Windows, Windows 64-bit
トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。
「REGIN」は、高性能のマルウェアであり、知名度の高い企業を対象に利用されています。「REGIN」は、高度で多様な回避手法を利用します。複数の感染経路や複数のモジュールを利用して検出を回避し、情報を収集します。
「REGIN」として知らされるマルウェアのファミリの不正なファイルのトレンドマイクロ製品での検出名です。「REGIN」は、複数のコンポーネントで構成されているマルウェアで、自身の不正な機能およびペイロードのためにさまざまなファイルを利用します。
インストール
最初に読み込まれるファイルは、不正活動を初期化します。このファイルは、通常"System32"フォルダで確認され、以下のファイル名のいずれを利用する可能性があります。
このマルウェアは、インストールをするために通常のファイルシステムを利用して保存するのではなく、NTFS拡張属性またはレジストリの「バイナリ・ラージ・オブジェクト(BLOB)」にコンポーネントを保存します。
("%Windows%"はWindowsのフォルダであり,通常は"C:\Window")
マルウェアは、以下をファイルを作成し、感染したコンピュータを識別します。
("%System%"は、Windowsのシステムフォルダであり,Windowsのオペレーティング システム (OS)のすべてのバージョンでは通常"C:\Windows\System32"です。)
ペイロード
このマルウェアは、仮想ファイルシステムとして知られる暗号化されたファイルストレージに自身のペイロードを保存します。ペイロードは、以下のファイルおよびディレクトリに保存される可能性があります。
("%System%"は、Windowsのシステムフォルダであり、WindowsのOSのすべてのバージョンでは通常"C:\Windows\System32"です。"%Windows%"は、Windowsのフォルダであり、通常"C:\Window"です。)
機能と情報集
このマルウェアのグループは、以下の機能を備えています。
マルウェアは、以下のコマンド&コントロール(C&C)サーバに接続し、情報を送受信します。
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TROJ_REGIN.A」と検出したファイルの駆除を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。