ウイルス情報

ウイルス名 危険度

JS/Exploit-Blacole.cw

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
7272
対応定義ファイル
(現在必要とされるバージョン)
7287 (現在7656)
対応エンジン 5.4.00.1158以降 (現在5600) 
エンジンバージョンの見分け方
別名 Avast - JS:Decode-BHX [Trj] Avira - JS/Dldr.Agent.bpe Ikarus - Exploit.JS.CVE-2010-0806.Kit Microsoft - Exploit:JS/DonxRef.A
情報掲載日 2013/12/16
発見日(米国日付) 2012/07/03
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・JS/Exploit-Blacole.cwはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

TOPへ戻る

ウイルスの特徴

・「JS/Exploit-Blacole.cw」は任意のコードを実行できる脆弱性を利用し、他のペイロードをダウンロードする悪質なJavaコードです。また、Java、PDF、Flashプラグインなど、インストールされているコンポーネントを確認し、脆弱なバージョンのJavaやFlashを探します。

JS/Exploit-Blacole.cw」は、「Gong Da」または「KaiXin」と呼ばれるエクスプロイトキットのコンポーネントを検出する可能性があります。GIF、JPGなどの画像ファイル形式を解析しながら、Java Runtime Environment(JRE)の脆弱性を利用します。

・「JS/Exploit-Blacole.cw」は、このhtmlファイルを配信しているサイトへのアクセスに使用するブラウザにインストールされているJavaおよびFlashのバージョンを確認します。次に、システムを利用するJavaアプレットとswfファイルをロードします。また、クッキーを使用して、悪質なコードがシステムで1回だけ実行されるようにします。

・「JS/Exploit-Blacole.cw」は、以下の脆弱性を利用して、悪質なペイロードを実行します。

  • CVE-2012-1535
  • CVE-2012-0507
  • CVE-2012-4681
  • CVE-2012-1723

・「JS/Exploit-Blacole.cw」は乗っ取られたWebサイトに埋め込まれている難読化されたJavaScriptです。ユーザを悪質なWebサイトにリダイレクトして他のペイロードをダウンロードさせたり、ブラウザエクスプロイトを実行したりします。

・「Backhole」エクスプロイトキットは、ターゲットコンピュータにインストールされているソフトウェアの脆弱性を利用します。脆弱性の利用に成功すると、他の悪質なファイルをダウンロードして実行する可能性があります。

・実行時、JavaScriptをロードし、ユーザを以下のWebサイトにリダイレクトして他のペイロードをダウンロードしようとします。

  • hxxp://www.m[削除]dj.com/svchas.exe

・ペイロードは以下の場所にダウンロードされます。

  • %TEMP%\svchas[1].exe

・ダウンロードされたペイロードにはバックドアが組み込まれており、リモート攻撃者とコマンドを送受信するため、以下のIPで受信待機を行います。

  • 59.188.[削除].30:8021

・以下は、攻撃者がシステム情報を収集するために使用するコマンドで、収集されたシステム情報をリモート攻撃者に送信する可能性があります。

  • GetUserNameA
  • GetSystemInfo
  • InternetGetCookieA
  • gethostname
  • gethostbyname
  • gethostbyaddr

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・JS/Exploit-Blacole.cwという名前で検出されるJavaScriptが行う悪質な活動には、ファイル、スクリプトのダウンロードと実行などがあります。

TOPへ戻る

感染方法

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電子メールなどを通じて配布されます。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

TOPへ戻る