Trojan.Win64.VICERCON.B
2020年2月20日
別名:
Trojan.Win32.Staser.cvfi (KASPERSKY); Gen:Variant.Ursu.723068 (BITDEFENDER)
プラットフォーム:
Windows
危険度:
ダメージ度:
感染力:
感染確認数:
システムへの影響:
情報漏えい:
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
感染経路 インターネットからのダウンロード, 他のマルウェアからの作成
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
ファイルサイズ 965,120 bytes
タイプ EXE
メモリ常駐 はい
発見日 2020年1月24日
ペイロード ファイルの作成
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %System%\{String Name}.exe - where String Name can be any of the following:
- about
- account
- activities
- administration
- advertised
- along
- always
- always
- areas
- around
- attend
- because
- become
- besides
- both
- capacity
- ceremony
- change
- cloud
- collecting
- command
- compromised
- computer
- constructive
- consultants
- cooperation
- coverage
- crime
- crowded
- cultural
- culture
- development
- development
- digital
- disable
- disaster
- Dongpo
- during
- energy
- ensure
- escalated
- even
- Even
- event
- Falcon
- Falcon
- featuring
- festivals
- figure
- financial
- firewalls
- First
- first
- former
- forum
- found
- from
- gotten
- governments
- historical
- hotbed
- imagine
- improve
- inadequate
- information
- innovation
- installed
- international
- learn
- legendary
- line
- machine
- management
- manager
- may
- Meanwhile
- memorial
- more
- needtemporarily
- neglect
- notice
- obvious
- often
- often
- opening
- opening
- past
- people
- performances
- poverty
- pretty
- prevention
- product
- products
- programs
- proper
- provided
- quality
- quickly
- realize
- recently
- recorded
- related
- residence
- response
- result
- routes
- running
- sanitation
- scenario
- scientific
- Sensor
- sensor
- services
- silently
- sites
- skeptical
- Slums
- slums
- special
- strengthening
- such
- suffer
- suggestions
- sure
- sustainable
- technological
- temple
- there
- those
- thought
- through
- tintr
- tools
- tourist
- transformation
- turn
- turned
- turning
- uninstall
- uninstall
- unwilling
- visit
- watch
- when
- which
- your
- yourself
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)
マルウェアは、以下のファイルを作成します。
- %System%\LogFiles\Sum\ksmv.exe - detected as TROJ_FRS.0NA103LN19
- %System%\LogFiles\Sum\{random letters}con.exe - detected as Coinminer.Win64.MALXMR.SMDCZ
- %System%\LogFiles\Sum\WinRing0x64.sys
- %System%\LogFiles\Sum\{random letters}cone.exe - Coinminer file
- %System%\wostmp\{random numbers} - copy of original malware
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)
マルウェアは、以下のフォルダを作成します。
- %System%\wostmp\
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)
自動実行方法
マルウェアは、以下のサービスを追加し、実行します。
- {random characters} - to execute %System%\{String Name}.exe
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)
他のシステム変更
マルウェアは、以下のレジストリ値を追加します。
HKEY_CLASSES_ROOT\SHTInfo
comment = {Hex Values}
HKEY_CURRENT_ROOT\SHTInfo
intranet = {Hex Values}
HKEY_CURRENT_ROOT\SHTInfo
notice = {Hex Values}
HKEY_CURRENT_ROOT\SHTInfo
peer = {Hex Values}
HKEY_CURRENT_ROOT\SHTInfo
staticpeer = {Malware Defined Values}
HKEY_CURRENT_ROOT\SHTInfo
tunnel = {Malware Defined Values}
HKEY_CURRENT_ROOT\SHTInfo
sha1 = {Malware Defined Values}
その他
マルウェアは、以下のレジストリキーを追加します。
HKEY_CLASSES_ROOT
SHTinfo =
マルウェアは、以下を実行します。
- It sends UDP packets to any of the following IP addresses within the network range:
- 1.{BLOCKED}.1 up to 1.{BLOCKED}.255
- 103.{BLOCKED}.0 up to 103.{BLOCKED}.255
- 103.{BLOCKED}.1 up to 103.{BLOCKED}.255
- 103.{BLOCKED}.0 up to 103.{BLOCKED}.255
- 104.{BLOCKED}.0 up to 104.{BLOCKED}.255
- 104.{BLOCKED}.0 up to 104.{BLOCKED}.255
- 107.{BLOCKED}.0 up to 107.{BLOCKED}.255
- 108.{BLOCKED}.0 up to 108.{BLOCKED}.255
- 108.{BLOCKED}.0 up to 108.{BLOCKED}.255
- 108.{BLOCKED}.0 up to 108.{BLOCKED}.255
- 109.{BLOCKED}.0 up to 109.{BLOCKED}.255
- 110.{BLOCKED}.1 up to 110.{BLOCKED}.255
- 110.{BLOCKED}.0 up to 110.{BLOCKED}.255
- 110.{BLOCKED}.1 up to 110.{BLOCKED}.255
- 111.{BLOCKED}.1 up to 111.{BLOCKED}.255
- 112.{BLOCKED}.0 up to 112.{BLOCKED}.255
- 113.{BLOCKED}.0 up to 113.{BLOCKED}.255
- 113.{BLOCKED}.0 up to 113.{BLOCKED}.255
- 113.{BLOCKED}.1 up to 113.{BLOCKED}.255
- 113.{BLOCKED}.0 up to 113.{BLOCKED}.255
- 113.{BLOCKED}.1 up to 113.{BLOCKED}.255
- 114.{BLOCKED}.1 up to 114.{BLOCKED}.255
- 115.{BLOCKED}.0 up to 115.{BLOCKED}.255
- 115.{BLOCKED}.1 up to 115.{BLOCKED}.255
- 115.{BLOCKED}.0 up to 115.{BLOCKED}.255
- 115.{BLOCKED}.1 up to 115.{BLOCKED}.255
- 116.{BLOCKED}.0 up to 116.{BLOCKED}.255
- 116.{BLOCKED}.1 up to 116.{BLOCKED}.255
- 117.{BLOCKED}.0 up to 117.{BLOCKED}.255
- 117.{BLOCKED}.1 up to 117.{BLOCKED}.255
- 117.{BLOCKED}.0 up to 117.{BLOCKED}.255
- 117.{BLOCKED}.0 up to 117.{BLOCKED}.255
- 117.{BLOCKED}.0 up to 117.{BLOCKED}.255
- 117.{BLOCKED}.0 up to 117.{BLOCKED}.255
- 118.{BLOCKED}.0 up to 118.{BLOCKED}.255
- 120.{BLOCKED}.0 up to 120.{BLOCKED}.255
- 120.{BLOCKED}.1 up to 120.{BLOCKED}.255
- 121.{BLOCKED}.0 up to 121.{BLOCKED}.255
- 121.{BLOCKED}.1 up to 121.{BLOCKED}.255
- 122.{BLOCKED}.0 up to 122.{BLOCKED}.255
- 122.{BLOCKED}.1 up to 122.{BLOCKED}.255
- 122.{BLOCKED}.1 up to 122.{BLOCKED}.255
- 122.{BLOCKED}.0 up to 122.{BLOCKED}.255
- 123.{BLOCKED}.1 up to 123.{BLOCKED}.255
- 123.{BLOCKED}.0 up to 123.{BLOCKED}.255
- 124.{BLOCKED}.1 up to 124.{BLOCKED}.255
- 124.{BLOCKED}.0 up to 124.{BLOCKED}.255
- 128.{BLOCKED}.0 up to 128.{BLOCKED}.255
- 14.{BLOCKED}.0 up to 14.{BLOCKED}.255
- 142.{BLOCKED}.0 up to 142.{BLOCKED}.255
- 149.{BLOCKED}.0 up to 149.{BLOCKED}.255
- 149.{BLOCKED}.0 up to 149.{BLOCKED}.255
- 153.{BLOCKED}.0 up to 153.{BLOCKED}.255
- 159.{BLOCKED}.0 up to 159.{BLOCKED}.255
- 163.{BLOCKED}.1 up to 163.{BLOCKED}.255
- 168.{BLOCKED}.1 up to 168.{BLOCKED}.255
- 171.{BLOCKED}.0 up to 171.{BLOCKED}.255
- 172.{BLOCKED}.1 up to 172.{BLOCKED}.255
- 177.{BLOCKED}.1 up to 177.{BLOCKED}.255
- 177.{BLOCKED}.0 up to 177.{BLOCKED}.255
- 180.{BLOCKED}.1 up to 180.{BLOCKED}.255
- 180.{BLOCKED}.0 up to 180.{BLOCKED}.255
- 180.{BLOCKED}.0 up to 180.{BLOCKED}.255
- 182.{BLOCKED}.0 up to 182.{BLOCKED}.255
- 182.{BLOCKED}.1 up to 182.{BLOCKED}.255
- 182.{BLOCKED}.1 up to 182.{BLOCKED}.255
- 182.{BLOCKED}.1 up to 182.{BLOCKED}.255
- 182.{BLOCKED}.0 up to 172.{BLOCKED}.255
- 182.{BLOCKED}.1 up to 182.{BLOCKED}.255
- 182.{BLOCKED}.0 up to 182.{BLOCKED}.255
- 182.{BLOCKED}.0 up to 182.{BLOCKED}.255
- 183.{BLOCKED}.1 up to 183.{BLOCKED}.255
- 183.{BLOCKED}.0 up to 183.{BLOCKED}.255
- 183.{BLOCKED}.1 up to 183.{BLOCKED}.255
- 183.{BLOCKED}.0 up to 183.{BLOCKED}.255
- 183.{BLOCKED}.0 up to 183.{BLOCKED}.255
- 184.{BLOCKED}.0 up to 184.{BLOCKED}.255
- 188.{BLOCKED}.1 up to 188.{BLOCKED}.255
- 190.{BLOCKED}.0 up to 190.{BLOCKED}.255
- 196.{BLOCKED}.0 up to 196.{BLOCKED}.255
- 197.{BLOCKED}.0 up to 197.{BLOCKED}.255
- 197.{BLOCKED}.1 up to 197.{BLOCKED}.255
- 197.{BLOCKED}.1 up to 197.{BLOCKED}.255
- 197.{BLOCKED}.0 up to 197.{BLOCKED}.255
- 197.{BLOCKED}.0 up to 197.{BLOCKED}.255
- 2.{BLOCKED}.0 up to 2.{BLOCKED}.255
- 202.{BLOCKED}.1 up to 202.{BLOCKED}.255
- 202.{BLOCKED}.0 up to 202.{BLOCKED}.255
- 202.{BLOCKED}.0 up to 202.{BLOCKED}.255
- 202.{BLOCKED}.1 up to 202.{BLOCKED}.255
- 202.{BLOCKED}.1 up to 202.{BLOCKED}.255
- 202.{BLOCKED}.1 up to 202.{BLOCKED}.255
- 203.{BLOCKED}.0 up to 203.{BLOCKED}.255
- 203.{BLOCKED}.1 up to 203.{BLOCKED}.255
- 203.{BLOCKED}.0 up to 203.{BLOCKED}.255
- 206.{BLOCKED}.0 up to 206.{BLOCKED}.255
- 218.{BLOCKED}.1 up to 218.{BLOCKED}.255
- 219.{BLOCKED}.1 up to 219.{BLOCKED}.255
- 220.{BLOCKED}.0 up to 220.{BLOCKED}.255
- 27.{BLOCKED}.0 up to 27.{BLOCKED}.255
- 27.{BLOCKED}.1 up to 27.{BLOCKED}.255
- 27.{BLOCKED}.1 up to 27.{BLOCKED}.255
- 36.{BLOCKED}.1 up to 36.{BLOCKED}.255
- 36.{BLOCKED}.0 up to 36.{BLOCKED}.255
- 36.{BLOCKED}.1 up to 36.{BLOCKED}.255
- 36.{BLOCKED}.0 up to 36.{BLOCKED}.255
- 36.{BLOCKED}.0 up to 36.{BLOCKED}.255
- 37.{BLOCKED}.1 up to 37.{BLOCKED}.255
- 41.{BLOCKED}.0 up to 41.{BLOCKED}.255
- 41.{BLOCKED}.1 up to 41.{BLOCKED}.255
- 42.{BLOCKED}.1 up to 42.{BLOCKED}.255
- 43.{BLOCKED}.1 up to 43.{BLOCKED}.255
- 43.{BLOCKED}.0 up to 43.{BLOCKED}.255
- 45.{BLOCKED}.1 up to 45.{BLOCKED}.255
- 45.{BLOCKED}.0 up to 45.{BLOCKED}.255
- 46.{BLOCKED}.0 up to 46.{BLOCKED}.255
- 46.{BLOCKED}.1 up to 46.{BLOCKED}.255
- 47.{BLOCKED}.0 up to 47.{BLOCKED}.255
- 47.{BLOCKED}.0 up to 47.{BLOCKED}.255
- 47.{BLOCKED}.0 up to 47.{BLOCKED}.255
- 47.{BLOCKED}.0 up to 47.{BLOCKED}.255
- 47.{BLOCKED}.0 up to 47.{BLOCKED}.255
- 47.{BLOCKED}.0 up to 47.{BLOCKED}.255
- 47.{BLOCKED}.0 up to 47.{BLOCKED}.255
- 47.{BLOCKED}0 up to 47.{BLOCKED}.255
- 47.{BLOCKED}.0 up to 47.{BLOCKED}.255
- 49.{BLOCKED}.1 up to 49.{BLOCKED}.255
- 49.{BLOCKED}.1 up to 49.{BLOCKED}.255
- 58.{BLOCKED}.0 up to 58.{BLOCKED}.255
- 59.{BLOCKED}.0 up to 59.{BLOCKED}.255
- 59.{BLOCKED}.1 up to 59.{BLOCKED}.255
- 60.{BLOCKED}.0 up to 60.{BLOCKED}.255
- 61.{BLOCKED}.0 up to 61.{BLOCKED}.255
- 61.{BLOCKED}.0 up to 61.{BLOCKED}.255
- 61.{BLOCKED}.1 up to 61.{BLOCKED}.255
- 61.{BLOCKED}.0 up to 61.{BLOCKED}.255
- 70.{BLOCKED}.1 up to 70.{BLOCKED}.255
- 82.{BLOCKED}.0 up to 82.{BLOCKED}.255
- 89.{BLOCKED}.0 up to 89.{BLOCKED}.255
- 91.{BLOCKED}.0 up to 91.{BLOCKED}.255
- 93.{BLOCKED}.0 up to 93.{BLOCKED}.255
- 94.{BLOCKED}.0 up to 94.{BLOCKED}.255
- 95.{BLOCKED}.0 up to 95.{BLOCKED}.255
- 96.{BLOCKED}.0 up to 96.{BLOCKED}.255
- 98.{BLOCKED}.0 up to 98.{BLOCKED}.255
- 99.{BLOCKED}.0 up to 99.{BLOCKED}.255
- It uses the following uncommon ports:
- 27930
- 18931
- It searches and gather data found in the following files:
- C:\1f.txt
- C:\1i.txt
- C:\1p.txt
- C:\Windows\1f.txt
- C:\Windows\1i.txt
- C:\Windows\1p.txt
- D:\1f.txt
- D:\1i.txt
- D:\1p.txt
- E:\1f.txt
- E:\1i.txt
- E:\1p.txt
対応方法
対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 15.692.07
初回 VSAPI パターンリリース日 2020年2月18日
VSAPI OPR パターンバージョン 15.693.00
VSAPI OPR パターンリリース日 2020年2月19日
手順 1
トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。
-
Troj.Win32.TRX.XXPE50FFF033
手順 2
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 3
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 4
Windowsをセーフモードで再起動します。
[ 詳細 ]
手順 5
このマルウェアのサービスを無効にします。
[ 詳細 ]
- {Random Values}
手順 6
このレジストリキーを削除します。
[ 詳細 ]
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CLASSES_ROOT
- SHTInfo
- SHTInfo
手順 7
以下のファイルを検索し削除します。
[ 詳細 ]
コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。 - %System%\{String Name}.exe
- %System%\LogFiles\Sum\ksmv.exe
- %System%\LogFiles\Sum\{random letters}con.exe
- %System%\LogFiles\Sum\WinRing0x64.sys
- %System%\LogFiles\Sum\{random letters}cone.exe
- %System%\wostmp\{random numbers}
手順 8
以下のフォルダを検索し削除します。
[ 詳細 ]
註:このフォルダは、隠しフォルダとして設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。 %System%\wostmp\手順 9
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「Trojan.Win64.VICERCON.B」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください