PUA.Win64.PCHunter.A

2022年8月22日

更新者 : Mc Justine De Guzman

プラットフォーム:

Windows

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ:
潜在的に迷惑なアプリケーション
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい

概要

感染経路インターネットからのダウンロード

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

プログラムは、特定のWebサイトにアクセスし、情報を送受信します。

詳細

ファイルサイズ 9,522,224 bytes

タイプ EXE

メモリ常駐はい

発見日 2019年3月22日

ペイロード URLまたはIPアドレスに接続, メッセージボックスの表示, 情報収集

侵入方法

プログラムは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

プログラムは、以下のコンポーネントファイルを作成します。

{Malware Path}\{Malware Filename}ak.sys

自動実行方法

プログラムは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\{Malware Filename}ak

他のシステム変更

プログラムは、以下のファイルを削除します。

{Malware Path}\{Malware Filename}ak.sys

プログラムは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\{Malware Filename}ak
Type = 1

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\{Malware Filename}ak
ErrorControl = 1

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\{Malware Filename}ak
Start = 1

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\{Malware Filename}ak
ImagePath = \??\{Malware Path}\{Malware Filename}ak.sys

バックドア活動

プログラムは、以下のWebサイトにアクセスし、情報を送受信します。

http://www.ep{BLOCKED}t.com
http://www.e{BLOCKED}t.com/PCHunter_StandardV1.4={MAC Address}
http://www.e{BLOCKED}t.com/pchunter/pchunter_free
{BLOCKED}.{BLOCKED}.158.231

情報漏えい

プログラムは、以下の情報を収集します。

MAC Address
Running Processes
Computer Files
User Accounts
System Registries
Process Modules
Kernel Modules
Startup Information
Network Connections
Firewall Rules

その他

プログラムは、以下を実行します。

It loads the dropped file as a driver
- {Malware Path}\{Malware Filename}ak.sys
It displays the following image:
It can view and display system process and process threads
It can terminate, suspend and resume processes and threads
It displays current network connections, including the local and remote addresses and state of TCP connections
It displays and can edit system registry
It displays and can delete files and folders
It can view file properties information
It displays autorun entries
It can delete and edit autorun entries
It displays and can delete user accounts
It displays affected machine’s firewall rules
It can delete a firewall rule

アドウェア活動

プログラムは、実行中に作成された以下のレジストリキーを削除します。

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\{Malware Filename}ak\Enum

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\{Malware Filename}ak

<補足>
インストール

プログラムは、以下のコンポーネントファイルを作成します。

{マルウェアパス}\{マルウェアのファイル名}ak.sys

他のシステム変更

プログラムは、以下のファイルを削除します。

{マルウェアパス}\{マルウェアファイルの名前}ak.sys

情報漏えい

プログラムは、以下の情報を収集します。

MACアドレス
実行中のプロセス
コンピュータファイル
ユーザアカウント
システムレジストリ
プロセスモジュール
カーネルモジュール
スタートアップ情報
ネットワーク接続
ファイアウォール・ルール

その他

プログラムは、以下を実行します。

作成されたファイルをドライバとして読み込みます。
- {マルウェアパス}\{マルウェアのファイル名}ak.sys
以下の画像を表示します。
システムプロセスおよびプロセススレッドを閲覧 / 表示する可能性があります。
プロセスおよびスレッドを強制終了、一時停止、再開させる可能性があります。
ローカルアドレスやリモートアドレス、TCP 接続の状態など、現在のネットワーク接続を表示します。
システムレジストリを表示 / 編集する可能性があります。
ファイルやフォルダを表示 / 削除する可能性があります。
ファイルのプロパティ情報を表示する可能性があります。
自動実行エントリを表示します。
自動実行エントリを削除 / 編集する可能性があります。
ユーザアカウントを表示 / 削除する可能性があります。
影響を受けるコンピュータのファイアウォール・ルールを表示します。
ファイアウォール・ルールを削除する可能性があります

対応方法

対応検索エンジン: 9.800

SSAPI パターンバージョン: 2.158.56

SSAPI パターンリリース日: 2019年3月28日

手順 1

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム（OS）の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル／フォルダ／レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 3

Windowsをセーフモードで再起動します。

[ 詳細 ]

セーフモードでの起動：

• Windows 2000 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows XP の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows Server 2003 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows Vista、Windows 7 および Windows Server 2008 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「詳細ブートオプション」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows 8、8.1 および Server 2012の場合：

画面の右上隅へマウスポインタを移動し、[チャーム]バーを表示します。
マウスで、[設定]－[PC設定の変更]を選択します。
左側のパネルで、[全般]を選択します。
右側のパネルで、[PCの起動をカスタマイズする]が表示されるまで下にスクロールし、[今すぐ再起動]をクリック。コンピュータが再起動するまで待ちます。
[オプションの選択]メニューで、[トラブルシューティング]－[詳細オプション]－[スタートアップ設定]－[再起動]をクリックします。
[スタートアップ設定]メニューで、[4]キーを押し、「4）セーフモードを有効にする」を選択します。

手順 4

このレジストリ値を削除します。

[ 詳細 ]

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\{Malware Filename}ak
- Type = 1
In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\{Malware Filename}ak
- ErrorControl = 1
In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\{Malware Filename}ak
- Start = 1
In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\{Malware Filename}ak
- ImagePath = \??\{Malware Path}\{Malware Filename}ak.sys

手順 5

最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「PUA.Win64.PCHunter.A」と検出したファイルはすべて削除してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

ご利用はいかがでしたか？　アンケートにご協力ください

PUA.Win64.PCHunter.A

概要

詳細

対応方法

リソース

サポート

会社概要

東京本社

PUA.Win64.PCHunter.A

概要

詳細

対応方法

リソース

サポート

会社概要

東京本社

The Americas

Asia Pacific

Europe, Middle East & Africa