Backdoor.Win64.COBEACON.OSLJER
Windows
マルウェアタイプ:
バックドア型
破壊活動の有無:
なし
暗号化:
はい
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
バックドア活動
マルウェアは、不正リモートユーザからの以下のコマンドを実行します。
- Connect and disconnect to a named pipe
- Escalate privileges
- Execute arbitrary commands
- Impersonate tokens
- Inject code into processes
- List drive information
- Manage directories (Create, Remove, Set Directory)
- Manage files (List, Create, Delete, Modify, Move, Copy)
- Manage processes (List, Create, Suspend, Terminate)
- Upload/download files
マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。
- https://d{BLOCKED}torage.firmware.keenetic.pro/Start/ps/INHCOEVIG
情報漏えい
マルウェアは、以下の情報を収集します。
- Username
- Computer Name
- OS Version
- Executable used to load the sample
その他
マルウェアは、以下を実行します。
- It requires being executed in a specific directory and using a specific file name to proceed with its intended routine.
- It connects to the following URL to download its component which it will load in its memory and perform its malicious routine:
- https://d{BLOCKED}torage.firmware.keenetic.pro/Communicate/certenroll/LGKWDB7K
<補足>
バックドア活動
マルウェアは、不正リモートユーザからの以下のコマンドを実行します。
- 名前付きパイプへの接続および切断
- 権限の昇格
- 任意のコマンドの実行
- トークンの偽装
- プロセス内へのコードの注入
- ドライブ情報の一覧表示
- ディレクトリの管理 (作成、削除、ディレクトリの設定)
- ファイルの管理(一覧表示、作成、削除、変更、移動、コピー)
- プロセスの管理(一覧表示、作成、停止、強制終了)
- ファイルのアップロードおよびダウンロード
マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。
- https://d{BLOCKED}torage.firmware.keenetic.pro/Start/ps/INHCOEVIG
情報漏えい
マルウェアは、以下の情報を収集します。
- ユーザ名
- コンピュータ名
- オペレーティングシステム(OS)のバージョン
- 検体をロードするための実行ファイル
その他
マルウェアは、以下を実行します。
- マルウェアが自身の不正活動を継続するためには、特定のファイル名を用いて特定のディレクトリ内で実行される必要があります。
- 以下のURLに接続してコンポーネントをダウンロードし、メモリ内にロードすることにより自身の不正活動を実行します。
- https://d{BLOCKED}torage.firmware.keenetic.pro/Communicate/certenroll/LGKWDB7K
対応方法
手順 1
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「Backdoor.Win64.COBEACON.OSLJER」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください