解析者: Cris Nowell Pantanilla   

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    ワーム

  • 破壊活動の有無:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ワームは、作成されたファイルを実行します。

  詳細

ファイルサイズ 1,895,424 bytes
タイプ EXE
メモリ常駐 はい
発見日 2018年12月11日
ペイロード ファイルの作成, ファイルの実行

侵入方法

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、以下のコンポーネントファイルを作成します。

  • %Temp%\key8854321.pub
  • %Windows%\inf\averbh_noav.pnf
  • %Windows%\hdv_725x.sys -> normal file

(註:%Temp%フォルダは、一時的にファイルが保存されるフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Windows\Temp" です。.. %Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %System%\MaintenaceSrv32.exe - 32 bit system
  • %System%\MaintenaceSrv64.exe - 64 bit system

(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

感染活動

ワームは、以下の共有フォルダ内に自身のコピーを作成します。

  • ADMIN$
  • C$\WINDOWS
  • D$\WINDOWS
  • E$\WINDOWS

作成活動

ワームは、以下のファイルを作成します。

  • %System%\{wiper name} ← used to overwrite the disk
      where {wiper name} is any of the following:
    • _tdibth.exe
    • _wialx002.exe
    • acpipmi2z.exe
    • af0038bdax.exe
    • arcx6u0.exe
    • averfix2h826d_noaverir.exe
    • hidirkbdmvs2.exe
    • mdamx_5560.exe
    • mdmgcs_8.exe
    • mdmusrk1g5.exe
    • megasasop.exe
    • netbxndxlg2.exe
    • prncaz90x.exe
    • prngt6_4.exe
    • prnlx00ctl.exe
    • prnsv0_56.exe
    • tsprint_ibv.exe
    • vsmxraid.exe
    • wiacnt7001.exe
  • %System%\{network communicator name} -> Used to connect to its C&C server
    where the {network communicator name} can be any of the following:
    • netnbdrve.exe
    • prnod802.exe
    • netrndiscnt.exe
    • netrtl42l.exe
    • mdmadccnt.exe
    • prnca00.exe
    • bth2bht_ibv32.exe
    • cxfalcon_ibL32.exe
    • mdmsupr30.exe
    • digitalmediadevicectl.exe
    • mdmetech2dmv.exe
    • netb57vxx.exe
    • winwsdprint.exe
    • prnkwy005.exe
    • composite005.exe
    • mdmar1_ibv32.exe
    • prnle444.exe
    • kscaptur_ibv32.exe
    • mdmzyxlga.exe
    • usbvideob.exe
    • input_ibv48.exe
    • prnok002_ibv.exe
    • averfx2swtvZ.exe
    • wpdmtp_ibv32.exe
    • mdmti_ibv32.exe
    • printupg_ibv32.exe
    • wiabr788.exe

(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

ワームは、作成されたファイルを実行します。

その他

ワームは、以下のサービスを追加し、実行します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\MaintenaceSrv
Start = 2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\MaintenaceSrv
ImagePath = "{drop copy} LocalService" or "{malware path and filename} LocalService"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\MaintenaceSrv
DisplayName = "Maintenace Host Service"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\MaintenaceSrv
DependOnService = "RpcSs"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\MaintenaceSrv
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\MaintenaceSrv
Description = "The Maintenace Host service is hosted in the LSA process. The service provides key process isolation to private keys and associated cryptographic operations as required by the Common Criteria. The service stores and uses long-lived keys in a secure process compl0"

  対応方法

対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 14.682.08
初回 VSAPI パターンリリース日 2018年12月11日
VSAPI OPR パターンバージョン 14.683.00
VSAPI OPR パターンリリース日 2018年12月12日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 3

Master Boot Record(MBR)を修復します。

Master Boot Record(MBR)の修復:

• Windows 2000、XP および Server 2003 の場合:

  1. 最新のバージョン(エンジン、パターンファイル)を導入したセキュリティ対策製品を用いてウイルス検索を実行してください。検出したパス名およびファイル名を確認し、メモ等をとってください。
  2. Windows のインストール CD を使用して、コンピュータを再起動します。
  3. [セットアップへようこそ] 画面で、修復の R キーを押します。
    註: Windows 2000 の場合、R キーを入力後 C キーを入力し、[修復オプション]から[回復コンソール]を選択します。)
  4. 修復する Windows がインストールされているドライブを選択します(通常は "1" を選択します)。.
  5. 管理者のパスワードを入力し、Enter を押します。管理者パスワードがない場合は、何も入力せずに Enter を押します。
  6. コマンドプロンプトに、上記で確認したマルウェアが検出されたドライブ名を入力します。
  7. 以下のコマンドを入力し、Enter を押します。
    fixmbr <感染したドライブ>
    ※"fixmbr" と "<感染したドライブ>" の間に半角スペースを入れてください。
    ※"<感染したドライブ>" とは、このマルウェアが感染したブータブル・ドライブのことです。ドライブが特定できない場合、プライマリ・ブート・ドライブにあるマスター・ブート・レコードが上書きされている可能性があります。
  8. コマンドプロンプトに exit と入力し、コンピュータを通常どおり再起動してください。

• Windows Vista および 7、Windows Server 2008の場合:

  1. 最新のバージョン(エンジン、パターンファイル)を導入したセキュリティ対策製品を用いてウイルス検索を実行し、検出したマルウェアのパス名およびファイル名を確認し、メモ等をとってください。
  2. Windows のインストール DVD を使用して、コンピュータを再起動します。
  3. 再起動するかどうかの確認画面が表示されたら、いずれかのキーを入力し、表示される指示に従います。
  4. Windows のインストール DVD によっては、インストールする言語の選択が必要になる場合があります。 Windows のインストール画面で、言語、ロケール情報およびキーボードの種類と入力方法を選択します。[コンピュータを修復する]をクリックします。
  5. [Windows の起動に伴う問題の修復用の回復ツールを使用します。]を選択します。オペレーティングシステム(OS)を選択し、[次へ]をクリックします。
  6. [スタートアップ修復]画面が表示された場合、[キャンセル]-[はい]-[完了]をクリックします。
  7. [システム回復オプション]メニューで、[コマンドプロンプト]をクリックします。
  8. 以下のコマンドを入力し、Enter を押します。
    BootRec.exe /fixmbr
  9. コマンドプロンプトに exit と入力し、Enter を押して、コマンドプロンプト画面を閉じてください。
  10. [再起動]をクリックし、コンピュータを通常どおり再起動してください。

• Windows 8、8.1、Server 2012 の場合:

  1. Windows のインストールDVDを使用して、コンピュータを再起動します。
  2. インストールDVDによっては、インストール言語の選択が必要な場合があります。その場合、Windowsのインストールウィンドウで、言語、ロケール、キーボードレイアウトや入力方法を選択します。[次へ]-[コンピューターの修復]をクリックします。
  3. [トラブルシューティング]-[詳細オプション]-[コマンドプロンプト]を選択。
  4. [コマンドプロンプト]ウィンドウで、以下を入力し、Enterを押します。
    BootRec.exe /fixmbr
  5. 上記で検出されたすべてのファイルについてこの手順を繰り返します。
  6. exitを入力し、Enterを押し、コマンドプロンプト画面を閉じます。
  7. [再起動]をクリックし、コンピュータを通常起動します。

手順 4

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 5

不明なレジストリキーを削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services
    • MaintenaceSrv

手順 6

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %Temp%\key8854321.pub
  • %Windows%\inf\averbh_noav.pnf
  • %Windows%\hdv_725x.sys

手順 7

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TROJAN.WIN32.DISTTRACK.AA」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください