解析者: Mariefher Grace Villanueva   
 別名:

Trojan:Win32/Egairtigado!rfn (MICROSOFT)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 システムへの影響:
 情報漏えい:

  • マルウェアタイプ:
    バックドア型

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、ワーム活動の機能を備えていません。

  詳細

ファイルサイズ 509,952 bytes
タイプ EXE
メモリ常駐 はい
発見日 2026年4月17日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のプロセスを追加します。

  • `cmd.exe /c "{command}"` → command execution capability

他のシステム変更

マルウェアは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows\Safer\
CodeIdentifiers
authenticodeenabled = 0

(註:変更前の上記レジストリ値は、「1」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows\Safer\
CodeIdentifiers
DefaultLevel = 0x40000

(註:変更前の上記レジストリ値は、「0 → Setting this to 0x40000 sets the execution level to Unrestricted, effectively disabling Software Restriction Policies」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\CI\Config
VulnerableDriverBlocklistEnable = 0

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\CI\Config
VulnerableDriverBlocklistEnable = 0

感染活動

マルウェアは、ワーム活動の機能を備えていません。

バックドア活動

マルウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

  • {BLOCKED}.{BLOCKED}.238.29:22022

ルートキット機能

マルウェアは、ルートキット機能を備えていません。

情報漏えい

マルウェアは、以下の情報を収集します。

  • User SID
  • Network adapter details (via WMI)
  • Process ID

その他

マルウェアは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows\Safer\
CodeIdentifiers

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows\Safer\
CodeIdentifiers\262144\Paths

マルウェアは、以下を実行します。

  • It accepts the following parameters:
    • `-start` → Primary initialization mode that creates scheduled task persistence and enters monitoring loop
    • `-bypass` → Continuous bypass mode with persistent monitoring that periodically recreates scheduled tasks for resilience
    • `-bypassonce` → Single-run bypass execution mode used as the default from the loader component
    • `-resurrection` → Self-healing mode that recreates scheduled tasks when process termination is detected
  • Checks for the presence of the following security products and creates Software Restriction Policy path rules to whitelist their installation directories, ensuring the malware's SRP modifications do not interfere with installed security products:
    • Qihoo 360 (360Safe, 360SD, 360Quarant, 360MobileMgr, 360Login, 360huabao, 360Game5, 360DesktopLite)
    • Tencent (QQPCMgr, Yuanbao)
    • Kingsoft
    • Huorong
    • 2345Soft
    • Microsoft Windows Defender (including Windows Defender Platform)
    • Avast Software
    • Bitdefender (including Bitdefender Agent, Common Files\Bitdefender)
    • ESET
    • McAfee
    • Kaspersky Lab
    • Trend Micro
    • Norton
    • Symantec
    • AVG
  • Communicates with the kernel driver device object `\.\EraseCode` for kernel-level operations
  • Creates staging paths `\dump.tmp` and `\dump\diskdumps` for kernel driver data
  • Adjusts its process token to enable the following privileges:
    • SeLoadDriverPrivilege
    • SeDebugPrivilege
    • SeShutdownPrivilege
  • Contains embedded PowerShell shellcode loader that allocates executable memory, decodes shellcode, and executes it via delegate invocation
  • It uses a custom pipe-delimited protocol with the following fields for command and control communication:
    • `|p1:|o1:|t1:|p2:|o2:|t2:|p3:|o3:|t3:|dd:|cl:|fz:|bb:|bz:|jp:|bh:|ll:|dl:|sh:|kl:|bd:`
  • Setting the value of the registry entry "DefaultLevel" of the key HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers to 0x40000 (262144) whitelists the following 31 file extensions under the unrestricted execution policy:
    • ADE
    • ADP
    • BAS
    • BAT
    • CHM
    • CMD
    • COM
    • CPL
    • CRT
    • EXE
    • HLP
    • HTA
    • INF
    • INS
    • ISP
    • LNK
    • MDB
    • MDE
    • MSC
    • MSI
    • MSP
    • MST
    • OCX
    • PCD
    • PIF
    • REG
    • SCR
    • SHS
    • URL
    • VB
    • WS

マルウェアは、脆弱性を利用した感染活動を行いません。

以下のスケジュールされたタスクを追加します:

  • Task Name: StartMonitor_{random 3 digits}
    Task Action: Executes the malware copy with `-start` argument at logon trigger → full initialization of the backdoor
  • Task Name: StartMonitor_RESU_{random 3 digits}
    Task Action: Monitors and resurrects the primary scheduled task
  • Task Name: RunUser
    Task Action: Executes the malware copy with `-bypass` argument for continuous resilience

<補足>
インストール

マルウェアは、以下のプロセスを追加します。

  • `cmd.exe /c "{コマンド}"` → コマンド実行機能

情報漏えい

マルウェアは、以下の情報を収集します。

  • ユーザSID
  • ネットワークアダプタの詳細(WMI経由)
  • プロセスID

その他

マルウェアは、以下を実行します。

  • 以下のパラメータを受け入れます。
    • `-start` → Primary initialization mode:スケジュールされたタスクを用いて不正活動を永続化させ、監視ループに入るように設定される
    • `-bypass` → Continuous bypass mode with persistent monitoring:スケジュールされたタスクを定期的に再作成して設定される(回復力を高めることが目的)
    • `-bypassonce` → Single-run bypass execution mode:ローダコンポーネントがデフォルトとして用いる設定
    • `-resurrection` → Self-healing mode:プロセス終了を検出した際にスケジュールされたタスクが再作成されるように設定される
  • 以下のセキュリティ対策製品の存在を確認し、それらのインストールディレクトリをホワイトリストに登録します(ソフトウェア制限ポリシー(SRP)のパスルールを作成することで、マルウェアによるポリシー変更が既存のセキュリティ対策製品に影響することを防いでいます)。
    • Qihoo 360 (360Safe, 360SD, 360Quarant, 360MobileMgr, 360Login, 360huabao, 360Game5, 360DesktopLite)
    • Tencent (QQPCMgr, Yuanbao)
    • Kingsoft
    • Huorong
    • 2345Soft
    • Microsoft Windows Defender (including Windows Defender Platform)
    • Avast Software
    • Bitdefender (including Bitdefender Agent, Common Files\Bitdefender)
    • ESET
    • McAfee
    • Kaspersky Lab
    • Trend Micro
    • Norton
    • Symantec
    • AVG
  • カーネルレベルでの操作を実施するために、カーネルドライバのデバイスオブジェクト`\.\EraseCode`と通信します。
  • カーネルドライバが用いるデータステージングパス(`\dump.tmp`および`\dump\diskdumps`)を作成します。
  • プロセストークンを変更して、以下の権限を有効化します。
    • SeLoadDriverPrivilege
    • SeDebugPrivilege
    • SeShutdownPrivilege
  • 組み込みのPowerShellシェルコードローダを含んでおり、実行可能メモリを割り当ててシェルコードをデコードした後、デリゲート呼び出しを介して実行します。
  • C&Cサーバと通信する際に以下のフィールドで構成された独自プロトコルを用います(下記の通りパイプで区切られている)。
    • `|p1:|o1:|t1:|p2:|o2:|t2:|p3:|o3:|t3:|dd:|cl:|fz:|bb:|bz:|jp:|bh:|ll:|dl:|sh:|kl:|bd:`
  • レジストリエントリ「HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers」における"DefaultLevel"の値を0x40000 (262144) に設定して実行ポリシーをUnristrictedに変更することで、以下のファイル拡張子( 31 個)がホワイトリストに登録されます。
    • ADE
    • ADP
    • BAS
    • BAT
    • CHM
    • CMD
    • COM
    • CPL
    • CRT
    • EXE
    • HLP
    • HTA
    • INF
    • INS
    • ISP
    • LNK
    • MDB
    • MDE
    • MSC
    • MSI
    • MSP
    • MST
    • OCX
    • PCD
    • PIF
    • REG
    • SCR
    • SHS
    • URL
    • VB
    • WS

    以下のスケジュールされたタスクを追加します:

    • タスク名: StartMonitor_{ランダムな数字3文字}
      実行されるタスク: ログオン時に引数`-start`を用いてマルウェアのコピーを実行する → バックドアが完全に初期化される
    • タスク名: StartMonitor_RESU_{ランダムな数字3文字}
      実行されるタスク: スケジュールされた主要なタスクの監視し、復元させる
    • タスク名: RunUser
      : 継続的な回復力のために引数`-bypass`を用いてマルウェアコピーの実行

  対応方法

対応検索エンジン: 9.800
初回 VSAPI パターンバージョン 20.896.07
初回 VSAPI パターンリリース日 2026年4月14日
VSAPI OPR パターンバージョン 20.897.00
VSAPI OPR パターンリリース日 2026年4月15日

手順 1

トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。

     TROJ.Win32.TRX.XXPE50FFF104

手順 2

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 3

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 4

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 5

セーフモード時のスケジュールタスクの削除方法

  1. セーフモードのまま、以下の{タスク名}-{実行するタスク}のリストを使用し、以下のステップで確認する必要があります。
    • Task Name: StartMonitor_{random 3 digits}
      Task to be run: `{Malware Path}\{Malware Filename} -start`
    • Task Name: StartMonitor_RESU_{random 3 digits}
      Task to be run: `{Malware Path}\{Malware Filename} -bypassonce`
    • Task Name: RunUser
      Task to be run: `{Malware Path}\{Malware Filename} -bypass`
  2. Windows 7 および Server 2008 (R2) をご使用の場合は、[スタート] > [コンピューター] をクリックします。
    • Windows 8、8.1、10、Server 2012をご使用の場合は、画面左下で右クリックし、「ファイルエクスプローラ」をクリックします。
  3. PCの検索欄に、次のように入力します。
    • System%\Tasks\{タスク名}
  4. ファイルを選択し、SHIFT+DELETEキーを押して削除します。
  5. レジストリエディタを開き、以下を実行してください。
    • Windows 7およびServer 2008(R2)をご使用の場合は、[スタート]ボタンをクリックし、[検索]入力フィールドに「regedit」と入力し、Enterキーを押します。
    • Windows 8、8.1、10、およびServer 2012(R2)をご使用の場合は、画面の左下隅を右クリックし、[実行]をクリックして、テキストボックスに「regedit」と入力します。
  6. レジストリエディタウィンドウの左パネルで、以下をダブルクリックします。
    • HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Schedule>TaskCache>Tree>{タスク名}
  7. 作成されたエントリを探し、レジストリ値のデータをメモする。
    • ID={タスクデータ}
  8. データを記録した後、レジストリキーを削除します。
    • HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Schedule>TaskCache>Tree>{タスク名}
  9. レジストリエディタウィンドウの左パネルで、以下をダブルクリックします。
    • HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Schedule>TaskCache>Tasks
  10. 左側のパネルで、手順6で配置したTask Dataと同じ名前のレジストリキーを探して削除します。
    • ={タスクデータ}
  11. レジストリエディタを閉じます。

手順 6

このレジストリキーを削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\262144

手順 7

変更されたレジストリ値を修正します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
    • authenticodeenabled = 1
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CI\Config
    • VulnerableDriverBlocklistEnable = 1
  • In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\CI\Config
    • VulnerableDriverBlocklistEnable = 1

手順 8

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「Backdoor.Win64.VALLEYRAT.GH」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください