TrojanSpy.Win64.BANDITSTEAL.THDBGBC
UDS:Trojan-PSW.Win64.Coins.nr (KASPERSKY)
Windows
マルウェアタイプ:
スパイウェア/情報窃取型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
スパイウェアは、以下のファイルを作成します。
- %Application Data%\blacklist.txt → contains the blacklisted IP addresses, MAC addresses, HWID, usernames, computer names, and process names
- %AppDataLocal%\vicinfo\USERINFO.txt → contains stolen information
- %AppDataLocal%\{Victim's IP address}.zip
(註:%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。. %AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。)
スパイウェアは、以下のプロセスを追加します。
- %System%\runas.exe runas /user:Administrator {Malware file path}\{malware name}.exe
- %System%\wbem\wmic.exe wmic csproduct get uuid
- %System%\wbem\wmic.exe wmic desktopmonitor get \"screenheight, screenwidth\""
- %System%\cmd.exe "cmd /c net session"
- %System%\systeminfo.exe systeminfo
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)
スパイウェアは、以下のフォルダを作成します。
- %AppDataLocal%\vicinfo
- %AppDataLocal%\{Victim's IP address}
(註:%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。)
自動実行方法
スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
BANDIT STEALER = {malware file path}\{malware file name}
他のシステム変更
スパイウェアは、以下のフォルダを削除します。
- %AppDataLocal%\{Victim's IP address}\Telegram\user_data
- %AppDataLocal%\{Victim's IP address}\Telegram\user_data{#2-#10}
- %AppDataLocal%\{Victim's IP address}\Telegram\tdummy
(註:%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。)
プロセスの終了
スパイウェアは、感染コンピュータ上でプロセスが常駐されていることを確認した場合、以下のいずれかの文字列を含むプロセスまたはサービスを終了します。
- httpdebuggerui
- wireshark
- fiddler
- regedit
- cmd
- taskmgr
- vboxservice
- df5serv
- processhacker
- vboxtray
- vmtoolsd
- vmwaretray
- ida64
- ollydbg
- pestudio
- vmwareuser
- vgauthservice
- vmacthlp
- x96dbg
- vmsrvc
- x32dbg
- vmusrvc
- prl_cc
- prl_tools
- xenservice
- qemu-ga
- joeboxcontrol
- ksdumperclient
- ksdumper
- joeboxserver
ダウンロード活動
スパイウェアは、以下のWebサイトにアクセスして自身のコンポーネントファイルをダウンロードします。
- https://{BLOCKED}in.com/raw/3fS0MSjN → blacklisted.txt
情報漏えい
スパイウェアは、以下の情報を収集します。
- Username
- Computer name
- IP address
- Hard Drive Information:
- Total size
- Available Space
- Free Space
- OS Name
- OS Architecture
- OS Platform
- OS Machine
- OS Processor
- Program Runtime of the malware
- User Account Control information
- Victim's IP Location
- System information:
- Host Name
- System Manufacturer
- System Model
- Processors
- Total physical memory
- Country Code
- Telegram Session
- Browser Data(e.g. Login data,Cookies,Web history,Credit card details, Autofills):
- yandex
- amigo
- Kometa
- Orbitum
- Epic Privacy Browser
- Microsoft edge
- Brave Browser
- Iridium
- Torch Vivaldi
- Google Chrome
- UCozMedia
- Cent Browser
- 7Star
- Sputnik
- Cryptocurrency Wallet Data:
- Bitcoin
- Litecoin
- Dash
- Ethereum
- Electrum
- Exodus
- Atomic
- Armory
- Cryptocurrency Browser Extensions:
- BitKeep
- Coinbase Wallet
- Guild Wallet
- Ronin Wallet
- NeoLine
- Guarda Wallet
- Wombat
- Saturn Wallet
- Clover Wallet
- Liquality Wallet
- TronLink
- Trust Wallet
- Math Wallet
- Equal Wallet
- Jaxx Liberty
- Crypto.com
- iWallet
- MetaMask
- Binance
情報収集
スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。
- https.//{BLOCKED}legram/org/bot6082151650:AAHhFeBz3oW_iEaS6rQOA7ANT0XcgkLgQL4/sendDocument
その他
スパイウェアは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。
- https://ipapi.com/json/
- https://api.ipify.org
スパイウェアは、以下を実行します。
- Check if the machine's HWID matches with its blacklisted HWID:
- 7AB5C494-39F5-4941-9163-47F54D6D5016
- 03DE0294-0480-05DE-1A06-350700080009
- 11111111-2222-3333-4444-555555555555
- 6F3CA5EC-BEC9-4A4D-8274-11168F640058
- ADEEEE9E-EF0A-6B84-B14B-B83A54AFC548
- 4C4C4544-0050-3710-8058-CAC04F59344A
- 00000000-0000-0000-0000-AC1F6BD04972
- 00000000-0000-0000-0000-000000000000
- 5BD24D56-789F-8468-7CDC-CAA7222CC121
- 49434D53-0200-9065-2500-65902500E439
- 49434D53-0200-9036-2500-36902500F022
- 777D84B3-88D1-451C-93E4-D235177420A7
- 49434D53-0200-9036-2500-369025000C65
- B1112042-52E8-E25B-3655-6A4F54155DBF
- 00000000-0000-0000-0000-AC1F6BD048FE
- EB16924B-FB6D-4FA1-8666-17B91F62FB37
- A15A930C-8251-9645-AF63-E45AD728C20C
- 67E595EB-54AC-4FF0-B5E3-3DA7C7B547E3
- C7D23342-A5D4-68A1-59AC-CF40F735B363
- 63203342-0EB0-AA1A-4DF5-3FB37DBB0670
- 44B94D56-65AB-DC02-86A0-98143A7423BF
- 6608003F-ECE4-494E-B07E-1C4615D1D93C
- D9142042-8F51-5EFF-D5F8-EE9AE3D1602A
- 49434D53-0200-9036-2500-369025003AF0
- 8B4E8278-525C-7343-B825-280AEBCD3BCB
- 4D4DDC94-E06C-44F4-95FE-33A1ADA5AC27
- 79AF5279-16CF-4094-9758-F88A616D81B4
- FF577B79-782E-0A4D-8568-B35A9B7EB76B
- 08C1E400-3C56-11EA-8000-3CECEF43FEDE
- 6ECEAF72-3548-476C-BD8D-73134A9182C8
- 49434D53-0200-9036-2500-369025003865
- 119602E8-92F9-BD4B-8979-DA682276D385
- 12204D56-28C0-AB03-51B7-44A8B7525250
- 63FA3342-31C7-4E8E-8089-DAFF6CE5E967
- 365B4000-3B25-11EA-8000-3CECEF44010C
- D8C30328-1B06-4611-8E3C-E433F4F9794E
- 00000000-0000-0000-0000-50E5493391EF
- 00000000-0000-0000-0000-AC1F6BD04D98
- 4CB82042-BA8F-1748-C941-363C391CA7F3
- B6464A2B-92C7-4B95-A2D0-E5410081B812
- BB233342-2E01-718F-D4A1-E7F69D026428
- 9921DE3A-5C1A-DF11-9078-563412000026
- CC5B3F62-2A04-4D2E-A46C-AA41B7050712
- 00000000-0000-0000-0000-AC1F6BD04986
- C249957A-AA08-4B21-933F-9271BEC63C85
- BE784D56-81F5-2C8D-9D4B-5AB56F05D86E
- ACA69200-3C4C-11EA-8000-3CECEF4401AA
- 3F284CA4-8BDF-489B-A273-41B44D668F6D
- BB64E044-87BA-C847-BC0A-C797D1A16A50
- 2E6FB594-9D55-4424-8E74-CE25A25E36B0
- 42A82042-3F13-512F-5E3D-6BF4FFFD8518
- 38AB3342-66B0-7175-0B23-F390B3728B78
- 48941AE9-D52F-11DF-BBDA-503734826431
- 032E02B4-0499-05C3-0806-3C0700080009
- DD9C3342-FB80-9A31-EB04-5794E5AE2B4C
- E08DE9AA-C704-4261-B32D-57B2A3993518
- 07E42E42-F43D-3E1C-1C6B-9C7AC120F3B9
- 88DC3342-12E6-7D62-B0AE-C80E578E7B07
- 5E3E7FE0-2636-4CB7-84F5-8D2650FFEC0E
- 96BB3342-6335-0FA8-BA29-E1BA5D8FEFBE
- 0934E336-72E4-4E6A-B3E5-383BD8E938C3
- 12EE3342-87A2-32DE-A390-4C2DA4D512E9
- 38813342-D7D0-DFC8-C56F-7FC9DFE5C972
- 8DA62042-8B59-B4E3-D232-38B29A10964A
- 3A9F3342-D1F2-DF37-68AE-C10F60BFB462
- F5744000-3C78-11EA-8000-3CECEF43FEFE
- FA8C2042-205D-13B0-FCB5-C5CC55577A35
- C6B32042-4EC3-6FDF-C725-6F63914DA7C7
- FCE23342-91F1-EAFC-BA97-5AAE4509E173
- CF1BE00F-4AAF-455E-8DCD-B5B09B6BFA8F
- 050C3342-FADD-AEDF-EF24-C6454E1A73C9
- 4DC32042-E601-F329-21C1-03F27564FD6C
- DEAEB8CE-A573-9F48-BD40-62ED6C223F20
- 05790C00-3B21-11EA-8000-3CECEF4400D0
- 5EBD2E42-1DB8-78A6-0EC3-031B661D5C57
- 9C6D1742-046D-BC94-ED09-C36F70CC9A91
- 907A2A79-7116-4CB6-9FA5-E5A58C4587CD
- A9C83342-4800-0578-1EE8-BA26D2A678D2
- D7382042-00A0-A6F0-1E51-FD1BBF06CD71
- 1D4D3342-D6C4-710C-98A3-9CC6571234D5
- CE352E42-9339-8484-293A-BD50CDC639A5
- 60C83342-0A97-928D-7316-5F1080A78E72
- 02AD9898-FA37-11EB-AC55-1D0C0A67EA8A
- DBCC3514-FA57-477D-9D1F-1CAF4CC92D0F
- FED63342-E0D6-C669-D53F-253D696D74DA
- 2DD1B176-C043-49A4-830F-C623FFB88F3C
- 4729AEB0-FC07-11E3-9673-CE39E79C8A00
- 84FE3342-6C67-5FC6-5639-9B3CA3D775A1
- DBC22E42-59F7-1329-D9F2-E78A2EE5BD0D
- CEFC836C-8CB1-45A6-ADD7-209085EE2A57
- A7721742-BE24-8A1C-B859-D7F8251A83D3
- 3F3C58D1-B4F2-4019-B2A2-2A500E96AF2E
- D2DC3342-396C-6737-A8F6-0C6673C1DE08
- EADD1742-4807-00A0-F92E-CCD933E9D8C1
- AF1B2042-4B90-0000-A4E4-632A1C8C7EB1
- FE455D1A-BE27-4BA4-96C8-967A6D3A9661
- 921E2042-70D3-F9F1-8CBD-B398A21F89C6
- Checks if the machine's username matches with its blacklisted usernames:
- WDAGUtilityAccount
- Abby
- hmarc
- patex
- RDhJ0CNFevzX
- kEecfMwgj
- Frank
- 8Nl0ColNQ5bq
- Lisa
- John
- george
- PxmdUOpVyx
- 8VizSM
- w0fjuOVmCcP5A
- lmVwjj9b
- PqONjHVwexsS
- 3u2v9m8
- Julia
- HEUeRzl
- fred
- server
- BvJChRPnsxn
- Harry Johnson
- SqgFOf3G
- Lucas
- mike
- PateX
- h7dk1xPr
- Louise
- User01
- test
- RGzcBUyrznReg
- Checks if the machine's MAC address matches with its blacklisted MAC addresses:
- Microsoft Corporation
- 00:15:5d:00:07:34
- 00:15:5d:00:00:f3
- 00:15:5d:13:6d:0c
- 00:15:5d:13:66:ca
- 00:15:5d:00:05:d5
- 00:15:5d:00:06:43
- 00:15:5d:1e:01:c8
- 00:15:5d:00:1c:9a
- 00:15:5d:00:1a:b9
- 00:15:5d:00:01:81
- 00:15:5d:b6:e0:cc
- 00:15:5d:00:02:26
- 00:15:5d:00:00:c3
- 00:15:5d:00:05:8d
- 00:15:5d:00:00:b3
- 00:15:5d:23:4c:a3
- 00:15:5d:00:00:a4
- 00:15:5d:23:4c:ad
- 00:15:5d:00:00:1d
- 00:0d:3a:d2:4f:1f
- Realtek Semiconductor Corp.
- 00:e0:4c:b8:7a:58
- 00:e0:4c:94:1f:20
- 00:e0:4c:4b:4a:40
- 00:e0:4c:7b:7b:86
- 00:e0:4c:46:cf:01
- 00:e0:4c:d6:86:77
- 00:e0:4c:56:42:97
- 00:e0:4c:44:76:54
- 00:e0:4c:b3:5a:2a
- 00:e0:4c:cb:62:08
- VMware, Inc
- 00:0c:29:2c:c1:21
- 00:50:56:a0:dd:00
- 00:50:56:b3:38:68
- 00:50:56:b3:05:b4
- 00:50:56:a0:45:03
- 00:0c:29:52:52:50
- 00:50:56:b3:42:33
- 00:50:56:a0:61:aa
- 00:50:56:b3:21:29
- 00:0c:29:05:d8:6e
- 00:50:56:a0:cd:a8
- 00:50:56:b3:fa:23
- 00:50:56:b3:f6:57
- 00:50:56:ae:b2:b0
- 00:50:56:b3:94:cb
- 00:50:56:b3:4c:bf
- 00:50:56:b3:09:9e
- 00:50:56:b3:38:88
- 00:50:56:a0:d0:fa
- 00:50:56:b3:91:c8
- 00:50:56:a0:6d:86
- 00:50:56:a0:af:75
- 00:50:56:b3:dd:03
- 00:50:56:b3:ee:e1
- 00:50:56:a0:84:88
- 00:50:56:ae:e5:d5
- 00:50:56:97:f6:c8
- 00:50:56:b3:9e:9e
- 00:50:56:a0:39:18
- 00:50:56:b3:d0:a7
- 00:50:56:ae:5d:ea
- 00:50:56:b3:14:59
- 00:50:56:b3:50:de
- 00:50:56:b3:3b:a6
- 00:50:56:ae:6f:54
- 00:50:56:97:a1:f8
- 00:50:56:b3:ea:ee
- 00:50:56:97:ec:f2
- 00:50:56:a0:38:06
- 00:50:56:a0:d7:38
- 00:50:56:a0:59:10
- 00:50:56:a0:06:8d
- Super Micro Computer, Inc.
- 00:25:90:65:39:e4
- 00:25:90:36:65:0c
- ac:1f:6b:d0:48:fe
- 00:25:90:36:f0:3b
- 3c:ec:ef:43:fe:de
- 00:25:90:36:65:38
- 3c:ec:ef:44:01:0c
- ac:1f:6b:d0:4d:98
- ac:1f:6b:d0:49:86
- 3c:ec:ef:44:01:aa
- 3c:ec:ef:44:00:d0
- ac:1f:6b:d0:4d:e4
- SHENZHEN COMMUNICATION TECHNOLOGIES CO.,LTD
- c8:9f:1d:b6:58:e4
- Unknown Vendor
- 2e:b8:24:4d:f7:de
- 56:e8:92:2e:76:0d
- 42:01:0a:8a:00:22
- 42:85:07:f4:83:d0
- 56:b0:6f:ca:0a:e7
- 12:1b:9e:3c:a6:2c
- b6:ed:9d:27:f4:fa
- 4e:79:c0:d9:af:c3
- 12:8a:5c:2a:65:d1
- 42:01:0a:8a:00:22
- a6:24:aa:ae:e6:12
- 06:75:91:59:3e:02
- 42:01:0a:8a:00:33
- ea:f6:f1:a2:33:76
- 1e:6c:34:93:68:64
- 42:01:0a:96:00:22
- 96:2b:e9:43:96:76
- 52:54:00:8b:a6:08
- 16:ef:22:04:af:76
- 1a:6c:62:60:3b:f4
- 52:54:00:a0:41:92
- ca:4d:4b:ca:18:cc
- f6:a5:41:31:b2:78
- d6:03:e4:ab:77:8e
- 42:01:0a:8e:00:22
- 3e:c1:fd:f1:bf:71
- c2:ee:af:fd:29:21
- 52:54:00:ab:de:59
- 32:11:4d:d0:4a:9e
- ea:02:75:3c:90:9f
- 52:54:00:3b:78:24
- 7e:05:a3:62:9c:4d
- 52:54:00:b3:e4:71
- 92:4c:a8:23:fc:2e
- 5a:e2:a6:a4:44:db
- 42:01:0a:96:00:33
- 5e:86:e4:3d:0d:f6
- 3e:53:81:b7:01:13
- 12:f8:87:ab:13:ec
- 2e:62:e8:47:14:49
- be:00:e5:c5:0c:e5
- 4e:81:81:8e:22:4e
- Intel Corporate
- 00:1b:21:13:15:20
- 1c:99:57:1c:ad:e4
- 00:1b:21:13:21:26
- 00:1b:21:13:32:51
- 00:1b:21:13:26:44
- 00:1b:21:13:33:55
- 00:1b:21:13:32:20
- 00:03:47:63:8b:de
- PEGATRON CORPORATION
- 60:02:92:3d:f1:69
- 60:02:92:66:10:79
- PCS Systemtechnik GmbH
- 08:00:27:3a:28:73
- 08:00:27:45:13:10
- Dell Inc.
- d4:81:d7:ed:25:54
- d4:81:d7:87:05:ab
- Avaya Inc
- b4:a9:5a:b1:c6:fd
- TP-LINK TECHNOLOGIES CO.,LTD.
- 00:23:cd:ff:94:f0
- GIGA-BYTE TECHNOLOGY CO.,LTD.
- 94:de:80:de:1a:35
- Hon Hai Precision Ind. Co.,Ltd.
- 90:48:9a:9d:d5:24
- Dell Inc.
- d4:81:d7:ed:25:54
- d4:81:d7:87:05:ab
- Avaya Inc
- b4:a9:5a:b1:c6:fd
- TP-LINK TECHNOLOGIES CO.,LTD.
- 00:23:cd:ff:94:f0
- GIGA-BYTE TECHNOLOGY CO.,LTD.
- 94:de:80:de:1a:35
- Checks if the machine's computer name matches with its blacklisted computer name:
- BEE7370C-8C0C-4
- DESKTOP-NAKFFMT
- WIN-5E07COS9ALR
- B30F0242-1C6A-4
- DESKTOP-VRSQLAG
- Q9IATRKPRH
- XC64ZB
- DESKTOP-D019GDM
- DESKTOP-WI8CLET
- SERVER1
- LISA-PC
- JOHN-PC
- DESKTOP-B0T93D6
- DESKTOP-1PYKP29
- DESKTOP-1Y2433R
- WILEYPC
- WORK
- 6C4E733F-C2D9-4
- RALPHS-PC
- DESKTOP-WG3MYJS
- DESKTOP-7XC6GEZ
- DESKTOP-5OV9S0O
- QarZhrdBpj
- ORELEEPC
- ARCHIBALDPC
- JULIA-PC
- d1bnJkfVlH
- NETTYPC
- DESKTOP-BUGIO
- DESKTOP-CBGPFEE
- SERVER-PC
- TIQIYLA9TW5M
- DESKTOP-KALVINO
- COMPNAME_4047
- DESKTOP-19OLLTD
- DESKTOP-DE369SE
- EA8C2E2A-D017-4
- AIDANPC
- LUCAS-PC
- MARCI-PC
- Checks if the machine's IP address matches with its blacklisted IP Addresses:
- 88.132.231.71
- 78.139.8.50
- 20.99.160.173
- 88.153.199.169
- 84.147.62.12
- 194.154.78.160
- 92.211.109.160
- 195.74.76.222
- 188.105.91.116
- 34.105.183.68
- 92.211.55.199
- 79.104.209.33
- 95.25.204.90
- 34.145.89.174
- 109.74.154.90
- 109.145.173.169
- 34.141.146.114
- 212.119.227.151
- 195.239.51.59
- 192.40.57.234
- 64.124.12.162
- 34.142.74.220
- 188.105.91.173
- 109.74.154.91
- 34.105.72.241
- 109.74.154.92
- 213.33.142.50
- 109.74.154.91
- 93.216.75.209
- 192.87.28.103
- 88.132.226.203
- 195.181.175.105
- 88.132.225.100
- 92.211.192.144
- 34.83.46.130
- 188.105.91.143
- 34.85.243.241
- 34.141.245.25
- 178.239.165.70
- 84.147.54.113
- 193.128.114.45
- 95.25.81.24
- 92.211.52.62
- 88.132.227.238
- 35.199.6.13
- 80.211.0.97
- 34.85.253.170
- 23.128.248.46
- 35.229.69.227
- 34.138.96.23
- 192.211.110.74
- 35.237.47.12
- 87.166.50.213
- 34.253.248.228
- 212.119.227.167
- 193.225.193.201
- 34.145.195.58
- 34.105.0.27
- 195.239.51.3
- 35.192.93.107
対応方法
手順 1
トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。
-
Troj.Win32.TRX.XXPE50FFF069
手順 2
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 3
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 4
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run
- BANDIT STEALER = {malware file path}\{malware file name}
手順 5
以下のファイルを検索し削除します。
- %Application Data%\blacklist.txt
- %AppDataLocal%\vicinfo\USERINFO.txt
- %AppDataLocal%\{Victim's IP address}.zip
手順 6
以下のフォルダを検索し削除します。
- %AppDataLocal%\Vicinfo
- %AppDataLocal%\{Victim's IP address}
手順 7
以下のファイルをバックアップを用いて修復します。なお、マイクロソフト製品に関連したファイルのみ修復されます。このマルウェア/グレイウェア/スパイウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。
- %AppDataLocal%\{Victim's IP address}\Telegram\user_data
- %AppDataLocal%\{Victim's IP address}\Telegram\user_data{#2-#10}
- %AppDataLocal%\{Victim's IP address}\Telegram\tdummy
手順 8
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TrojanSpy.Win64.BANDITSTEAL.THDBGBC」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください