Trojan.PS1.SILENTKILL.THHOIBC

2023年8月15日

解析者: Arianne Grace Dela Cruz

別名:

Ransom:BAT/GenRansom.A!hoa (MICROSOFT); Bat.DelShadow.43996 (QUICKHEAL)

プラットフォーム:

Windows

危険度:

ダメージ度:

感染確認数:

システムへの影響:

情報漏えい:

マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい

概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

詳細

ファイルサイズ 10,656 bytes

タイプ PS1

メモリ常駐なし

発見日 2023年8月9日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のプロセスを追加します。

cmd.exe /c assoc .README=txtfile
wbadmin stop job
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup - keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
bcedit /set {default} bootstatuspolicy ignoreallfailures
bcedit /set {default} recoveryenabled no
wevtutil cl Security
wevtutil cl Application
wevtutil cl System

他のシステム変更

マルウェアは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SYSTEM\CurentControlSet\
Control\Terminal Server
fDenyTSConnections = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender\Real-Time Protection
SpyNetReporting = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender\Real-Time Protection
SubmitSamplesConsent = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender\Features
TamperProtection = 4

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender
DisableAntiSpyware = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows Defender
DisableAntiSpyware = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
legalnoticecaption = Welcome

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
legalnoticecaption = Welcome aboard

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Terminal Server\WinStations\
RDP-TCP
PortNumber = 4000

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\
TrendMicro\PC-cillinNTCorp\CurrentVersion\
Misc.
Allow Uninstall = 1

プロセスの終了

マルウェアは、感染コンピュータ上で確認した以下のサービスを終了します。

Backup
Exchange
HvHost
Malwarebytes
Oracle
Quest
Sharepoint
SQL
Veeam
vmcompute
vmicguestinterface
vmicheartbeat
vmickvpexchange
vmicrdv
vmicshutdown
vmictimesync
vmicvmsession
vmicvss
vmms

マルウェアは、感染コンピュータ上でプロセスが常駐されていることを確認した場合、以下のいずれかの文字列を含むプロセスまたはサービスを終了します。

AV related processes:
- acronis
- Agent
- agent
- agntsvc.exe
- agntsvc.exeagntsvc.exe
- agntsvc.exeencsvc.exe
- agntsvc.exeisqlplussvc.exe
- anvir.exe
- anvir64.exe
- arcserve
- barracuda
- ccleaner.exe
- ccleaner64.exe
- Endpoint
- endpoint
- Kaspersky
- Malware
- microsoft
- monitor
- protect
- secure
- security
- segurda
- Veeam
- veeam
adobe
AlwaysOn
anydesk
apache
apache.exe
autodesk
Backup
backup.exe
center
chrome
Core.Service
database
dbeng50.exe
dbsnmp.exe
def
dev
encsvc.exe
engine
exchange
far.exe
firefox
firefoxconfig.exe
Framework
http
infopath.exe
isqlplussvc.exe
java
kingdee.exe
logmein
manage
Mongo
msaccess.exe
msftesql.exe
mspub.exe
mydesktopqos.exe
mydesktopservice.exe
mysqld.exe
mysqld-nt.exe
mysqld-opt.exe
ncsvc.exe
ocautoupds.exe
ocomm.exe
OCS Inventory
ocssd.exe
office
oracle.exe
oracle.exe
procexp.exe
QBCF
QBData
QBDB
QuickBooks
regedit.exe
sage
server
silverlight
solarwinds
sprout
sqbcoreservice.exe
sql
SQL
sql.exe
sqlagent.exe
sqlbrowser.exe
sqlserver.exe
sqlservr.exe
sqlwriter.exe
synctime.exe
tbirdconfig.exe
teamviewer
tomcat.exe
tomcat6.exe
u8.exe
ufida.exe
visio.exe
vnc
web
xfssvccon.exe

その他

マルウェアは、以下を実行します。

It adds the following local group accounts with Administrator privileges:
- Administrators
- Remote Desktop Users
It enables the firewall rule that allows RDP connections.
It sends the MAC address of the victim via UDP to the broadcast IP.
It modifies the Administrator user passsword.
It modifies the Windows Defender settings to disable malware scanning and detection.
It disables the following AV-related services:
- WdNisSvc
- WinDefend
- Sense
- WdnisDrv
- wdfilter
- wdboot
It deletes the ComputerRestorePoint to prevent system recovery.
It attempts to uninstall the following AV programs:
- Bitdefender
- TrendMicro
- Kaspersky
It enables PowerShell remoting.
It enables WinRm execution.
It checks if a specific IP in its network has a running WinDefend service.
It modifies the machine's lock screen title into the following strings:
- Welcome
- Welcome aboard
It deletes all files in %User Temp%.
It modifies the listening RDP port to 4000 and sets a Firewall rule to allow inbound connections.
It modifies the Windows Defender settings to disable scanning of files and processes in all drives.

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

対応方法

対応検索エンジン: 9.800

初回 VSAPI パターンバージョン 18.624.02

初回 VSAPI パターンリリース日 2023年8月9日

VSAPI OPR パターンバージョン 18.625.00

VSAPI OPR パターンリリース日 2023年8月10日

手順 1

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

「Trojan.PS1.SILENTKILL.THHOIBC」で検出したファイル名を確認し、そのファイルを終了します。

[ 詳細 ]

すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、こちらをご参照下さい。
検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。

手順 3

変更されたレジストリ値を修正します。

[ 詳細 ]

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
事前に意図的に対象の設定を変更していた場合は、意図するオリジナルの設定に戻してください。変更する値が分からない場合は、システム管理者にお尋ねいただき、レジストリの編集はお客様の責任として行なって頂くようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

HKEY_LOCAL_MACHINE\SYSTEM\CurentControlSet\Control\Terminal Server
fDenyTSConnections = 0
fDenyTSConnections = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection
SpyNetReporting = 0
SpyNetReporting = {Default Value}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection
SubmitSamplesConsent = 0
SubmitSamplesConsent = {Default Value}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features
TamperProtection = 4
TamperProtection = {Default Value}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender
DisableAntiSpyware = 1
DisableAntiSpyware = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
DisableAntiSpyware = 1
DisableAntiSpyware = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
legalnoticecaption = Welcome
legalnoticecaption = {Default value}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
legalnoticecaption = Welcome aboard
legalnoticecaption = {Default value}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TCP
PortNumber = 4000
PortNumber = {Default value}
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\TrendMicro\PC-cillinNTCorp\CurrentVersion\Misc.
Allow Uninstall = 1
Allow Uninstall = 0

このマルウェアが変更したレジストリ値の修正：

「レジストリエディタ」を起動します。
- Windows 2000、XP および Server 2003 の場合：
  [スタート]-[ファイル名を指定して実行]を選択し、regedit と入力し、Enter を押します。
- Windows Vista、7、Server 2008 の場合：
  [スタート]をクリックし、検索入力欄に regedit と入力し、Enter を押します。
- Windows 8、8.1 および Server 2012 の場合：
  画面の左下隅を右クリックし、[ファイル名を指定して実行]を選択します。入力ボックスに regedit と入力し、Enter を押します。
  ※regedit は半角英数字で入力する必要があります（大文字／小文字は区別されません）。
レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE\SYSTEM\CurentControlSet\Control\Terminal Server
右側のパネルで以下のレジストリ値を検索します。
fDenyTSConnections = 0
[値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
fDenyTSConnections = 1
レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection
右側のパネルで以下のレジストリ値を検索します。
SpyNetReporting = 0
[値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
SpyNetReporting = {Default Value}
再び、右側のパネルで以下のレジストリ値を検索します。
SubmitSamplesConsent = 0
[値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
SubmitSamplesConsent = {Default Value}
レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features
右側のパネルで以下のレジストリ値を検索します。
TamperProtection = 4
[値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
TamperProtection = {Default Value}
レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender
右側のパネルで以下のレジストリ値を検索します。
DisableAntiSpyware = 1
[値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
DisableAntiSpyware = 0
レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
右側のパネルで以下のレジストリ値を検索します。
DisableAntiSpyware = 1
[値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
DisableAntiSpyware = 0
レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
右側のパネルで以下のレジストリ値を検索します。
legalnoticecaption = Welcome
[値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
legalnoticecaption = {Default value}
再び、右側のパネルで以下のレジストリ値を検索します。
legalnoticecaption = Welcome aboard
[値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
legalnoticecaption = {Default value}
レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TCP
右側のパネルで以下のレジストリ値を検索します。
PortNumber = 4000
[値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
PortNumber = {Default value}
レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\TrendMicro\PC-cillinNTCorp\CurrentVersion\Misc.
右側のパネルで以下のレジストリ値を検索します。
Allow Uninstall = 1
[値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
Allow Uninstall = 0
レジストリエディタを閉じます。

手順 4

最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Trojan.PS1.SILENTKILL.THHOIBC」と検出したファイルはすべて削除してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

ご利用はいかがでしたか？　アンケートにご協力ください

Trojan.PS1.SILENTKILL.THHOIBC

概要

詳細

対応方法

リソース

サポート

会社概要

東京本社

Trojan.PS1.SILENTKILL.THHOIBC

概要

詳細

対応方法

リソース

サポート

会社概要

東京本社

The Americas

Asia Pacific

Europe, Middle East & Africa