TROJ_EQUATED.G

トレンドマイクロは、このマルウェアをNoteworthy（要注意）に分類しました。

マルウェアは、「Shadow Brokers」と呼ばれるハッカー集団によって2017年4月下旬に公開されたハッキングツールに関連しています。マルウェアは、Windowsのさまざまな脆弱性を悪用します。感染すると、マルウェアの不正活動が感染コンピュータ上で展開されることとなります。

マルウェアは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。 マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。 マルウェアは、ユーザの手動インストールにより、コンピュータに侵入します。

マルウェアは、特定の脆弱性を利用した感染活動を実行します。

侵入方法

マルウェアは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、ユーザの手動インストールにより、コンピュータに侵入します。

その他

マルウェアは、以下の脆弱性を利用して感染活動を実行します。

• CVE-2008-4250 - Vulnerability in Server Service Could Allow Remote Code Execution (958644)
• CVE-2010-2729 - Vulnerability in Print Spooler Service Could Allow Remote Code Execution (2347290)
• CVE-2014-6324 - Vulnerability in Kerberos Could Allow Elevation of Privilege (3011780)
• CVE-2017-0143 - Windows SMB Remote Code Execution Vulnerability
• CVE-2017-0144 - Windows SMB Remote Code Execution Vulnerability
• CVE-2017-0145 - Windows SMB Remote Code Execution Vulnerability
• CVE-2017-0146 - Windows SMB Remote Code Execution Vulnerability
• CVE-2017-0147 - Windows SMB Information Disclosure Vulnerability
• CVE-2017-0148 - Windows SMB Remote Code Execution Vulnerability

このマルウェアは、以下の機能を備えたプラグインを利用します。

• 現在のユーザ権限の確認およびユーザが管理者権限を所持していない場合、権限の昇格を行なう。
• 実行中のMicrosoft Internet Information Services（IIS）のバージョンが脆弱性を抱えているか確認する。
• コンピュータが「リモートプロシージャコール（Remote Procedure Call、RPC）」を実行しているか確認する。
• コンピュータのセキュリティで保護された接続の確認する。
• コードの実行する。
• Windows製品の脆弱性を利用するエクスプロイトコードを侵入させる。
• コンピュータ上でファイルを作成および実行する。
• NTLMプロトコルのセキュリティうぃ有効または無効化する。
• ファイルから不正なファイルを埋め込む。
• リモートプロセスにコードを組み込む。
• コンピュータのIISのバージョンを調べる。
• コンピュータの「WorldClient（ワールドクライアント）」のバージョンを調べる。
• プラグイン通信を試験する
• プラグインのアップグレードまたはアンインストール
• 偽のパスワードを正しいパスワードと判定してユーザを認証する