Skip to content

お住まいの国は?:
Threat Encyclopedia Mobile Page
クイックリンク
TROJ_GENOME
マルウェアタイプ: トロイの木馬型
破壊活動の有無: なし
プラットフォーム: Windows 2000, Windows XP, Windows Server 2003
感染報告の有無 : あり

感染経路: 他のマルウェアからの作成, インターネットからのダウンロード, リムーバブルドライブを介した感染活動

GENOME」は、通常、他のマルウェアによって作成されるトロイの木馬型のダウンローダです。また、「GENOME」は、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

「GENOME」は、様々なWebサイトにアクセスし、ダウンロードを行います。「GENOME」の大半は、トロイの木馬型に分類されますが、ワーム活動やバックドア活動を行うものもあります。バックドアの機能を備えている「GENOME」の亜種は、不正リモートユーザからのコマンドを実行します。


メモリ常駐: あり
ペイロード: URLまたはIPアドレスに接続, ファイルのダウンロード

インストール

マルウェアは、以下のファイルを作成します。

  • %System Root%\confl.log

(註:%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

自動実行方法

マルウェアは、以下のレジストリ値を追加し、自身をBrowser Helper Object(BHO)として登録します。

HKEY_CLASSES_ROOT\CLSID\{2EB1DE5D-91E6-4AD7-9C69-91243E190EB1}
@ = "Abn"

HKEY_CLASSES_ROOT\CLSID\{2EB1DE5D-91E6-4AD7-9C69-91243E190EB1}\
InProcServer32
@ = "%System Root%\Abn.dll" = ThreadingModel = "Apartment"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Browser Helper Objects\{2EB1DE5D-91E6-4AD7-9C69-91243E190EB1}

感染活動

マルウェアは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。

  • %System Root%\Arquivos de programas\Internet Explorer\PLUGINS\iewd.exe

(註:%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

ダウンロード活動

マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。

  • %Windows%\a0x1.exe
  • %System%\Eguis.exe
  • %System%\isssas.cpl

(註:%Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。. %System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

  • http://{BLOCKED}0.{BLOCKED}4.72.61/RealMedia/ads/Creatives/OasDefault/ASACSA_TC-08.06.09/des.jpg
  • http://{BLOCKED}8.{BLOCKED}4.15.228/l.php?aff_id=1&wm_id=0&u=a8fbbde7-2725-43dd-974b-4d36acf41a1d&log_id=1
  • http://{BLOCKED}8.{BLOCKED}4.15.228/l.php?aff_id=1&wm_id=0&u=a8fbbde7-2725-43dd-974b-4d36acf41a1d&log_id=3
  • http://{BLOCKED}8.{BLOCKED}4.15.228/l.php?aff_id=8654&wm_id=03010&u=411f3a52-26ed-4872-9a07-8c966acba234&log_id=1
  • http://{BLOCKED}8.{BLOCKED}4.15.228/l.php?aff_id=8654&wm_id=03010&u=411f3a52-26ed-4872-9a07-8c966acba234&log_id=3
  • http://{BLOCKED}8.{BLOCKED}4.15.228/l.php?aff_id=8654&wm_id=03010&u=a8fbbde7-2725-43dd-974b-4d36acf41a1d&log_id=1
  • http://{BLOCKED}8.{BLOCKED}4.15.228/l.php?aff_id=8654&wm_id=03010&u=a8fbbde7-2725-43dd-974b-4d36acf41a1d&log_id=3
  • http://{BLOCKED}8.{BLOCKED}4.15.228/sw/1/0/0/a8fbbde7-2725-43dd-974b-4d36acf41a1d/0/x.dat
  • http://{BLOCKED}8.{BLOCKED}4.15.228/sw/8654/03010/0/411f3a52-26ed-4872-9a07-8c966acba234/0/x.dat
  • http://{BLOCKED}8.{BLOCKED}4.15.228/sw/8654/03010/0/a8fbbde7-2725-43dd-974b-4d36acf41a1d/0/x.dat
  • http://{BLOCKED}s.{BLOCKED}a.com.br/RealMedia/ads/creatives/OasDefault/090101_Seven_Sky_ROS/Eguis.jpg
  • http://{BLOCKED}s.{BLOCKED}a.com.br/RealMedia/ads/creatives/OasDefault/090101_Seven_Sky_ROS/p.cpl
  • http://{BLOCKED}n.{BLOCKED}e.com/down/uupdate.exe
  • http://{BLOCKED}m.{BLOCKED}lmarkets.com/member.php?u=7586
  • http://{BLOCKED}m.{BLOCKED}ice.com/member.php?u=7586
  • http://www.{BLOCKED}rum.com/member.php?u=29387
  • http://www.{BLOCKED}hardware.net/comunidade/member.php?u=764481
  • http://www.{BLOCKED}eriedemouna.com/images/imag2.gif
  • http://www.{BLOCKED}ho.cc/imagens/0001.gif
  • http://www.{BLOCKED}ho.cc/imagens/0002.gif
  • http://www.{BLOCKED}g.or.kr/sarangbi_bgm/img/update.txt
  • http://www.{BLOCKED}a.net/member.php?u=21040
  • http://{BLOCKED}8.{BLOCKED}4.15.228/l.php?aff_id=1&wm_id=0&u=a8fbbde7-2725-43dd-974b-4d36acf41a1d&log_id=3

対応検索エンジン: 9.200

トレンドマイクロのお客様:

    最新のバージョン(パターンファイル および エンジン)を導入したセキュリティ対策製品を用い、ウイルス検索を実行してください。検出したファイルはすべて「削除」し、検出したウイルスはすべて「駆除」してください。削除対象となるファイルには、トロイの木馬型不正プログラムやスクリプト系、上書き感染型ウイルス(overwriting virus)、ジョーク・プログラムなど「駆除」できない不正プログラムがあげられ、これらのファイルを検出した場合は、すべて「削除」してください。

インターネットをご利用の皆様:

  • トレンドマイクロの「オンラインスキャン」を使って、あなたの PC がウイルスに侵されていないかどうかを簡単にチェックすることが可能です。オンラインスキャンはあなたのコンピュータの中に不正なプログラムが存在するかどうかをチェックします。
  • 今日、PCやネットワークをセキュリティ上の脅威から守り、安全なIT環境を維持するためには、セキュリティ製品を活用することが最も有効な方法となっています。トレンドマイクロは、一般の個人ユーザだけでなく、企業ユーザやインターネット・サービス・プロバイダ(ISP)向けに、ウイルス対策製品やコンテンツセキュリティ対策をご提供しています。トレンドマイクロの製品・サービスについては、こちらをご参照ください。


ご利用はいかがでしたか? アンケートにご協力ください。