RTKT_NECURS.BGSH
Trojan:WinNT/Necurs.A (Microsoft), Trojan.WinNT.Necurs.a (v) (Sunbelt), Trojan.WinNT.Necurs (Ikarus), Win32/TrojanDownloader.Necurs.A (NOD32)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化: はい
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。 マルウェアは、他のマルウェアに作成され、コンピュータに侵入します。
マルウェアは、ワーム活動の機能を備えていません。
マルウェアは、バックドア活動の機能を備えていません。
マルウェアは、ダウンロードする機能を備えていません。
マルウェアは、情報収集する機能を備えていません。
マルウェア マルウェアは、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、以下のマルウェアに作成され、コンピュータに侵入します。
- TSPY_ZBOT.YUNKC
インストール
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %System%\drivers\{random filename}.sys
(註:%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)
自動実行方法
マルウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_{malware filename}
NextInstance = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_{malware filename}\
0000
Service = "{malware filename}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_{malware filename}\
0000
Legacy = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_{malware filename}\
0000
ConfigFlags = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_{malware filename}\
0000
Class = "LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_{malware filename}\
0000
ClassGUID = "{GUID}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_{malware filename}\
0000
DeviceDesc = "{malware filename}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_{malware filename}\
0000\Control
*NewlyCreated* = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_{malware filename}\
0000\Control
ActiveService = "{malware filename}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_{random filename}
NextInstance = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_{random filename}\
0000
Service = "{random filename}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_{random filename}\
0000
Legacy = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_{random filename}\
0000
ConfigFlags = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_{random filename}\
0000
Class = "LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_{random filename}\
0000
ClassGUID = "{GUID}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_{random filename}\
0000
DeviceDesc = "{malware filename}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_{random filename}\
0000\Control
*NewlyCreated* = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_{random filename}\
0000\Control
ActiveService = "{malware filename}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random filename}
DisplayName = "{malware filename}.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random filename}
ImagePath = "%System%\drivers\{random filename}.sys"
マルウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random filename}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_{malware filename}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_{malware filename}\
0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_{malware filename}\
0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_{random filename}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_{random filename}\
0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_{random filename}\
0000\Control
感染活動
マルウェアは、ワーム活動の機能を備えていません。
バックドア活動
マルウェアは、バックドア活動の機能を備えていません。
ルートキット機能
マルウェアは、ルートキット機能を備えており、この機能が他のマルウェアの不正活動に利用されます。
ダウンロード活動
マルウェアは、ダウンロードする機能を備えていません。
情報漏えい
マルウェアは、情報収集する機能を備えていません。
その他
マルウェア は、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。
マルウェアは、コードを改変することにより、以下の企業で使用されるサービスを無効にして、実行を防ぎます。
- Agnitum Ltd
- ALWIL Software
- Anti-Virus
- antimalware
- Avira GmbH
- Beijing Jiangmin
- Beijing Rising
- BITDEFENDER LLC
- BitDefender SRL
- BullGuard Ltd
- Check Point Software Technologies Ltd
- CJSC Returnil Software
- Comodo Inc
- Comodo Security Solutions
- Doctor Web Ltd
- ESET, spol. s r.o.
- FRISK Software International Ltd
- G DATA Software
- GRISOFT, s.r.o.
- Immunet Corporation
- K7 Computing
- Kaspersky Lab
- KProcessHacker
- NovaShield Inc
- Panda Software International
- PC Tools
- Quick Heal Technologies
- Sophos Plc
- SUNBELT SOFTWARE
- VirusBuster Ltd
マルウェアは、コードを改変することにより、以下の名称を持つドライバを無効にして、実行を防ぎます。
- a2acc.sys
- a2acc64.sys
- a2gffi64.sys
- a2gffx64.sys
- a2gffx86.sys
- ahnflt2k.sys
- AhnRec2k.sys
- AhnRghLh.sys
- amfsm.sys
- amm6460.sys
- amm8660.sys
- AntiLeakFilter.sys
- antispyfilter.sys
- AntiyFW.sys
- ArfMonNt.sys
- AshAvScan.sys
- aswmonflt.sys
- AszFltNt.sys
- ATamptNt.sys
- AVC3.SYS
- AVCKF.SYS
- avgmfi64.sys
- avgmfrs.sys
- avgmfx64.sys
- avgmfx86.sys
- avgntflt.sys
- avmf.sys
- BdFileSpy.sys
- bdfm.sys
- bdfsfltr.sys
- caavFltr.sys
- catflt.sys
- cmdguard.sys
- csaav.sys
- cwdriver.sys
- drivesentryfilterdriver2lite.sys
- dwprot.sys
- eamonm.sys
- eeCtrl.sys
- eeyehv.sys
- eeyehv64.sys
- eraser.sys
- EstRkmon.sys
- EstRkr.sys
- fildds.sys
- fortimon2.sys
- fortirmon.sys
- fortishield.sys
- fpav_rtp.sys
- fsfilter.sys
- fsgk.sys
- ggc.sys
- HookCentre.sys
- HookSys.sys
- ikfilesec.sys
- ino_fltr.sys
- issfltr.sys
- issregistry.sys
- K7Sentry.sys
- klbg.sys
- kldback.sys
- kldlinf.sys
- kldtool.sys
- klif.sys
- kmkuflt.sys
- KmxAgent.sys
- KmxAMRT.sys
- KmxAMVet.sys
- KmxStart.sys
- kprocesshacker.sys
- lbd.sys
- MaxProtector.sys
- mbam.sys
- mfehidk.sys
- mfencoas.sys
- MiniIcpt.sys
- mpFilter.sys
- NanoAVMF.sys
- NovaShield.sys
- nprosec.sys
- nregsec.sys
- nvcmflt.sys
- NxFsMon.sys
- OADevice.sys
- OMFltLh.sys
- PCTCore.sys
- PCTCore64.sys
- pervac.sys
- PktIcpt.sys
- PLGFltr.sys
- PSINFILE.SYS
- PSINPROC.SYS
- pwipf6.sys
- PZDrvXP.sys
- Rtw.sys
- rvsmon.sys
- sascan.sys
- savant.sys
- savonaccess.sys
- SCFltr.sys
- SDActMon.sys
- SegF.sys
- shldflt.sys
- SMDrvNt.sys
- snscore.sys
- Spiderg3.sys
- SRTSP.sys
- SRTSP64.SYS
- SRTSPIT.sys
- ssfmonm.sys
- ssvhook.sys
- STKrnl64.sys
- strapvista.sys
- strapvista64.sys
- THFilter.sys
- tkfsavxp.sys
- tkfsavxp64.sys
- tkfsft.sys
- tkfsft64.sys
- tmevtmgr.sys
- tmpreflt.sys
- UFDFilter.sys
- v3engine.sys
- V3Flt2k.sys
- V3Flu2k.sys
- V3Ift2k.sys
- V3IftmNt.sys
- V3MifiNt.sys
- Vba32dNT.sys
- vcdriv.sys
- vchle.sys
- vcMFilter.sys
- vcreg.sys
- vradfil2.sys
- ZxFsFilt.sys
マルウェアは、脆弱性を利用した感染活動を行いません。
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 3
このマルウェアのパス名およびファイル名を確認します。
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用いてウイルス検索を実行してください。「RTKT_NECURS.BGSH」で検出したパス名およびファイル名を確認し、メモ等をとってください。
手順 4
Windowsをセーフモードで再起動します。
手順 5
このレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- {random filename}
- {random filename}
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root
- LEGACY_{malware filename}
- LEGACY_{malware filename}
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root
- LEGACY_{random filename}
- LEGACY_{random filename}
手順 6
「RTKT_NECURS.BGSH」として検出されたファイルを検索し削除します。
手順 7
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「RTKT_NECURS.BGSH」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください