解析者: Rheniel Rhay Ramos   

 別名:

Mal/Spectre-F (Sophos); Exploit.Spectre.POC (Malwarebytes); Exploit.Spectre.H (BitDefender)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    エクスプロイト

  • 破壊活動の有無:
    なし

  • 暗号化:
    なし

  • 感染報告の有無 :
    はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。

マルウェアは、Windowsシステムにおける、「Spectre」として知られる脆弱性を悪用します。悪用された場合、不正なコードが通常はアクセスできないメモリ領域にアクセスすることが可能になる脆弱性です。この脆弱性によってパスワードや暗号鍵など、基本的には感染した PC が処理しているすべての情報が窃取される可能性があります。

Spectre の影響を取り除くことは、2018年1月24日現在、ハードウェアの変更が必要となるために困難となっています。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、特定の脆弱性を利用した感染活動を実行します。

  詳細

ファイルサイズ 104,448 bytes
タイプ EXE
メモリ常駐 なし
発見日 2018年1月9日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

その他

マルウェアは、以下の脆弱性を利用して感染活動を実行します。

その他

マルウェアは、以下の文字列をメモリにロードし、エクスプロイトコードを使用して、コンソールで文字列を読み込み表示します。

  • The Java plug-in for web browsers relies on the cross platform plugin architecture NPAPI, which has long been, and currently is, supported by all major web browsers. Google announced in September 2013 plans to remove NPAPI support from Chrome by "the end of 2014", thus effectively dropping support for Silverlight, Java, Facebook Video, and other similar NPAPI-based plugins. Recently, Google has revised their plans and now state that they plan to completely remove NPAPI by late 2015. As it is unclear if these dates will be further extended or not, we strongly recommend Java users consider alternatives to Chrome as soon as possible. Instead, we recommend Firefox, Internet Explorer, and Safari as longer-term options. As of April 2015, starting with Chrome Version 42, Google has added an additional step to configuring NPAPI-based plugins like Java to run.

これは、CVE-2017-5753の「Proof of Concept(概念実証型エクスプロイト、PoC)」の検出名です。

  対応方法

対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 13.922.04
初回 VSAPI パターンリリース日 2018年1月9日
VSAPI OPR パターンバージョン 13.923.00
VSAPI OPR パターンリリース日 2018年1月10日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 3

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TROJ_CVE20175753.POF」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください