Trend Micro Security

Trojan.PS1.KILLSVC.A

2020年8月13日
 解析者: Joshua John Bantayan   
 別名:

PowerShell/Agent.NL trojan (NOD32)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化: なし
  • 感染報告の有無: はい

  概要

感染経路 他のマルウェアからの作成, インターネットからのダウンロード

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 8,311 bytes
タイプ PS1
メモリ常駐 なし
発見日 2020年8月12日
ペイロード サービスの無効, プロセスの強制終了

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

プロセスの終了

マルウェアは、感染コンピュータ上で確認した以下のサービスを終了します。

  • 3CX
  • ADWS
  • AGMService
  • AGSService
  • AMPPALR3
  • AMS
  • ARSM
  • ASM
  • AcrSch2Svc
  • AcronisActiveProtectionService
  • AcronisAgent
  • AcronisMonitoringService
  • AcronisZmqGw
  • AdobeARMservice
  • AdobeActiveFileMonitor10.0
  • AdobeFlashPlayerUpdateSvc
  • AdobeUpdateService
  • AnyDesk
  • Apache
  • Apple Bonjour Service
  • Apple Mobile Device
  • Apple Mobile Device Service
  • BASupportExpressSrvcUpdater_LOGICnow
  • BASupportExpressSrvcUpdater_N_Central
  • BASupportExpressStandaloneService_LOGICnow
  • BASupportExpressStandaloneService_N_Central
  • BTHSSecurityMgr
  • Backupper Service
  • BayanService
  • CIMnotify
  • CcmExec
  • Check_MK_Agent
  • Cissesrv
  • ClickToRunSvc
  • CodeMeter.exe
  • CpqNicMgmt
  • CpqRcmc3
  • CqMgHost
  • CqMgServ
  • CqMgStor
  • DESIGO INSIGHT Trace Service
  • DPMClientService
  • DPMRA
  • DpmCPWrapperService
  • DriveLock
  • FileOpenManagerSvc
  • FlowExport
  • FontCache
  • HPSIService
  • HPWMISTOR
  • HealthService
  • IAStorDataMgrSvc
  • IBM Domino
  • LicSvrM
  • MMAExtensionHeartbeatService
  • MMS
  • MSCRMAsyncService
  • MSCRMAsyncService`$maintenance
  • MSCRMMonitoringService
  • MSCRMSandboxService
  • MSCRMUnzipService
  • MSDTC
  • MSExchange
  • MSOLAP`$SQL
  • MSSQL
  • Microsoft.Crm.VssWriterService.exe
  • MsDts
  • MsDtsServer100
  • MySQL
  • NGCLIENT
  • NVWMI
  • NetPipeActivator
  • NetTcpActivator
  • NetTcpPortSharing
  • OpenVPNAccessClient
  • OracleMTSRecoveryService
  • OracleOraDb11g_home1ClrAgent
  • OracleOraDb11g_home1TNSListener
  • OracleServiceINFAORCL
  • PolicyAgent
  • ProLiantMonitor
  • QB
  • QBCFMonitorService
  • QBFCService
  • QuickBooksDB
  • msftesql
  • QuickBooksDB20
  • RdAgent
  • Realtek11nCU
  • ReportServer
  • ReportServer`$ISARS
  • ReportServer`$SQL
  • RtkAudioService
  • SDRSVC
  • SNMPTRAP
  • SPAdmin
  • SPTrace
  • SQL
  • SentinelKeysServer
  • SentinelProtectionServer
  • SentinelSecurityRuntime
  • ShadowProtectSvc
  • ShutdownMon
  • SoftwareProxyJavaChecker
  • Spooler
  • SysMgmtHp
  • TdmService
  • TeamViewer
  • Tomcat
  • UNS
  • VGAuthService
  • VMAuthdService
  • VMTools
  • VMUSBArbService
  • VMnetDHCP
  • VMware
  • VSS
  • Veeam
  • VisualSVN
  • VisualSVNServer
  • WSearch
  • WinDefend
  • WindowsAzure
  • Wsearch
  • aspnet_state
  • bkserv
  • btwdins
  • cpqvcagent
  • cramsrv
  • crserv
  • crsyslog
  • db
  • dbex
  • discagt
  • disvc
  • dlhm
  • dwmrcs
  • fvstermiser
  • hMailServer
  • hist32
  • iPod Service
  • ibmiasrw
  • jhi_service
  • mr2kserv
  • msftesql-Exchange
  • mysql
  • nvsvc
  • oracle
  • osppsvc
  • pgguard
  • pgsql
  • postgresql
  • sppsvc
  • sshd
  • swprv
  • sysdown
  • tvnserver
  • uvnc_service
  • vbox
  • vcsFPService
  • vmic
  • vmicheartbeat
  • vmickvpexchange
  • vmicrdv
  • vmicshutdown
  • vmictimesync
  • vmicvss
  • vmw
  • wamp
  • wbengine
  • wlidsvc
  • SBOCli Rbkernel RbApplic RbSch

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

  • ABService
  • AGMService
  • AGSService
  • Acrobat
  • Adobe CEF Helper
  • Adobe Desktop Service
  • AdobeARM
  • AdobeCollabSync
  • AdobeIPCBroker
  • AdobeUpdateService
  • Agent_CORBA
  • AnyDesk
  • ApacheMonitor
  • AppleMobileDeviceService
  • ApplicationFrameHost
  • AsmMonitoringAgent
  • Atenet.Service
  • BASupSrvc
  • BASupSrvcCnfg
  • BASupSrvcUpdater
  • BTHSAmpPalService
  • BTHSSecurityMgr
  • BayanService
  • BigAnt
  • BmsAccess
  • BmsCommon
  • BmsPonAlarmTL1
  • BmsPonEmsTL1
  • BmsTest
  • BrCcUxSys
  • BrCtrlCntr
  • BrStMonW
  • BrYNSvc
  • BrotherHelp
  • BulkCollectorDm
  • CCC
  • CCXProcess
  • CcmExec
  • Citect32
  • CodeMeter
  • CodeMeterCC
  • ConfigurationWizard
  • CoreSync
  • Creative Cloud
  • CrmAsyncService
  • DLHM
  • DLMDnsSvc
  • DPMClient
  • DPMClientService
  • DPMClientUI
  • DWRCS.EXE
  • DWRCST.EXE
  • DellSystemDetect
  • DismHost
  • DriveLock
  • DymoPnpService
  • DymoQuickPrint
  • DynUpSvc
  • EEventManager
  • EFI
  • ES1000
  • ES1000Server
  • ES1000Service
  • EXCEL.EXE
  • Ec2Config
  • EcuRemote
  • EdgeTransport
  • Everything
  • Evolution
  • EvolutionECommService
  • Fiery Software
  • Fiery Software Manager
  • FileOpenBroker64
  • FileOpenManagerSvc64
  • FlashUtil64_31_0_0_122_ActiveX
  • FlowExport
  • Freedom.ServiceHost
  • GWX
  • GoogleCrashHandler
  • GoogleUpdate
  • HPDesignJetUtility
  • HPSIsvc
  • HPWMISVC
  • IAStorDataMgrSvc
  • IAStorIcon
  • IBM
  • Launchpad
  • LavasoftTcpService
  • LicSvrM
  • MOM
  • MSExchangeADTopologyService
  • MSExchangeMailSubmission
  • MSExchangeMailboxAssistants
  • MSExchangeThrottling
  • MSExchangeTransport
  • MSExchangeTransportLogSearch
  • MacriumService
  • MailRuUpdater
  • Microsoft.ActiveDirectory.WebServices
  • Microsoft.Crm.VssWriterService
  • Microsoft.Exchange.AddressBook.Service
  • Microsoft.Exchange.AntispamUpdateSvc
  • Microsoft.Exchange.EdgeSyncSvc
  • Microsoft.Exchange.Imap4
  • Microsoft.Exchange.Imap4Service
  • Microsoft.Exchange.Pop3
  • Microsoft.Exchange.Pop3Service
  • Microsoft.Exchange.ProtectedServiceHost
  • Microsoft.Exchange.RpcClientAccess.Service
  • Microsoft.Exchange.ServiceHost
  • MonAgentCore
  • MonAgentHost
  • MonAgentManager
  • MonitoringHost
  • MpCmdRun
  • MsDtsSrvr
  • MsExchangeFDS
  • ONENOTEM.EXE
  • OSPPSVC.EXE
  • OUTLOOK.EXE
  • OfficeClickToRun
  • OfficeHubTaskHost
  • PAGEANT.EXE
  • POWERPNT.EXE
  • PUTTY.EXE
  • PWRISOVM
  • PWRISOVM.EXE
  • PhotoshopElementsFileAgent
  • PmRepAgent
  • PrintIsolationHost
  • PrivacyIconClient
  • PrnHtml
  • ProLiantMonitor
  • QBCFMonitorService
  • QBDBMgrN
  • QBW32.EXE
  • RSHostingService
  • RSManagement
  • RSPortal
  • Receiver
  • ReflectMonitor
  • ReflectUI
  • ReportingServicesService
  • RoxioBurnLauncher
  • RtDCpl
  • RtHDVBg
  • RtWLan
  • RtkAudioService
  • RtlService
  • SMSvcHost
  • SNMPAgent
  • SPA_Net
  • SQLAGENT.EXE
  • SearchIndexer
  • SecurityScanMgr
  • SelfService
  • SelfServicePlugin
  • Service_KMS
  • Siemens.DesigoInsight.Service
  • SkyLightWorkspace
  • SkyLightWorkspaceConfigService
  • Stxhd.HostAgents
  • Stxhd.HostAgents.ChannelRegistrar
  • Stxhd.HostAgents.HAService
  • Stxhd.HostAgents.InputInjectionAgent
  • Stxhd.HostAgents.LogonAgent
  • Stxhd.HostAgents.LogstashAgent
  • Stxhd.HostAgents.PanamaCredsAgent
  • Stxhd.HostAgents.PegasusAgent
  • Stxhd.HostAgents.StxhdAgent
  • TNSLSNR.EXE
  • TdmService
  • TeamViewer_Service
  • Tomcat8Testing
  • Tomcat9
  • TortoiseProc
  • UNS
  • UltraViewer_Service
  • VSSVC
  • Veeam.Backup.CatalogDataService
  • Veeam.Backup.MountService
  • Veeam.Guest.Interaction.Proxy
  • VeeamDeploymentSvc
  • VeeamNFSSvc
  • VeeamTransportSvc
  • VisualSVNServer
  • WINWORD.EXE
  • WLIDSVC.EXE
  • WLIDSVCM.EXE
  • WaAppAgent
  • WinRAR
  • WindowsAzureGuestAgent
  • WindowsAzureTelemetryService
  • WrmServ
  • XperiaCompanionService
  • YunDetectService
  • account_server
  • acronis_license_service
  • acronis_notification_service
  • acrotray
  • agent
  • aircontrol
  • amazon-ssm
  • amazon-ssm-agent
  • ams_web_service
  • api_gateway
  • armsvc
  • arsm
  • asm
  • aspnet_state
  • atieclxx
  • atiesrxx
  • audiodg
  • bes10
  • bkserv
  • black
  • btwdins
  • capiws
  • catalog_manager
  • check_mk_agent
  • chrome
  • concentr
  • cpqnimgt
  • cpqteam
  • cqmghost
  • cqmgserv
  • cqmgstor
  • cramsrv
  • crserv
  • cygrunsrv
  • dbextclr11
  • ddm
  • discagt
  • e-faktura notifier
  • eEBSvc
  • egui
  • ekm
  • excel
  • exfba
  • fbguard
  • fbserver
  • fdhost
  • fdlauncher
  • firefox
  • fmplugin
  • ftpdaemon
  • fvstermiser
  • group_manager
  • hMailServer
  • hist32
  • hpsmhd
  • hpssaresponder
  • hpwmistor
  • hpwuschd2
  • httpd
  • iPodService
  • iTunesHelper
  • igfxEM
  • igfxHK
  • igfxTray
  • infasvcs
  • java
  • javacp
  • javaw
  • jhi_service
  • jre-8u191-windows-au
  • jucheck
  • jusched
  • lmgrd
  • mDNSResponder
  • mad
  • mmc
  • mqsvc
  • mrupdsrv
  • msaccess
  • msdtc
  • msexchangerepl
  • msftesql
  • msmdsrv
  • msserver
  • mysql
  • mysqld
  • mysqld-nt
  • net stop DymoPnpService
  • ngctw32
  • ngtray
  • node
  • ntfsvc
  • nusb3mon
  • nvvsvc
  • nvwmi64
  • ofaApp
  • omtsreco
  • oracle
  • pcoip_
  • pcoip_agent
  • pcoip_arbiter_win32
  • pcoip_vchan_printing_svc
  • pmserver
  • pmwflmgr
  • pmwfmntr
  • policy_manager
  • postg
  • python
  • qbupdate
  • redirector
  • rotatelogs
  • rundll32
  • sage
  • scheduler
  • shutdownmon
  • smhstart
  • snmpc32
  • sntlkeyssrvr
  • sntlsrtsrvr
  • spnsrvnt
  • spoolsv
  • sppsvc
  • sql
  • sqlbrowser
  • sqlceip
  • sqlservr
  • sqlwriter
  • sshd
  • startupcfg
  • store
  • task_manager
  • textagent
  • trcsrv
  • uTorrent
  • unsecapp
  • update_service
  • upeksvr
  • utorrentie
  • vault_manager
  • vcagent
  • vcsFPService
  • vee
  • vmtoolsd
  • vmware
  • w3wp
  • wfcrun32
  • winvnc
  • winword
  • zmqgw

その他

マルウェアは、以下を実行します。

  • Terminates VM Services
  • Deletes shadow copies
  • Clears event logs
  • Changes cmd forground color to "darkgray"
  • Changes cmd background color to "cyan"

  対応方法

対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 16.162.03
初回 VSAPI パターンリリース日 2020年8月13日
VSAPI OPR パターンバージョン 16.163.00
VSAPI OPR パターンリリース日 2020年8月14日

手順 1

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Trojan.PS1.KILLSVC.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください