Trojan.PS1.DEADLOCK.YXFGV
プラットフォーム:
Windows
危険度:
ダメージ度:
感染力:
感染確認数:
情報漏えい:
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
感染経路 インターネットからのダウンロード, 他のマルウェアからの作成
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
ファイルサイズ 5,870 bytes
タイプ PS1
メモリ常駐 なし
発見日 2025年7月22日
ペイロード サービスの無効, ファイルの削除
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のプロセスを追加します。
- powershell.exe -Verb RunAs -ArgumentList ('exec bypass -file "{malware fullpath}" -elevated' -f (%myinvocation.MyCommand.Definition))
その他
マルウェアは、以下を実行します。
- It deletes itself after its malicious routine.
- It checks if it has administrator privileges.
- It removes the shadow copy of the system by deleting the following WMI object:
- Win32_ShadowCopy
- It disables all the running services in the system except the following:
- UdkUserSvc*
- DevicesFlowUserSvc*
- AarSvc*
- WpnUserService*
- CDPUserSvc*
- cbdhsvc*
- UserDataSvc*
- PimIndexMaintenanceSvc*
- UnistoreSvc*
- vmicguestinterface
- vmicheartbeat
- vmickvpexchange
- vmicrdv
- vmicshutdown
- vmictimesync
- vmicvss
- LicenseService
- MSSEARCH
- smphost
- SrmReports
- SrmSvc
- ddpvssvc
- msiserver
- KtmRm
- DeviceInstall
- Onesyncsvc*
- WsusService
- NgcSvc
- ClipSVC
- ALG
- FileSyncHelper
- LxpSvc
- dmwappushservice
- PeerDistSvc
- Eaphost
- WlanSvc
- WwanSvc
- dot3svc
- server
- workstation
- WinDefend
- WSRM
- WINS
- silsvc
- WaaSMedicSvc
- NgcCtnrSvc
- RmSvc
- Adws
- adfssrv
- Aelookupsvc
- Anydesk
- Apphostsvc
- Appinfo
- Appmgmt
- Appxsvc
- Bfe
- Bits
- Brokerinfrastructure
- Browser
- Bthavctpsvc
- camsvc
- Cdpsvc
- Certpropsvc
- CscService
- Certsvc
- SmbWitness
- Clussvc
- Comsysapp
- Coremessagingregistrar
- Cryptsvc
- MMCSS
- Dbxsvc
- dbupdate
- dbupdatem
- Dcomlaunch
- Deviceassociationservice
- Dfs
- NfsClnt
- NfsService
- Dfsr
- Dhcp
- Dhcpserver
- Diagtrack
- TabletInputService
- DispBrokerDesktopSvc
- Dns
- Dnscache
- Dnsproxy
- Dosvc
- Dps
- Dsmsvc
- DusmSvc
- Dssvc
- Efs
- Eventlog
- NtLmSsp
- Eventsystem
- Fdphost
- Fdrespub
- Fontcache*
- Gpsvc
- Hidserv
- Hvhost
- Ias
- Ikeext
- Iphlpsvc
- Ismserv
- Kdc
- Kdssvc
- Keyiso
- Kpssvc
- Lanmanserver
- Lanmanworkstation
- Lfsvc
- Licensemanager
- Lmhosts
- Lsm
- LSM
- Mpssvc
- Msdtc
- WinTarget
- Msiscsi
- Msmq
- Ncbservice
- Netlogon
- Netman
- Netprofm
- Netsetupsvc
- WZCSVC
- Nlasvc
- Nla
- SharedAccess
- Nsi
- Ntds
- Ntfrs
- UPlugPlay
- Plugplay
- Policyagent
- Power
- Profsvc
- Psexesvc
- Ramgmtsvc
- Rasauto
- Rasman
- Remoteaccess
- Remoteregistry
- Rpceptmapper
- Rpchttplbs
- Rpcss
- Samss
- Scdeviceenum
- Schedule
- Seclogon
- Securityhealthservice
- Sens
- Sessionenv
- Shellhwdetection
- Ssdpsrv
- Sstpsvc
- Staterepository
- SgrmBroker
- Stisvc
- Storsvc
- Swprv
- Sysmain
- ProtectedStorage
- Systemeventsbroker
- RDMS
- rpcapd
- Tapisrv
- Termservice
- Tssdis
- TScPubRPC
- TermServLicensing
- Themes
- Tiledatamodelsvc
- Timebroker
- Timebrokersvc
- Tokenbroker
- Trkwks
- Trustedinstaller
- Tsgateway
- Ualsvc
- uhssvc
- Umrdpservice
- Upnphost
- Usermanager
- Uxsms
- OneDrive Updater Service
- lltdsvc
- Vaultsvc
- Vds
- vmicvmsession
- Vmcompute
- Vmms
- nvspwmi
- vhdsvc
- Vss
- W32time
- Was
- Wcmsvc
- wcncsvc
- wscsvc
- Wdiservicehost
- Webclient
- Winhttpautoproxysvc
- Winmgmt
- Winrm
- Wlidsvc
- Wmiapsrv
- Wpdbusenum
- Wpnservice
- Wsearch
- dmserver
- Wuauserv
- It deletes all network shares except the following:
- SYSVOL
- NETLOGON
- It deletes the following shared folders:
- prnproc
対応方法
対応検索エンジン: 9.800
初回 VSAPI パターンバージョン 20.344.05
初回 VSAPI パターンリリース日 2025年7月22日
VSAPI OPR パターンバージョン 20.345.00
VSAPI OPR パターンリリース日 2025年7月23日
手順 1
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Trojan.PS1.DEADLOCK.YXFGV」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください