解析者: Wilbert Vidal   
 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
    なし

  • 感染報告の有無 :
    はい

  概要

感染経路 他のマルウェアからの作成, インターネットからのダウンロード

トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。

マルウェアは、2018年1月に中南米の金融機関を対象とした攻撃で確認された、マスター・ブート・レコード(MBR)を上書きしてコンピュータを起動不能にする「KillDisk」の亜種です。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 61,440 bytes
タイプ EXE
メモリ常駐 はい
発見日 2018年1月10日
ペイロード プロセスの強制終了, コンピュータの再起動

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

他のシステム変更

マルウェアは、以下のファイルを削除します。

  • %Windows%\0123456789
  • %Windows%\dimens.exe

(註:%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

プロセスの終了

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

  • csrss.exe
  • wininit.exe
  • winlogon.exe
  • lsass.exe

その他

マルウェアは以下を実行します。

  • マスター・ブート・レコード(MBR)データを削除します
    • 物理ドライブの一部をNull値で上書きします
  • 削除する前にファイル名を変更して上書きします
    • 以下のフォルダにあるファイルは削除しません
      • WINNT
      • Users
      • Windows
      • Program Files
      • Program Files (x86)
      • ProgramData
      • Recovery
      • $Recycle.Bin
      • System Volume Information
      • Windows.old
      • PerfLogs
    • また、システムドライブ内のファイルも削除しません
  • システムを強制的に再起動します

  対応方法

対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 13.898.04
初回 VSAPI パターンリリース日 2018年1月11日
VSAPI OPR パターンバージョン 13.899.00
VSAPI OPR パターンリリース日 2018年1月12日

バックアップからシステムを復元するか、オペレーティングシステム(OS)を再インストールします。

損傷の程度によっては、あるいはMBRの消去が失敗していた場合、Windowsインストールディスクを使用してシステムの修復を実行し、システムの起動が可能になる場合があります。Windowsインストールディスクを使用してシステムを起動した場合、既に破損している一部のファイルを復元することはできません


ご利用はいかがでしたか? アンケートにご協力ください