Trojan.Win32.MALREP.THOABAAI
別名:
Trojan.MalPack.GS (Malwarebytes), W32/Kryptik.GPMP!tr (Fortinet), Trojan-Ransom.Downloader.Stop (Ikarus)
プラットフォーム:
Windows
危険度:
ダメージ度:
感染力:
感染確認数:
情報漏えい:
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
感染経路 他のマルウェアからの作成
マルウェアは、リモートサイトから他の不正プログラムにダウンロードされ、コンピュータに侵入します。
マルウェアは、特定のレジストリ値を追加し、タスクマネージャを無効にします。これにより、通常はタスクマネージャを介して行うマルウェアのプロセスの終了が実行できなくなります。
マルウェアは、ユーザが特定のWebサイトにアクセスできないように、感染コンピュータのHOSTSファイルを改変します。
詳細
ファイルサイズ 284,160 bytes
タイプ EXE
メモリ常駐 なし
発見日 2019年1月21日
ペイロード 画像の表示, HOSTSファイルの改変
侵入方法
マルウェアは、リモートサイトから以下の不正プログラムによりダウンロードされ、コンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成し実行します。
- %AppDataLocal%/script.ps1 ← powershell scripts
- %User Temp%/delself.bat ← batch file to remove itself in the system.
(註:%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)
マルウェアは、以下のプロセスを追加します。
- powershell -Command Set-ExecutionPolicy -Scope CurrentUser RemoteSigned
- powershell -NoProfile -ExecutionPolicy Bypass -Command "& {Start-Process PowerShell -ArgumentList '-NoProfile -ExecutionPolicy Bypass -File ""C:\Users\admin\AppData\Local\script.ps1""' -Verb RunAs}"
- "C:\Program Files\Windows Defender\mpcmdrun.exe" -removedefinitions -all
- cmd.exe /C "%UserTemp%\delfself.bat"
他のシステム変更
マルウェアは、以下のレジストリ値を追加し、タスクマネージャを無効にします。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableTaskmgr = 1
HOSTSファイルの改変
マルウェアは、ユーザが以下のWebサイトにアクセスできないように、感染コンピュータのHOSTSファイルを改変します。
- ds.download.windowsupdate.com
- www.update.microsoft.com
- download.windowsupdate.com
- fe2.update.microsoft.com
- whoer.net
- www.whoer.net
- windowsupdate.com
- www.windowsupdate.com
- microsoft.com
- www.microsoft.com
- www.windowsupdate.com
- windowsupdate.com
- www.microsoft.com
- www.360totalsecurity.com
- 360totalsecurity.com
- www.gratissoftwaresite.com
- gratissoftwaresite.com
- tweakers.net
- www.tweakers.net
- www.avg.com
- avg.com
- www.bestevirusscanner.net
- bestevirusscanner.net
- www.consumentenbond.nl
- consumentenbond.nl
- cheaplicensing.com
- www.cheaplicensing.com
- global.ahnlab.com
- www.global.ahnlab.com
- www.ahnlab.com
- ahnlab.com
- downloads.tomsguide.com
- www.downloads.tomsguide.com
- www.download82.com
- download82.com
- download.cnet.com
- www.download.cnet.com
- www.avast.com
- avast.com
- support.avast.com
- www.support.avast.com
- www.consumentenbond.com
- consumentenbond.com
- www.goedkoopsteantivirus.com
- goedkoopsteantivirus.com
- www.toptenreviews.com
- toptenreviews.com
- www.antivirus.nl
- antivirus.nl
- www.bol.com
- bol.com
- www.avira.com
- avira.com
- www.bitdefender.com
- bitdefender.com
- licentie2go.com
- www.licentie2go.com
- www.bullguard.com
- bullguard.com
- www.kpn.com
- kpn.com
- virusscanner.software
- www.virusscanner.software
- www.comodo.com
- comodo.com
- www.drweb.com
- drweb.com
- download.drweb.com
- www.download.drweb.com
- vms.drweb.com
- www.vms.drweb.com
- alternativeto.ne
- www.alternativeto.ne
- softonic.com
- www.softonic.com
- www.softpedia.com
- softpedia.com
- www.flipkart.com
- flipkart.com
- virustotal.com
- www.virustotal.com
- www.emsisoft.com
- emsisoft.com
- www.antimalwaresoftware.com
- antimalwaresoftware.com
- www.pcwebplus.com
- pcwebplus.com
- www.pcmag.com
- pcmag.com
- www.eset.com
- eset.com
- www.surfspot.com
- surfspot.com
- www.topantivirus.com
- topantivirus.com
- www.techzine.com
- techzine.com
- www.eset.com
- eset.com
- www.fortinet.com
- fortinet.com
- fortiguard.com
- www.fortiguard.com
- forticlient.com
- www.forticlient.com
- www.kpn.com
- kpn.com
- www.kaspersky.com
- kaspersky.com
- www.consumentenbond.com
- consumentenbond.com
- www.surfspot.com
- surfspot.com
- www.topreviews.com
- topreviews.com
- www.amecomputers.com
- amecomputers.com
- www.instantsoftware.com
- instantsoftware.com
- www.malwarebytes.com
- malwarebytes.com
- www.malwarebytes.org
- malwarebytes.org
- download.cnet.com
- www.download.cnet.com
- www.bleepingcomputer.com
- bleepingcomputer.com
- www.majorgeeks.com
- majorgeeks.com
- www.seniorweb.com
- seniorweb.com
- www.amazon.com
- amazon.com
- www.techspot.com
- techspot.com
- filehippo.com
- www.filehippo.com
- www.idealsoftware.com
- idealsoftware.com
- uptodown.com
- www.uptodown.com
- www.mcafee.com
- mcafee.com
- home.mcafee.com
- www.home.mcafee.com
- www.coolblue.com
- coolblue.com
- www.pcmag.com
- pcmag.com
- www.sky.com
- sky.com
- norton.com
- www.norton.com
- www.kieskeurig.com
- kieskeurig.com
- internetsecurity.xfinity.com
- www.internetsecurity.xfinity.com
- www.symantec.com
- symantec.com
- www.campusshop.com
- campusshop.com
- www.pandasecurity.com
- pandasecurity.com
- www.paradigit.com
- paradigit.com
- www.sophos.com
- sophos.com
- home.sophos.com
- www.home.sophos.com
- sophos.virtualsecurity.com
- www.sophos.virtualsecurity.com
- www.gratissoftware.com
- gratissoftware.com
- www.seniorweb.com
- seniorweb.com
- www.softwareadvice.com
- softwareadvice.com
- www.symantec.com
- symantec.com
- hostedendpoint.spn.com
- www.hostedendpoint.spn.com
- www.g2crowd.com
- g2crowd.com
- www.trendmicro.com
- trendmicro.com
- www.goedkoopsteantivirus.com
- goedkoopsteantivirus.com
- download.cnet.com
- www.download.cnet.com
- www.ign.com
- ign.com
- www.trusteer.com
- trusteer.com
- my.webrootanywhere.com
- www.my.webrootanywhere.com
- www.webroot.com
- webroot.com
- www.techradar.com
- techradar.com
- support.microsoft.com
- www.support.microsoft.com
- www.microsoft.com
- microsoft.com
- pulse.microsoft.com
- www.pulse.microsoft.com
- pcmweb.com
- www.pcmweb.com
- www.security.com
- security.com
- ccm.net
- www.ccm.net
- www.enigmasoftware.com
- enigmasoftware.com
- howtoremove.guide
- www.howtoremove.guide
- www.2-viruses.com
- 2-viruses.com
- www.2-spyware.com
- 2-spyware.com
- sensorstechforum.com
- www.sensorstechforum.com
- greatis.com
- www.greatis.com
- www.pchubs.com
- pchubs.com
- www.pcrisk.com
- pcrisk.com
- www.malware-board.com
- malware-board.com
- pcthreatskiller.com
- www.pcthreatskiller.com
- pcfixhelp.net
- www.pcfixhelp.net
- stepsforkillingthreats.com
- www.stepsforkillingthreats.com
- www.removemalwarevirus.com
- removemalwarevirus.com
- spyware-techie.com
- www.spyware-techie.com
- anti-spyware-101.com
- www.anti-spyware-101.com
- www.removeallvirus.com
- removeallvirus.com
- www.pcthreat.com
- pcthreat.com
- www.pcinfectionsupport.com
- pcinfectionsupport.com
- www.howtouninstallpcmalware.com
- howtouninstallpcmalware.com
- computerprotectionpro.com
- www.computerprotectionpro.com
その他
マルウェアは、以下の画像を表示します。
- fake Windows update
対応方法
対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 14.764.05
初回 VSAPI パターンリリース日 2019年1月21日
VSAPI OPR パターンバージョン 14.765.00
VSAPI OPR パターンリリース日 2019年1月22日
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
このレジストリ値を削除します。
[ 詳細 ]
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableTaskmgr = 1
- DisableTaskmgr = 1
手順 4
「Trojan.Win32.MALREP.THOABAAI」で検出したファイル名を確認し、そのファイルを終了します。
[ 詳細 ]
- すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
- 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、こちらをご参照下さい。 - 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。
手順 5
不正プログラム/グレイウェア/スパイウェアがHOSTSファイルに追加した文字列を削除します。
[ 詳細 ]
- ds.download.windowsupdate.com
- www.update.microsoft.com
- download.windowsupdate.com
- fe2.update.microsoft.com
- whoer.net
- www.whoer.net
- windowsupdate.com
- www.windowsupdate.com
- microsoft.com
- www.microsoft.com
- www.windowsupdate.com
- windowsupdate.com
- www.microsoft.com
- www.360totalsecurity.com
- 360totalsecurity.com
- www.gratissoftwaresite.com
- gratissoftwaresite.com
- tweakers.net
- www.tweakers.net
- www.avg.com
- avg.com
- www.bestevirusscanner.net
- bestevirusscanner.net
- www.consumentenbond.nl
- consumentenbond.nl
- cheaplicensing.com
- www.cheaplicensing.com
- global.ahnlab.com
- www.global.ahnlab.com
- www.ahnlab.com
- ahnlab.com
- downloads.tomsguide.com
- www.downloads.tomsguide.com
- www.download82.com
- download82.com
- download.cnet.com
- www.download.cnet.com
- www.avast.com
- avast.com
- support.avast.com
- www.support.avast.com
- www.consumentenbond.com
- consumentenbond.com
- www.goedkoopsteantivirus.com
- goedkoopsteantivirus.com
- www.toptenreviews.com
- toptenreviews.com
- www.antivirus.nl
- antivirus.nl
- www.bol.com
- bol.com
- www.avira.com
- avira.com
- www.bitdefender.com
- bitdefender.com
- licentie2go.com
- www.licentie2go.com
- www.bullguard.com
- bullguard.com
- www.kpn.com
- kpn.com
- virusscanner.software
- www.virusscanner.software
- www.comodo.com
- comodo.com
- www.drweb.com
- drweb.com
- download.drweb.com
- www.download.drweb.com
- vms.drweb.com
- www.vms.drweb.com
- alternativeto.ne
- www.alternativeto.ne
- softonic.com
- www.softonic.com
- www.softpedia.com
- softpedia.com
- www.flipkart.com
- flipkart.com
- virustotal.com
- www.virustotal.com
- www.emsisoft.com
- emsisoft.com
- www.antimalwaresoftware.com
- antimalwaresoftware.com
- www.pcwebplus.com
- pcwebplus.com
- www.pcmag.com
- pcmag.com
- www.eset.com
- eset.com
- www.surfspot.com
- surfspot.com
- www.topantivirus.com
- topantivirus.com
- www.techzine.com
- techzine.com
- www.eset.com
- eset.com
- www.fortinet.com
- fortinet.com
- fortiguard.com
- www.fortiguard.com
- forticlient.com
- www.forticlient.com
- www.kpn.com
- kpn.com
- www.kaspersky.com
- kaspersky.com
- www.consumentenbond.com
- consumentenbond.com
- www.surfspot.com
- surfspot.com
- www.topreviews.com
- topreviews.com
- www.amecomputers.com
- amecomputers.com
- www.instantsoftware.com
- instantsoftware.com
- www.malwarebytes.com
- malwarebytes.com
- www.malwarebytes.org
- malwarebytes.org
- download.cnet.com
- www.download.cnet.com
- www.bleepingcomputer.com
- bleepingcomputer.com
- www.majorgeeks.com
- majorgeeks.com
- www.seniorweb.com
- seniorweb.com
- www.amazon.com
- amazon.com
- www.techspot.com
- techspot.com
- filehippo.com
- www.filehippo.com
- www.idealsoftware.com
- idealsoftware.com
- uptodown.com
- www.uptodown.com
- www.mcafee.com
- mcafee.com
- home.mcafee.com
- www.home.mcafee.com
- www.coolblue.com
- coolblue.com
- www.pcmag.com
- pcmag.com
- www.sky.com
- sky.com
- norton.com
- www.norton.com
- www.kieskeurig.com
- kieskeurig.com
- internetsecurity.xfinity.com
- www.internetsecurity.xfinity.com
- www.symantec.com
- symantec.com
- www.campusshop.com
- campusshop.com
- www.pandasecurity.com
- pandasecurity.com
- www.paradigit.com
- paradigit.com
- www.sophos.com
- sophos.com
- home.sophos.com
- www.home.sophos.com
- sophos.virtualsecurity.com
- www.sophos.virtualsecurity.com
- www.gratissoftware.com
- gratissoftware.com
- www.seniorweb.com
- seniorweb.com
- www.softwareadvice.com
- softwareadvice.com
- www.symantec.com
- symantec.com
- hostedendpoint.spn.com
- www.hostedendpoint.spn.com
- www.g2crowd.com
- g2crowd.com
- www.trendmicro.com
- trendmicro.com
- www.goedkoopsteantivirus.com
- goedkoopsteantivirus.com
- download.cnet.com
- www.download.cnet.com
- www.ign.com
- ign.com
- www.trusteer.com
- trusteer.com
- my.webrootanywhere.com
- www.my.webrootanywhere.com
- www.webroot.com
- webroot.com
- www.techradar.com
- techradar.com
- support.microsoft.com
- www.support.microsoft.com
- www.microsoft.com
- microsoft.com
- pulse.microsoft.com
- www.pulse.microsoft.com
- pcmweb.com
- www.pcmweb.com
- www.security.com
- security.com
- ccm.net
- www.ccm.net
- www.enigmasoftware.com
- enigmasoftware.com
- howtoremove.guide
- www.howtoremove.guide
- www.2-viruses.com
- 2-viruses.com
- www.2-spyware.com
- 2-spyware.com
- sensorstechforum.com
- www.sensorstechforum.com
- greatis.com
- www.greatis.com
- www.pchubs.com
- pchubs.com
- www.pcrisk.com
- pcrisk.com
- www.malware-board.com
- malware-board.com
- pcthreatskiller.com
- www.pcthreatskiller.com
- pcfixhelp.net
- www.pcfixhelp.net
- stepsforkillingthreats.com
- www.stepsforkillingthreats.com
- www.removemalwarevirus.com
- removemalwarevirus.com
- spyware-techie.com
- www.spyware-techie.com
- anti-spyware-101.com
- www.anti-spyware-101.com
- www.removeallvirus.com
- removeallvirus.com
- www.pcthreat.com
- pcthreat.com
- www.pcinfectionsupport.com
- pcinfectionsupport.com
- www.howtouninstallpcmalware.com
- howtouninstallpcmalware.com
- computerprotectionpro.com
- www.computerprotectionpro.com
手順 6
以下のファイルを検索し削除します。
[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。 - %AppDataLocal%\script.ps1
手順 7
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Trojan.Win32.MALREP.THOABAAI」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください