Trojan.PS1.KILLSVC.A
2020年8月13日
別名:
PowerShell/Agent.NL trojan (NOD32)
プラットフォーム:
Windows
危険度:
ダメージ度:
感染力:
感染確認数:
情報漏えい:
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
感染経路 他のマルウェアからの作成, インターネットからのダウンロード
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
ファイルサイズ 8,311 bytes
タイプ PS1
メモリ常駐 なし
発見日 2020年8月12日
ペイロード サービスの無効, プロセスの強制終了
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
プロセスの終了
マルウェアは、感染コンピュータ上で確認した以下のサービスを終了します。
- 3CX
- ADWS
- AGMService
- AGSService
- AMPPALR3
- AMS
- ARSM
- ASM
- AcrSch2Svc
- AcronisActiveProtectionService
- AcronisAgent
- AcronisMonitoringService
- AcronisZmqGw
- AdobeARMservice
- AdobeActiveFileMonitor10.0
- AdobeFlashPlayerUpdateSvc
- AdobeUpdateService
- AnyDesk
- Apache
- Apple Bonjour Service
- Apple Mobile Device
- Apple Mobile Device Service
- BASupportExpressSrvcUpdater_LOGICnow
- BASupportExpressSrvcUpdater_N_Central
- BASupportExpressStandaloneService_LOGICnow
- BASupportExpressStandaloneService_N_Central
- BTHSSecurityMgr
- Backupper Service
- BayanService
- CIMnotify
- CcmExec
- Check_MK_Agent
- Cissesrv
- ClickToRunSvc
- CodeMeter.exe
- CpqNicMgmt
- CpqRcmc3
- CqMgHost
- CqMgServ
- CqMgStor
- DESIGO INSIGHT Trace Service
- DPMClientService
- DPMRA
- DpmCPWrapperService
- DriveLock
- FileOpenManagerSvc
- FlowExport
- FontCache
- HPSIService
- HPWMISTOR
- HealthService
- IAStorDataMgrSvc
- IBM Domino
- LicSvrM
- MMAExtensionHeartbeatService
- MMS
- MSCRMAsyncService
- MSCRMAsyncService`$maintenance
- MSCRMMonitoringService
- MSCRMSandboxService
- MSCRMUnzipService
- MSDTC
- MSExchange
- MSOLAP`$SQL
- MSSQL
- Microsoft.Crm.VssWriterService.exe
- MsDts
- MsDtsServer100
- MySQL
- NGCLIENT
- NVWMI
- NetPipeActivator
- NetTcpActivator
- NetTcpPortSharing
- OpenVPNAccessClient
- OracleMTSRecoveryService
- OracleOraDb11g_home1ClrAgent
- OracleOraDb11g_home1TNSListener
- OracleServiceINFAORCL
- PolicyAgent
- ProLiantMonitor
- QB
- QBCFMonitorService
- QBFCService
- QuickBooksDB
- msftesql
- QuickBooksDB20
- RdAgent
- Realtek11nCU
- ReportServer
- ReportServer`$ISARS
- ReportServer`$SQL
- RtkAudioService
- SDRSVC
- SNMPTRAP
- SPAdmin
- SPTrace
- SQL
- SentinelKeysServer
- SentinelProtectionServer
- SentinelSecurityRuntime
- ShadowProtectSvc
- ShutdownMon
- SoftwareProxyJavaChecker
- Spooler
- SysMgmtHp
- TdmService
- TeamViewer
- Tomcat
- UNS
- VGAuthService
- VMAuthdService
- VMTools
- VMUSBArbService
- VMnetDHCP
- VMware
- VSS
- Veeam
- VisualSVN
- VisualSVNServer
- WSearch
- WinDefend
- WindowsAzure
- Wsearch
- aspnet_state
- bkserv
- btwdins
- cpqvcagent
- cramsrv
- crserv
- crsyslog
- db
- dbex
- discagt
- disvc
- dlhm
- dwmrcs
- fvstermiser
- hMailServer
- hist32
- iPod Service
- ibmiasrw
- jhi_service
- mr2kserv
- msftesql-Exchange
- mysql
- nvsvc
- oracle
- osppsvc
- pgguard
- pgsql
- postgresql
- sppsvc
- sshd
- swprv
- sysdown
- tvnserver
- uvnc_service
- vbox
- vcsFPService
- vmic
- vmicheartbeat
- vmickvpexchange
- vmicrdv
- vmicshutdown
- vmictimesync
- vmicvss
- vmw
- wamp
- wbengine
- wlidsvc
- SBOCli Rbkernel RbApplic RbSch
マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。
- ABService
- AGMService
- AGSService
- Acrobat
- Adobe CEF Helper
- Adobe Desktop Service
- AdobeARM
- AdobeCollabSync
- AdobeIPCBroker
- AdobeUpdateService
- Agent_CORBA
- AnyDesk
- ApacheMonitor
- AppleMobileDeviceService
- ApplicationFrameHost
- AsmMonitoringAgent
- Atenet.Service
- BASupSrvc
- BASupSrvcCnfg
- BASupSrvcUpdater
- BTHSAmpPalService
- BTHSSecurityMgr
- BayanService
- BigAnt
- BmsAccess
- BmsCommon
- BmsPonAlarmTL1
- BmsPonEmsTL1
- BmsTest
- BrCcUxSys
- BrCtrlCntr
- BrStMonW
- BrYNSvc
- BrotherHelp
- BulkCollectorDm
- CCC
- CCXProcess
- CcmExec
- Citect32
- CodeMeter
- CodeMeterCC
- ConfigurationWizard
- CoreSync
- Creative Cloud
- CrmAsyncService
- DLHM
- DLMDnsSvc
- DPMClient
- DPMClientService
- DPMClientUI
- DWRCS.EXE
- DWRCST.EXE
- DellSystemDetect
- DismHost
- DriveLock
- DymoPnpService
- DymoQuickPrint
- DynUpSvc
- EEventManager
- EFI
- ES1000
- ES1000Server
- ES1000Service
- EXCEL.EXE
- Ec2Config
- EcuRemote
- EdgeTransport
- Everything
- Evolution
- EvolutionECommService
- Fiery Software
- Fiery Software Manager
- FileOpenBroker64
- FileOpenManagerSvc64
- FlashUtil64_31_0_0_122_ActiveX
- FlowExport
- Freedom.ServiceHost
- GWX
- GoogleCrashHandler
- GoogleUpdate
- HPDesignJetUtility
- HPSIsvc
- HPWMISVC
- IAStorDataMgrSvc
- IAStorIcon
- IBM
- Launchpad
- LavasoftTcpService
- LicSvrM
- MOM
- MSExchangeADTopologyService
- MSExchangeMailSubmission
- MSExchangeMailboxAssistants
- MSExchangeThrottling
- MSExchangeTransport
- MSExchangeTransportLogSearch
- MacriumService
- MailRuUpdater
- Microsoft.ActiveDirectory.WebServices
- Microsoft.Crm.VssWriterService
- Microsoft.Exchange.AddressBook.Service
- Microsoft.Exchange.AntispamUpdateSvc
- Microsoft.Exchange.EdgeSyncSvc
- Microsoft.Exchange.Imap4
- Microsoft.Exchange.Imap4Service
- Microsoft.Exchange.Pop3
- Microsoft.Exchange.Pop3Service
- Microsoft.Exchange.ProtectedServiceHost
- Microsoft.Exchange.RpcClientAccess.Service
- Microsoft.Exchange.ServiceHost
- MonAgentCore
- MonAgentHost
- MonAgentManager
- MonitoringHost
- MpCmdRun
- MsDtsSrvr
- MsExchangeFDS
- ONENOTEM.EXE
- OSPPSVC.EXE
- OUTLOOK.EXE
- OfficeClickToRun
- OfficeHubTaskHost
- PAGEANT.EXE
- POWERPNT.EXE
- PUTTY.EXE
- PWRISOVM
- PWRISOVM.EXE
- PhotoshopElementsFileAgent
- PmRepAgent
- PrintIsolationHost
- PrivacyIconClient
- PrnHtml
- ProLiantMonitor
- QBCFMonitorService
- QBDBMgrN
- QBW32.EXE
- RSHostingService
- RSManagement
- RSPortal
- Receiver
- ReflectMonitor
- ReflectUI
- ReportingServicesService
- RoxioBurnLauncher
- RtDCpl
- RtHDVBg
- RtWLan
- RtkAudioService
- RtlService
- SMSvcHost
- SNMPAgent
- SPA_Net
- SQLAGENT.EXE
- SearchIndexer
- SecurityScanMgr
- SelfService
- SelfServicePlugin
- Service_KMS
- Siemens.DesigoInsight.Service
- SkyLightWorkspace
- SkyLightWorkspaceConfigService
- Stxhd.HostAgents
- Stxhd.HostAgents.ChannelRegistrar
- Stxhd.HostAgents.HAService
- Stxhd.HostAgents.InputInjectionAgent
- Stxhd.HostAgents.LogonAgent
- Stxhd.HostAgents.LogstashAgent
- Stxhd.HostAgents.PanamaCredsAgent
- Stxhd.HostAgents.PegasusAgent
- Stxhd.HostAgents.StxhdAgent
- TNSLSNR.EXE
- TdmService
- TeamViewer_Service
- Tomcat8Testing
- Tomcat9
- TortoiseProc
- UNS
- UltraViewer_Service
- VSSVC
- Veeam.Backup.CatalogDataService
- Veeam.Backup.MountService
- Veeam.Guest.Interaction.Proxy
- VeeamDeploymentSvc
- VeeamNFSSvc
- VeeamTransportSvc
- VisualSVNServer
- WINWORD.EXE
- WLIDSVC.EXE
- WLIDSVCM.EXE
- WaAppAgent
- WinRAR
- WindowsAzureGuestAgent
- WindowsAzureTelemetryService
- WrmServ
- XperiaCompanionService
- YunDetectService
- account_server
- acronis_license_service
- acronis_notification_service
- acrotray
- agent
- aircontrol
- amazon-ssm
- amazon-ssm-agent
- ams_web_service
- api_gateway
- armsvc
- arsm
- asm
- aspnet_state
- atieclxx
- atiesrxx
- audiodg
- bes10
- bkserv
- black
- btwdins
- capiws
- catalog_manager
- check_mk_agent
- chrome
- concentr
- cpqnimgt
- cpqteam
- cqmghost
- cqmgserv
- cqmgstor
- cramsrv
- crserv
- cygrunsrv
- dbextclr11
- ddm
- discagt
- e-faktura notifier
- eEBSvc
- egui
- ekm
- excel
- exfba
- fbguard
- fbserver
- fdhost
- fdlauncher
- firefox
- fmplugin
- ftpdaemon
- fvstermiser
- group_manager
- hMailServer
- hist32
- hpsmhd
- hpssaresponder
- hpwmistor
- hpwuschd2
- httpd
- iPodService
- iTunesHelper
- igfxEM
- igfxHK
- igfxTray
- infasvcs
- java
- javacp
- javaw
- jhi_service
- jre-8u191-windows-au
- jucheck
- jusched
- lmgrd
- mDNSResponder
- mad
- mmc
- mqsvc
- mrupdsrv
- msaccess
- msdtc
- msexchangerepl
- msftesql
- msmdsrv
- msserver
- mysql
- mysqld
- mysqld-nt
- net stop DymoPnpService
- ngctw32
- ngtray
- node
- ntfsvc
- nusb3mon
- nvvsvc
- nvwmi64
- ofaApp
- omtsreco
- oracle
- pcoip_
- pcoip_agent
- pcoip_arbiter_win32
- pcoip_vchan_printing_svc
- pmserver
- pmwflmgr
- pmwfmntr
- policy_manager
- postg
- python
- qbupdate
- redirector
- rotatelogs
- rundll32
- sage
- scheduler
- shutdownmon
- smhstart
- snmpc32
- sntlkeyssrvr
- sntlsrtsrvr
- spnsrvnt
- spoolsv
- sppsvc
- sql
- sqlbrowser
- sqlceip
- sqlservr
- sqlwriter
- sshd
- startupcfg
- store
- task_manager
- textagent
- trcsrv
- uTorrent
- unsecapp
- update_service
- upeksvr
- utorrentie
- vault_manager
- vcagent
- vcsFPService
- vee
- vmtoolsd
- vmware
- w3wp
- wfcrun32
- winvnc
- winword
- zmqgw
その他
マルウェアは、以下を実行します。
- Terminates VM Services
- Deletes shadow copies
- Clears event logs
- Changes cmd forground color to "darkgray"
- Changes cmd background color to "cyan"
対応方法
対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 16.162.03
初回 VSAPI パターンリリース日 2020年8月13日
VSAPI OPR パターンバージョン 16.163.00
VSAPI OPR パターンリリース日 2020年8月14日
手順 1
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Trojan.PS1.KILLSVC.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください