解析者: Arvin Roi Macaraeg   
 別名:

BackDoor-FDWY!09263A2D37C1(NAI); Win32:Vools-B [Trj](AVAST);

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
    なし

  • 感染報告の有無 :
    はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、バックドア活動の機能を備えていません。

マルウェアは、ダウンロードする機能を備えていません。

  詳細

ファイルサイズ 129,024 bytes
タイプ DLL
メモリ常駐 なし
発見日 2019年6月3日
ペイロード URLまたはIPアドレスに接続, 情報収集

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

  • %System%\dllhostex.exe <- Detected as Coinminer.Win64.TOOLXMR.SMA
  • %Windows%\NetworkDistribution\Diagnosis.txt <- archive file containing the EternalBlue and DoublePulsar

(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

マルウェアは、以下のフォルダを作成します。

  • %Windows%\NetworkDistribution

(註:%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

  • {B8A7AE22-7F59-CDE5-71F9C2A}
  • {EB0Z85-37F8-D529-B8783F}
  • {E2088B81F-2A96-43E8-B9F522B}
  • {E2077B81F-2A96-43E8-B9F522B}
  • {E2066B81F-2A96-43E8-B9F522B}
  • {E2044B81F-2A96-43E8-B9F522B}
  • {5EC0AC33D-E23D-C8A2-A92C833}
  • {CI59C45E-F19A-Z07C-565B17CO}
  • {6B2089804-F412-CB72-7C027E6}
  • {3EC1AC33D-E55D-C8A2-A92C822}
  • {N33821F9E-F215-34AA-721269D}
  • {F86E2D648-EF7B-6054-D43FC41}
  • {AE5C7574-0869-D969-AAC0353}
  • {B3DD887C-4738-EBD0-6CD0105}
  • {F5175396-40C2-0218-278D6EE}
  • {36FBBFAD-7376-931C-AB4DC42}
  • {56CF8FC1-3E2E-F825-8124BC6}
  • {F4BF5979-70D3-AF7E-8B6C38F}
  • {42885B26-80A7-2FF3-D2F8957}
  • {B512B75E-21A0-C34D-AF3FEE0}
  • {502CBAF5-55E5-F190-16321A4}
  • {CE9SCB-B92-FC8-A6FECD}
  • {KA1C25-978-BB7-510DEW}

マルウェアは、以下の通常のプロセスにスレッドを組み込みます。

  • ".exe" available in the folder of %System%.

(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

他のシステム変更

マルウェアは、以下のファイルを削除します。

  • %System%\dllhostex.exe
  • %System%\TaskIndexer.exe

(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

マルウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\NetworkPlatform\
Location Awareness
LastBackup = {Hex Values}

バックドア活動

マルウェアは、バックドア活動の機能を備えていません。

ルートキット機能

マルウェアは、ルートキット機能を備えていません

プロセスの終了

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

  • taskmgr.exe

ダウンロード活動

マルウェアは、ダウンロードする機能を備えていません。

情報漏えい

マルウェアは、以下の情報を収集します。

  • MAC Address
  • IP Address
  • Computer name
  • OS version
  • CPU and GPU name

情報収集

マルウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

  • https://z.{BLOCKED}m.com/login.php?mac={mac address}&ip={ip address}&host={computer name}&tick={value}&os={os}&cpu={cpu}&gpu={gpu}

<補足>
インストール

マルウェアは、以下のファイルを作成します。

  • %System%\dllhostex.exe ← 「Coinminer.Win64.TOOLXMR.SMA」として検出される
  • %Windows%\NetworkDistribution\Diagnosis.txt ← 「EternalBlue」および 「DoublePulsar」が含まれるアーカイブファイル

マルウェアは、以下の通常のプロセスにスレッドを組み込みます。

  • %System%フォルダにある".exe" ファイル

情報漏えい

マルウェアは、以下の情報を収集します。

  • MACアドレス
  • IPアドレス
  • コンピュータ名
  • オペレーティングシステム(OS )のバージョン情報
  • CPU名およびGPU名

その他

マルウェアは、以下を実行します。

  • 「EternalBlue」「DoublePulsar」コンポーネントを使用して、以下のソフトウェアの脆弱性を突き、自身のコンポーネントファイルをネットワーク全体に拡散します。

  • マルウェアは、自身がサービスとして実行されているかを確認します。
  • マルウェアは、以下の文字列がファイル名として使用されているかを確認します。
    • %System%\FunctionUPnPSystem.dll
  • マルウェアは、以下のファイルにアクセスし、復号して実行します。
    • %System%\rdpwvq.tlb
  • マルウェアは、自身の古いバージョンを削除します。
    • %System%\vmichapagentsrv.dll
    • %System%\MaintenancesServices.dll
    • %System%\tpmagentservice.dll
    • %System%\wmassrv.dll
    • %System%\snmpstorsrv.dll
    • %System%\winhttpwebfoundationsvc.dll
  • マルウェアは、古いバージョンの「EternalBlue」「DoublePulsar」を削除します。
    • %Windows%\IME\Microsoft\Svchost.exe
    • %Windows%\IME\Crypt\Svchost.exe
    • %Windows%\IME\Crypt\Spoolsv.exe
    • %Windows%\IME\Daps\Svchost.exe
    • %System%\SysprepThemes\spoolsv.exe
    • %Windows%\SysprepThemes\Microsoft\svchost.exe
    • %Windows%\SysprepThemes\Microsoft\spoolsv.exe
    • %System%\SecureBootThemes\spoolsv.exe
    • %Windows%\SecureBootThemes\Microsoft\svchost.exe
    • %Windows%\SecureBootThemes\Microsoft\spoolsv.exe
    • %System%\SecUpdateHost.exe
    • %System%\ServicesHost.exe
    • %System%\WUDHostServices.exe
    • %System%\TrustedHostServices.exe
    • %Windows%\SpeechsTracing\spoolsv.exe
    • %System%\TasksHostServices.exe
    • %Windows%\SpeechsTracing\Microsoft\svchost.exe
    • %Windows%\SpeechsTracing\Microsoft\spoolsv.exe
    • %Windows%\AppDiagnostics\wininit.exe
    • %Windows%\AppDiagnostics\svchost.exe
    • %Windows%\AppDiagnostics\spoolsv.exe
    • %System%\WUDFHostex.exe
    • %System%\TrustedHostex.exe
  • マルウェアは、古いバージョンの自身のコンポーネントファイルを削除します。
    • %System%\settings7283.dat
    • %System%\dnsclientprovider_userdata.mof
    • %System%\D0T73Z
    • %System%\NrsDataCache.tlb
    • %System%\ProximityUntilCache32.tlb
    • %System%\MsraReportDataCache32.tlb
    • %System%\EnrollCertXaml.dll
    • %System%\HalPluginsServices.dll
    • %System%\MarsTraceDiagnostics.xml
    • %System%\ExtractionHost.tlb
  • マルウェアは、古いバージョンの「EternalBlue」「DoublePulsar」が存在する可能性のある、以下のフォルダを削除します。
    • %Windows%\IME\Microsoft\
    • %Windows%\IME\Crypt\
    • %Windows%\IME\Daps\
    • %System%\SysprepThemes\
    • %Windows%\SysprepThemes\Microsoft\
    • %System%\SecureBootThemes\
    • %Windows%\SecureBootThemes\Microsoft\
    • %Windows%\SpeechsTracing\
    • %Windows%\SpeechsTracing\Microsoft\
    • %Windows%\AppDiagnostics\
  • マルウェアは、「EternalBlue」「DoublePulsar」が脆弱性を利用するために使用される以下のコンポーネントファイルを作成します。
    • %Windows%\NetworkDistribution\process1.txt ← 接続のログ
    • %Windows%\NetworkDistribution\process2.txt ← 接続のログ
    • %Windows%\NetworkDistribution\svchost.xml ←設定ファイル {ターゲットのコンピュータの詳細}
    • %Windows%\NetworkDistribution\x86.dll
    • %Windows%\NetworkDistribution\x64.dll
    • %Windows%\NetworkDistribution\Diagnostics.txt
    • %Windows%\NetworkDistribution\Eternalblue-2.2.0.fb
    • %Windows%\NetworkDistribution\Eternalchampion-2.0.0.fb
    • %Windows%\NetworkDistribution\_pytrch.pyd
    • %Windows%\NetworkDistribution\adfw-2.dll
    • %Windows%\NetworkDistribution\adfw.dll
    • %Windows%\NetworkDistribution\cnli-0.dll
    • %Windows%\NetworkDistribution\cnli-1.dll
    • %Windows%\NetworkDistribution\coli-0.dll
    • %Windows%\NetworkDistribution\crli-0.dll
    • %Windows%\NetworkDistribution\dmgd-1.dll
    • %Windows%\NetworkDistribution\dmgd-4.dll
    • %Windows%\NetworkDistribution\esco-0.dll
    • %Windows%\NetworkDistribution\etch-0.dll
    • %Windows%\NetworkDistribution\etchCore-0.x64.dll
    • %Windows%\NetworkDistribution\etchCore-0.x86.dll
    • %Windows%\NetworkDistribution\eteb-2.dll
    • %Windows%\NetworkDistribution\etebCore-2.x64.dll
    • %Windows%\NetworkDistribution\etebCore-2.x86.dll
    • %Windows%\NetworkDistribution\exma-1.dll
    • %Windows%\NetworkDistribution\exma.dll
    • %Windows%\NetworkDistribution\iconv.dll
    • %Windows%\NetworkDistribution\libcurl.dll
    • %Windows%\NetworkDistribution\libeay32.dll %Windows%\NetworkDistribution\libiconv-2.dll
    • %Windows%\NetworkDistribution\libxml2.dll
    • %Windows%\NetworkDistribution\out.dll
    • %Windows%\NetworkDistribution\pcla-0.dll
    • %Windows%\NetworkDistribution\pcre-0.dll
    • %Windows%\NetworkDistribution\pcrecpp-0.dll
    • %Windows%\NetworkDistribution\pcreposix-0.dll
    • %Windows%\NetworkDistribution\posh-0.dll
    • %Windows%\NetworkDistribution\posh.dll
    • %Windows%\NetworkDistribution\pytrch.py
    • %Windows%\NetworkDistribution\pytrch.pyc
    • %Windows%\NetworkDistribution\riar-2.dll
    • %Windows%\NetworkDistribution\riar.dll
    • %Windows%\NetworkDistribution\spoolsv.xml
    • %Windows%\NetworkDistribution\ssleay32.dll
    • %Windows%\NetworkDistribution\svchost.xml
    • %Windows%\NetworkDistribution\tibe-1.dll
    • %Windows%\NetworkDistribution\tibe-2.dll
    • %Windows%\NetworkDistribution\tibe.dll
    • %Windows%\NetworkDistribution\trch-0.dll
    • %Windows%\NetworkDistribution\trch-1.dll
    • %Windows%\NetworkDistribution\trch.dll
    • %Windows%\NetworkDistribution\trfo-0.dll
    • %Windows%\NetworkDistribution\trfo-2.dll
    • %Windows%\NetworkDistribution\trfo.dll
    • %Windows%\NetworkDistribution\tucl-1.dll
    • %Windows%\NetworkDistribution\tucl.dll
    • %Windows%\NetworkDistribution\ucl.dll
    • %Windows%\NetworkDistribution\x64.dll
    • %Windows%\NetworkDistribution\x86.dll
    • %Windows%\NetworkDistribution\xdvl-0.dll
    • %Windows%\NetworkDistribution\zibe.dll
    • %Windows%\NetworkDistribution\zlib1.dll
  • マルウェアは、以下のコマンドを実行します。
    • schtasks.exe /End /TN "\Microsoft\Windows\UPnP\TPMangerAgentTask" ← スケジュールされたタスクを終了する
    • schtasks.exe /Delete /TN "\Microsoft\Windows\UPnP\TPMangerAgentTask" /F ← スケジュールされたタスクを削除する
    • chtasks.exe /Delete /TN "\Microsoft\Windows\Tcpip\TcpipReportingServices" /F ← スケジュールされたタスクを削除する
    • schtasks.exe /Delete /TN "\Microsoft\Windows\UPnP\UPnPHostServices" /F ← スケジュールされたタスクを削除する
    • schtasks.exe /Delete /TN "\Microsoft\Windows\Time Synchronization\Tpm-Optimize-Service" /F ← スケジュールされたタスクを削除する

  対応方法

対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 15.156.04
初回 VSAPI パターンリリース日 2019年6月6日
VSAPI OPR パターンバージョン 15.157.00
VSAPI OPR パターンリリース日 2019年6月7日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 3

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 4

「Trojan.Win64.VOOLS.AH」で検出したファイル名を確認し、そのファイルを終了します。

[ 詳細 ]

  • すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
  • 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
    セーフモードについては、こちらをご参照下さい。
  • 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。

手順 5

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

 
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkPlatform\Location Awareness
    • LastBackup = {Hex Values}

手順 6

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %Windows%\NetworkDistribution\process1.txt <- connection logs
  • %Windows%\NetworkDistribution\svchost.xml <- config file {details of the targeted machine.}
  • %Windows%\NetworkDistribution\x86.dll
  • %Windows%\NetworkDistribution\x64.dll
  • %Windows%\NetworkDistribution\Diagnostics.txt
  • %Windows%\NetworkDistribution\Eternalblue-2.2.0.fb
  • %Windows%\NetworkDistribution\Eternalchampion-2.0.0.fb
  • %Windows%\NetworkDistribution\_pytrch.pyd
  • %Windows%\NetworkDistribution\adfw-2.dll
  • %Windows%\NetworkDistribution\adfw.dll
  • %Windows%\NetworkDistribution\cnli-0.dll
  • %Windows%\NetworkDistribution\cnli-1.dll
  • %Windows%\NetworkDistribution\coli-0.dll
  • %Windows%\NetworkDistribution\crli-0.dll
  • %Windows%\NetworkDistribution\dmgd-1.dll
  • %Windows%\NetworkDistribution\dmgd-4.dll
  • %Windows%\NetworkDistribution\esco-0.dll
  • %Windows%\NetworkDistribution\etch-0.dll
  • %Windows%\NetworkDistribution\etchCore-0.x64.dll
  • %Windows%\NetworkDistribution\etchCore-0.x86.dll
  • %Windows%\NetworkDistribution\eteb-2.dll
  • %Windows%\NetworkDistribution\etebCore-2.x64.dll
  • %Windows%\NetworkDistribution\etebCore-2.x86.dll
  • %Windows%\NetworkDistribution\exma-1.dll
  • %Windows%\NetworkDistribution\exma.dll
  • %Windows%\NetworkDistribution\iconv.dll
  • %Windows%\NetworkDistribution\libcurl.dll
  • %Windows%\NetworkDistribution\libeay32.dll
  • %Windows%\NetworkDistribution\libiconv-2.dll
  • %Windows%\NetworkDistribution\libxml2.dll
  • %Windows%\NetworkDistribution\out.dll
  • %Windows%\NetworkDistribution\pcla-0.dll
  • %Windows%\NetworkDistribution\pcre-0.dll
  • %Windows%\NetworkDistribution\pcrecpp-0.dll
  • %Windows%\NetworkDistribution\pcreposix-0.dll
  • %Windows%\NetworkDistribution\posh-0.dll
  • %Windows%\NetworkDistribution\posh.dll
  • %Windows%\NetworkDistribution\pytrch.py
  • %Windows%\NetworkDistribution\pytrch.pyc
  • %Windows%\NetworkDistribution\riar-2.dll
  • %Windows%\NetworkDistribution\riar.dll
  • %Windows%\NetworkDistribution\spoolsv.xml
  • %Windows%\NetworkDistribution\ssleay32.dll
  • %Windows%\NetworkDistribution\svchost.xml
  • %Windows%\NetworkDistribution\tibe-1.dll
  • %Windows%\NetworkDistribution\tibe-2.dll
  • %Windows%\NetworkDistribution\tibe.dll
  • %Windows%\NetworkDistribution\trch-0.dll
  • %Windows%\NetworkDistribution\trch-1.dll
  • %Windows%\NetworkDistribution\trch.dll
  • %Windows%\NetworkDistribution\trfo-0.dll
  • %Windows%\NetworkDistribution\trfo-2.dll
  • %Windows%\NetworkDistribution\trfo.dll
  • %Windows%\NetworkDistribution\tucl-1.dll
  • %Windows%\NetworkDistribution\tucl.dll
  • %Windows%\NetworkDistribution\ucl.dll
  • %Windows%\NetworkDistribution\x64.dll
  • %Windows%\NetworkDistribution\x86.dll
  • %Windows%\NetworkDistribution\xdvl-0.dll
  • %Windows%\NetworkDistribution\zibe.dll
  • %Windows%\NetworkDistribution\zlib1.dll
  • %System%\dllhostex.exe
  • %Windows%\NetworkDistribution\Diagnosis.txt
  • %System%\rdpwvq.tlb

手順 7

以下のフォルダを検索し削除します。

[ 詳細 ]
フォルダが隠しフォルダ属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %Windows%\NetworkDistribution

手順 8

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「Trojan.Win64.VOOLS.AH」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 9

以下の修正パッチをダウンロードし適用します。この脆弱性に対する修正パッチを適用するまで、該当製品の使用をお控えください。この製品の製造元が公開する正式な修正パッチをダウンロードし適用することをお勧めします。 Microsoft Windows SMB Server (MS17-010) Vulnerability

手順 10

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Trojan.Win64.VOOLS.AH」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください