解析者: Raighen Sanchez   

 別名:

UDS:Exploit.Win32.MS17-010.gen (KASPERSKY)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    ハッキングツール

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 8,243,200 bytes
タイプ EXE
ファイル圧縮 UPX
メモリ常駐 なし
発見日 2024年7月3日
ペイロード ファイルの作成

侵入方法

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

プログラムは、以下のファイルを作成します。

  • {Hacking Tool execution path}\{IP subnet}.txt → contains the results of "scan" command
  • {Hacking Tool execution path}\results.txt

その他

プログラムは、以下を実行します。

  • It scans for HTTP vulnerabilities.
  • It does network and port scanning.
  • It can generate scripts for a specified shell.

マルウェアは、以下のパラメータを受け取ります。

  • Usage:
    • {hacktool filepath} {commands} [flag]
  • Commands:
    • all → use all scan mode (don't have ssh mode)
    • blast → bruteforce
    • completion → generate the autocompletion script for the specified shell
    • exploit → sshlogin, redisexec
    • help → help about any command
    • ping → ping scan to find computer
    • ps → port scan
    • scan {protocol} → scan network using ms17010, proxyfind, snmp, winscan(smb, netbios, oxid), and
    • poc
    • server {http / socks5} → start http server or socks5 server
    • tools {nc}
  • Global Flags:
    • -h, --help
    • --nobar
    • -o, --output {path of result file}
    • --proxy {ip address}
    • -T, --thread
    • -t, --timeout {time in seconds}
    • -v, --verbose
  • If "all" command is used:
    • -H, --host {ip subnet}
    • --hostfile
    • --i, --icmp
    • --noburp
    • --noping
    • --novulscan
    • --passdict
    • -P, --pasword → set postgres password
    • -p, --port {port number}
    • -U, --username → set username
  • If "blast" is used to brute force username and password:
    • ftp
    • ldap
    • mongo
    • mssql
    • mysql
    • postgres
    • rdp
    • redis
    • smb
    • ssh
  • If "completion" command is used:
    • bash
    • fish
    • powershell
    • zsh
  • If "exploit" command is used:
    • ldapsearch → ldap queries
    • redis
    • sshlogin → login using username, password, or key
  • If "ping" command is used:
    • -d, --discover
    • -H, --hosts
    • --hostfile
    • -i, --icmp
  • If "ps" command is used:
    • -b, --banner → return banner information
    • -H, --host
    • --hostfile
    • -i, --icmp
    • --noping → no ping discovery before port scanning
    • --nowebscan → no HTTP scanning
    • -p, --port {port number} → specify which port to scan
    • -s, --syn → use syn scan
    • --vulscan → scan for HTTP vulnerabilities

  対応方法

対応検索エンジン: 9.800
SSAPI パターンバージョン: 2.740.56
SSAPI パターンリリース日: 2024年7月3日

手順 1

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 3

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  •  {Hacking Tool execution path}\{IP subnet}.txt
  • {Hacking Tool execution path}\results.txt

手順 4

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「HackTool.Win64.JISCAN.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください