解析者: Jay Garcia   
 別名:

Win32/Farfli.CJT trojan(NOD32); VirTool:Win32/CeeInject.TD!bit(MICROSOFT)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    バックドア型

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、ワーム活動の機能を備えていません。

ただし、情報公開日現在、このWebサイトにはアクセスできません。

マルウェアは、情報収集する機能を備えていません。

マルウェアは、実行後、自身を削除します。

  詳細

ファイルサイズ 113,664 bytes
タイプ EXE
メモリ常駐 はい
発見日 2019年5月28日
ペイロード URLまたはIPアドレスに接続, ファイルの作成, プロセスの強制終了, メッセージボックスの表示

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %Program Files%\java.exe

(註:%Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。C:\Program Files in Windows 2000(32-bit)、Server 2003(32-bit)、XP、Vista(64-bit)、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)、8.1(64-bit)、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files(x86)" です。)

マルウェアは、以下のプロセスを追加します。

  • %system%\cmd.exe /c del {malware path and file name} > nul
  • %Program Files%\java.exe

(註:%Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。C:\Program Files in Windows 2000(32-bit)、Server 2003(32-bit)、XP、Vista(64-bit)、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)、8.1(64-bit)、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files(x86)" です。)

自動実行方法

マルウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Java(TM) Platform Sa 8.02
DisplayName = "Oracle Corporation"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Java(TM) Platform Sa 8.02
ImagePath = "%Program Files%\java.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Java(TM) Platform Sa 8.02
Start = "SERVICE_AUTO_START"

マルウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Java(TM) Platform Sa 8.02

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Java(TM) Platform Sa 8.02\MarkTime

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Java(TM) Platform Sa 8.02\Description

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\Java(TM) Platform Sa 8.02
MarkTime = "{date of execution}"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\Java(TM) Platform Sa 8.02
Description = "Java(TM) Platform SE 8 Oracle Corporation"

マルウェアは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\W32Time
Type = "16"

(註:変更前の上記レジストリ値は、「20」となります。)

感染活動

マルウェアは、ワーム活動の機能を備えていません。

バックドア活動

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

  • {BLOCKED}.{BLOCKED}.110.250:7722

ただし、情報公開日現在、このWebサイトにはアクセスできません。

ルートキット機能

マルウェアは、ルートキット機能を備えていません

プロセスの終了

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

  • 360sd.exe
  • 360tray.exe
  • 360安全卫士
  • 360杀毒
  • ad-watch.exe
  • Ad-watch反间谍
  • ashDisp.exe
  • Avast网络安全
  • avcenter.exe
  • AVG
  • avgwdsvc.exe
  • avp.exe
  • AYAgent.aye
  • baiduSafeTray.exe
  • BaiduSd.exe
  • BitDefender
  • cfp.exe
  • Comodo杀毒
  • DR.WEB
  • egui.exe
  • F-Secure
  • f-secure.exe
  • K7TSecurity.exe
  • K7杀毒
  • knsdtray.exe
  • KSafeTray.exe
  • KvMonXP.exe
  • kxetray.exe
  • Mcshield.exe
  • mssecess.exe
  • NOD32
  • Outpostacs.exe
  • PSafe
  • PSafe反病毒
  • QQPCRTP.exe
  • QQ电脑管家
  • QUHLPSVC.EXE
  • QuickHeal
  • RavMonD.exe
  • remupd.exe
  • rtvscan.exe
  • SPIDer.exe
  • SysTray.exe
  • TMBMSRV.exe
  • UnThreat
  • UnThreat.exe
  • V3Svc.exe
  • vsserv.exe
  • 卡巴
  • 可牛
  • 安博士V3
  • 小红伞
  • 微软MSE
  • 江民
  • 熊猫卫士
  • 瑞星
  • 百度卫士
  • 百度杀毒
  • 诺顿
  • 趋势
  • 金山安全卫士
  • 金山毒霸
  • 韩国胶囊
  • 麦咖啡

情報漏えい

マルウェアは、情報収集する機能を備えていません。

その他

マルウェアは、実行後、自身を削除します。

マルウェアは、脆弱性を利用した感染活動を行いません。

マルウェアは、以下を実行します。

  • マルウェアは、以下の機能を備えています。
    • ウィンドウの位置の変更
    • サービスの作成
    • メッセージボックスの表示
    • ファイルのダウンロード
    • ファイルの実行
    • ビープ音を鳴らす
    • キー入力操作情報の記録
    • レジストリ値の変更
    • CDドライブの開閉
    • マウスボタンのスワップ
    • モニターのオンおよびオフ
    • マスター・ブート・レコード(MBR)のデータの消去

  対応方法

対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 15.140.05
初回 VSAPI パターンリリース日 2019年5月29日
VSAPI OPR パターンバージョン 15.141.00
VSAPI OPR パターンリリース日 2019年5月30日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

Master Boot Record(MBR)を修復します。

Master Boot Record(MBR)の修復:

• Windows 2000、XP および Server 2003 の場合:

  1. 最新のバージョン(エンジン、パターンファイル)を導入したセキュリティ対策製品を用いてウイルス検索を実行してください。検出したパス名およびファイル名を確認し、メモ等をとってください。
  2. Windows のインストール CD を使用して、コンピュータを再起動します。
  3. [セットアップへようこそ] 画面で、修復の R キーを押します。
    註: Windows 2000 の場合、R キーを入力後 C キーを入力し、[修復オプション]から[回復コンソール]を選択します。)
  4. 修復する Windows がインストールされているドライブを選択します(通常は "1" を選択します)。.
  5. 管理者のパスワードを入力し、Enter を押します。管理者パスワードがない場合は、何も入力せずに Enter を押します。
  6. コマンドプロンプトに、上記で確認したマルウェアが検出されたドライブ名を入力します。
  7. 以下のコマンドを入力し、Enter を押します。
    fixmbr <感染したドライブ>
    ※"fixmbr" と "<感染したドライブ>" の間に半角スペースを入れてください。
    ※"<感染したドライブ>" とは、このマルウェアが感染したブータブル・ドライブのことです。ドライブが特定できない場合、プライマリ・ブート・ドライブにあるマスター・ブート・レコードが上書きされている可能性があります。
  8. コマンドプロンプトに exit と入力し、コンピュータを通常どおり再起動してください。

• Windows Vista および 7、Windows Server 2008の場合:

  1. 最新のバージョン(エンジン、パターンファイル)を導入したセキュリティ対策製品を用いてウイルス検索を実行し、検出したマルウェアのパス名およびファイル名を確認し、メモ等をとってください。
  2. Windows のインストール DVD を使用して、コンピュータを再起動します。
  3. 再起動するかどうかの確認画面が表示されたら、いずれかのキーを入力し、表示される指示に従います。
  4. Windows のインストール DVD によっては、インストールする言語の選択が必要になる場合があります。 Windows のインストール画面で、言語、ロケール情報およびキーボードの種類と入力方法を選択します。[コンピュータを修復する]をクリックします。
  5. [Windows の起動に伴う問題の修復用の回復ツールを使用します。]を選択します。オペレーティングシステム(OS)を選択し、[次へ]をクリックします。
  6. [スタートアップ修復]画面が表示された場合、[キャンセル]-[はい]-[完了]をクリックします。
  7. [システム回復オプション]メニューで、[コマンドプロンプト]をクリックします。
  8. 以下のコマンドを入力し、Enter を押します。
    BootRec.exe /fixmbr
  9. コマンドプロンプトに exit と入力し、Enter を押して、コマンドプロンプト画面を閉じてください。
  10. [再起動]をクリックし、コンピュータを通常どおり再起動してください。

• Windows 8、8.1、Server 2012 の場合:

  1. Windows のインストールDVDを使用して、コンピュータを再起動します。
  2. インストールDVDによっては、インストール言語の選択が必要な場合があります。その場合、Windowsのインストールウィンドウで、言語、ロケール、キーボードレイアウトや入力方法を選択します。[次へ]-[コンピューターの修復]をクリックします。
  3. [トラブルシューティング]-[詳細オプション]-[コマンドプロンプト]を選択。
  4. [コマンドプロンプト]ウィンドウで、以下を入力し、Enterを押します。
    BootRec.exe /fixmbr
  5. 上記で検出されたすべてのファイルについてこの手順を繰り返します。
  6. exitを入力し、Enterを押し、コマンドプロンプト画面を閉じます。
  7. [再起動]をクリックし、コンピュータを通常起動します。

手順 3

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 4

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 5

不明なレジストリキーを削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
    • Java(TM) Platform Sa 8.02
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Java(TM) Platform Sa 8.02
    • MarkTime
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Java(TM) Platform Sa 8.02
    • Description

手順 6

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Java(TM) Platform Sa 8.02
    • MarkTime = {date of execution}
  • In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Java(TM) Platform Sa 8.02
    • Description = Java(TM) Platform SE 8 Oracle Corporation

手順 7

変更されたレジストリ値を修正します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
事前に意図的に対象の設定を変更していた場合は、意図するオリジナルの設定に戻してください。変更する値が分からない場合は、システム管理者にお尋ねいただき、レジストリの編集はお客様の責任として行なって頂くようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W32Time
    • From: Type = 16
      To: Type = 20

手順 8

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「Backdoor.Win32.ZEGOST.AMY」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください