更新者 : Joshua Paul Ignacio

 別名:

Trojan.Win64.Agentb.dm (KASPERSKY), W64/Agent.GK!tr (FORTINET)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    バックドア型

  • 破壊活動の有無:
    なし

  • 暗号化:
    なし

  • 感染報告の有無 :
    はい

  概要

感染経路 インターネットからのダウンロード

トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。

これは、バンキングマルウェア「Trickbot」の作成者によって開発されたと考えられるポストエクスプロイトツールキット「PowerTrick」によってインストールされたバックドア型マルウェアに対する検出名です。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。

  詳細

ファイルサイズ 215,040 bytes
タイプ , EXE
メモリ常駐 はい
発見日 2019年10月15日
ペイロード URLまたはIPアドレスに接続

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成し実行します。

  • {Malware Path}\{Malware Name}.exe:$FILE → contains {Malware Path}\{Malware Name}.exe
  • {Malware Path}\{Malware Name}.exe:$GUID → contains /anchor_dns/{Workstation Name}_{Windows Version}.<{32-character long client ID}>/[0-1]/{Content}\xb[0-9]
  • {Malware Path}\{Malware Name}.exe:$TASK → contains "{string1} autoupdate#{5 Random Numbers}.xml"
    • {string1} can be any of the folders found on %Application Data%
  • "{string1} autoupdate#{5 Random Numbers}".xml → a task scheduler that executes the malware sample with parameter -u every fifteenth minute

(註:%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)

その他

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

  • {Obfuscated Message Type + UUID}{Content}.{BLOCKED}ivo.com
    • where Message Type can be any of the following:
      • Type 0 (Sending of Data)
      • Type 1 (Preparation for receival of Data)
      • Type 2 (Receiving of Data)

以下のスケジュールされたタスクを追加します:

  • Task Name: {string1} autoupdate#{5 Random Numbers}
  • Trigger: At log on of any user; At 8:38PM every day for every 15 minutes for a duration of 1 day. Both trigger expires at 12/31/2028 11:59:59PM
  • Action: Starts a program → %User Temp%\{Malware Name}.exe -u
    • -u will perform standard communication with C2 server using subdomain names to send data and resolved IPs as receival of data

(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)

<補足>
インストール

マルウェアは、以下のファイルを作成し実行します。

  • {マルウェアパス}\{マルウェア名}.exe:$FILE → {マルウェアパス}\{マルウェア名}.exeを含む
  • {マルウェアパス}\{マルウェア名}.exe:$GUID → /anchor_dns/{ワークステーション名}_{Windowsのバージョン}.<{32文字のクライアントID}>/[0-1]/{コンテンツ}\xb[0-9]を含む
  • {マルウェアパス}\{マルウェア名}.exe:$TASK → "{文字列1} autoupdate#{ランダムな数字5文字}.xml"を含む
    • 上記の{文字例1}には、%Application Data% 上に存在するいずれかのフォルダが当てはまります。
  • "{文字列1} autoupdate#{ランダムな数字5文字}".xml → パラメータ「-u」を用いてマルウェアを 15 分毎に実行するタスクスケジューラ

その他

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

  • {難読化されたメッセージタイプ + UUID}{コンテンツ}.{BLOCKED}ivo.com
    • 上記のメッセージタイプには、以下のいずれかが当てはまります。
      • Type 0 (データの送信)
      • Type 1 (データの受信準備)
      • Type 2 (データの受信)

    以下のスケジュールされたタスクを追加します。

    • タスク名: {文字列1} autoupdate#{ランダムな数字5文字}
    • トリガ: ユーザのログオン時または毎日午後 8 時 38 分、15 分毎に 1 日間。どちらのトリガも 2028 年 12 月 31 日午後 11 時 59 分 59 秒に期限が切れます。
    • アクション: プログラムの開始 → %User Temp%\{マルウェア名}.exe -u
      • パラメータ「-u」は、サブドメイン名を使ってデータを送信し、データの受信として名前解決された IP を用いて、C&Cサーバとの標準通信を実行します。

  対応方法

対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 15.618.04
初回 VSAPI パターンリリース日 2019年10月14日
VSAPI OPR パターンバージョン 15.619.00
VSAPI OPR パターンリリース日 2019年10月15日

手順 1

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 3

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 4

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。  
  • %User Temp%\{Malware Name}.exe
  • {Malware Path}\{Malware Name}\{Malware Name}:$FILE
  • {Malware Path}\{Malware Name}\{Malware Name}:$GUID
  • {Malware Path}\{Malware Name}\{Malware Name}:$TASK
  • "{string1} autoupdate#{5 Random Numbers}".xml

手順 5

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「Backdoor.Win64.ANCHOR.A」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 6

  1. コマンドプロンプトを起動します。
    • Windows 2000、XP および Server 2003 の場合:
      [スタート]-[ファイル名を指定して実行]を選択し、cmd と入力し、Enter を押します。
    • Windows Vista、7、Server 2008 の場合:
      [スタート]をクリックし、検索入力欄に cmd と入力し、Enter を押します。
    • Windows 8、8.1 および Server 2012 の場合:
      [スタート]-[プログラムとファイルの検索]に cmd と入力し、Enter を押します。画面の左下隅を右クリックし、[コマンド プロンプト]を選択します。
      cmd は半角英数字で入力する必要があります(大文字/小文字は区別されません)。
  2. コンソールウィンドウに以下を入力します。
  3. ATTRIB [+R | -R] [+A | -A ] [+S | -S] [+H | -H] [+I | -I] [ドライブ:][パス][ファイル名] [/S [/D] [/L]]

    各コマンドの意味は以下のとおりです。
    +:属性の設定
    -:属性の解除
    R:読み取り専用属性
    A:アーカイブ属性
    S:システムファイル属性
    H:隠しファイル属性
    I:非インデックス対象ファイル属性
    [drive:][path][filename]
    [ドライブ:][パス][ファイル名]:attribで処理するファイルの指定
    /S:現在のフォルダとすべてのサブフォルダ内で一致するファイルの処理
    /D:フォルダも処理
    /L:Symbolic Link(シンボリックリンク)のターゲットに対するシンボリックリンク属性での動作

    コマンド例:
    Dドライブ内のサブフォルダを含むすべてのフォルダおよびファイルの隠しファイル属性を解除する場合。
    • ATTRIB -H D:\* /S /D
  4. 他のドライブやディレクトリ内のフォルダおよびファイルに対して、手順 3.)を繰り返してください。


ご利用はいかがでしたか? アンケートにご協力ください