解析者: Jennifer Gumban   

 別名:

Trojan:Win32/KillDisk.M (Microsoft), Trojan.SystemKiller (Malwarebytes), Win32/KillDisk.NBD (ESET-NOD32)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
    なし

  • 感染報告の有無 :
    はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。

このマルウェアは、2016年2月、ウクライナの企業に影響を与えた攻撃キャンペーン「BlackEnergy」の標的型攻撃に関連しています。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 98,304 bytes
タイプ EXE
メモリ常駐 はい
発見日 2016年1月1日
ペイロード プロセスの強制終了, ハードディスクの破損, コンピュータの再起動, ファイルの削除

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

他のシステム変更

マルウェアは、以下のファイルを削除します。

  • .crt
  • .bin
  • .exe
  • .db
  • .dbf
  • .pdf
  • .djvu
  • .doc
  • .docx
  • .xls
  • .xlsx
  • .jar
  • .ppt
  • .pptx
  • .tib
  • .vhd
  • .iso
  • .lib
  • .mdb
  • .accdb
  • .sql
  • .mdf
  • .xml
  • .rtf
  • .ini
  • .cfg
  • .boot
  • .txt
  • .rar
  • .msi
  • .zip
  • .jpg
  • .bmp
  • .jpeg
  • .tiff

プロセスの終了

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

  • komut.exe
  • sec_service.exe

その他

マルウェアは、以下を実行します。

  • アカウント制御の設定変更
  • 「マスターブート・レコード・データ(MBR)」情報をワイプ
  • 重要なシステムファイルを破損させ、感染コンピュータを破壊する
  • コンピュータの再起動

  対応方法

対応検索エンジン: 9.800
初回 VSAPI パターンバージョン 12.246.02
初回 VSAPI パターンリリース日 2016年1月1日
VSAPI OPR パターンバージョン 12.247.00
VSAPI OPR パターンリリース日 2016年1月2日

以下のファイルをバックアップを用いて修復します。なお、マイクロソフト製品に関連したファイルのみ修復されます。このマルウェア/グレイウェア/スパイウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。


ご利用はいかがでしたか? アンケートにご協力ください