malware Protection Center - Malware help
Common Folder variables
解説
侵入(インストレーション)について
このトロイの木馬は、次のファイルを作成する場合があります。
%allusersprofile%\Application Data\DXDriver.dll (78848 B, Win32/Crossza.A)
%temp%\cryptui.dll (158720 B, Win32/Crossza.A)
%allusersprofile%\Application Data\~D7%variable1%_tmp_XDSFA_XVGVGGH.dmp (158720 B, Win32/Crossza.A)
%temp%\CertMgr.Exe (70992 B)
次のファイルを作成します。
%startup%\Internet Explorer.lnk
このファイルは次のファイルへのショートカットです。
%SystemRoot%\System32\rundll32.exe "%allusersprofile%\Application Data\DXDriver.dll",Flush {DFSWLMOJ-DSWD-XXDK-WQIS-XCKDKKSDLMKJ}
システムが起動するたびに実行されるよう、次のレジストリーエントリーを設定します。
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Adobe Update" = "%SystemRoot%\System32\rundll32.exe "%allusersprofile%\Application Data\DXDriver.dll",Flush {DFSWLMOJ-DSWD-XXDK-WQIS-XCKDKKSDLMKJ}"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Rundll32.exe" = "%SystemRoot%\System32\rundll32.exe "%allusersprofile%\Application Data\DXDriver.dll",Flush {DFSWLMOJ-DSWD-XXDK-WQIS-XCKDKKSDLMKJ}"
次のレジストリーエントリーを設定する場合があります。
[HKEY_CURRENT_USER\Software\Microsoft\Windows Google Service]
"START_DLL" = "%allusersprofile%\Application Data\~D7%variable%_tmp_XDSFA_XVGVGGH.dmp"
"REG_1" = "****==7f7e7d007f007e4f0072377f2b7f2b7f2f7f427f177f0b007f007f007f007f007f007f7f7e7d=="
"REG_2" = "****==7f7e7d007f007e4f0072377f2b7f2b7f2f7f427f177f0b007f007f007f007f007f007f7f7e7d=="
"REG_3" = "****==7f7e7d007f007e4f0072377f2b7f2b7f2f7f427f177f0b007f007f007f007f007f007f7f7e7d=="
"REG_4" = "####==7f7e7d004b170b0b0f4550504e474f514e4a4f514d4d49514e475032161c0d100c10190b502816111b10080c500d1a18160c0b1a0d510f170f007e4f0072377f2b7f2b7f2f7f427f177f0b007f007f007f007f007f007f7f7e7d=="
"REG_5" = "####==7f7e7d007f007e4f0072377f2b7f2b7f2f7f427f177f0b007f007f007f007f007f007f7f7e7d=="
"REG_6" = "####==7f7e7d007f007e4f0072377f2b7f2b7f2f7f427f177f0b007f007f007f007f007f007f7f7e7d=="
"GID" = "MTgxMDA5VDAy="
"GPWD" = "MTgxMDA5VDAy="
"SYSDATE" = 01 01 01 01 01 ...
"SLPTIME" = 5000
%variable%には可変の文字列が入ります。
情報の取得
このトロイの木馬は次の情報を収集します。
コンピューター名
MACアドレス
オペレーティングシステムのバージョン
オペレーティングシステムとシステム設定に関する情報
収集した情報をリモートのコンピューターに送信しようとします。
1つのURLを保持しています。通信にはHTTPプロトコルが使用されます。
ペイロード情報
このトロイの木馬は、インターネットからファイルをダウンロードする場合があります。
ダウンロードしたファイルを次の場所に保存します。
%common_appdata%\_Google_Cloud.TMP
次のレジストリーエントリーを設定します。
[HKEY_CURRENT_USER\Software\Microsoft\Windows Google Service]
"SEC_COMP" = "%common_appdata%\_Google_Cloud.TMP"
このファイルを実行します。
その他の情報
このトロイの木馬は、実行中のプロセスの名前に次の文字列のいずれかが含まれている場合、異なる振る舞いをします。
avgui.exe
avastSvc.exe
bka.exe
BkavSystemService.exe
nis.exe
次のプロセスに自身のプログラムコードを挿入して新たなスレッドを作成、実行する場合があります。
bka.exe
次のコマンドを実行する場合があります。
%systemroot%\System32\Rundll32.exe "%allusersprofile%\Application Data\-DXDriver.dll",Flush {DFSWLMOJ-DSWD-XXDK-WQIS-XCKDKKSDLMKJ}
cmd.exe /c del /a /f "%malware_filepath%"
インストール終了後、元の実行ファイルを削除します。