Trojan.PS1.SILENTKILL.THHOIBC

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のプロセスを追加します。

• cmd.exe /c assoc .README=txtfile
• wbadmin stop job
• wbadmin delete catalog -quiet
• wbadmin delete systemstatebackup
• wbadmin delete systemstatebackup - keepversions:0
• wbadmin delete backup
• wmic shadowcopy delete
• vssadmin delete shadows /all /quiet
• bcedit /set {default} bootstatuspolicy ignoreallfailures
• bcedit /set {default} recoveryenabled no
• wevtutil cl Security
• wevtutil cl Application
• wevtutil cl System

他のシステム変更

マルウェアは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SYSTEM\CurentControlSet\
Control\Terminal Server
fDenyTSConnections = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender\Real-Time Protection
SpyNetReporting = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender\Real-Time Protection
SubmitSamplesConsent = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender\Features
TamperProtection = 4

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender
DisableAntiSpyware = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows Defender
DisableAntiSpyware = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
legalnoticecaption = Welcome

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
legalnoticecaption = Welcome aboard

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Terminal Server\WinStations\
RDP-TCP
PortNumber = 4000

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\
TrendMicro\PC-cillinNTCorp\CurrentVersion\
Misc.
Allow Uninstall = 1

プロセスの終了

マルウェアは、感染コンピュータ上で確認した以下のサービスを終了します。

• Backup
• Exchange
• HvHost
• Malwarebytes
• Oracle
• Quest
• Sharepoint
• SQL
• Veeam
• vmcompute
• vmicguestinterface
• vmicheartbeat
• vmickvpexchange
• vmicrdv
• vmicshutdown
• vmictimesync
• vmicvmsession
• vmicvss
• vmms

マルウェアは、感染コンピュータ上でプロセスが常駐されていることを確認した場合、以下のいずれかの文字列を含むプロセスまたはサービスを終了します。

• AV related processes:
  • acronis
  • Agent
  • agent
  • agntsvc.exe
  • agntsvc.exeagntsvc.exe
  • agntsvc.exeencsvc.exe
  • agntsvc.exeisqlplussvc.exe
  • anvir.exe
  • anvir64.exe
  • arcserve
  • barracuda
  • ccleaner.exe
  • ccleaner64.exe
  • Endpoint
  • endpoint
  • Kaspersky
  • Malware
  • microsoft
  • monitor
  • protect
  • secure
  • security
  • segurda
  • Veeam
  • veeam
• adobe
• AlwaysOn
• anydesk
• apache
• apache.exe
• autodesk
• Backup
• backup.exe
• center
• chrome
• Core.Service
• database
• dbeng50.exe
• dbsnmp.exe
• def
• dev
• encsvc.exe
• engine
• exchange
• far.exe
• firefox
• firefoxconfig.exe
• Framework
• http
• infopath.exe
• isqlplussvc.exe
• java
• kingdee.exe
• logmein
• manage
• Mongo
• msaccess.exe
• msftesql.exe
• mspub.exe
• mydesktopqos.exe
• mydesktopservice.exe
• mysqld.exe
• mysqld-nt.exe
• mysqld-opt.exe
• ncsvc.exe
• ocautoupds.exe
• ocomm.exe
• OCS Inventory
• ocssd.exe
• office
• oracle.exe
• oracle.exe
• procexp.exe
• QBCF
• QBData
• QBDB
• QuickBooks
• regedit.exe
• sage
• server
• silverlight
• solarwinds
• sprout
• sqbcoreservice.exe
• sql
• SQL
• sql.exe
• sqlagent.exe
• sqlbrowser.exe
• sqlserver.exe
• sqlservr.exe
• sqlwriter.exe
• synctime.exe
• tbirdconfig.exe
• teamviewer
• tomcat.exe
• tomcat6.exe
• u8.exe
• ufida.exe
• visio.exe
• vnc
• web
• xfssvccon.exe

その他

マルウェアは、以下を実行します。

• It adds the following local group accounts with Administrator privileges:
  • Administrators
  • Remote Desktop Users
• It enables the firewall rule that allows RDP connections.
• It sends the MAC address of the victim via UDP to the broadcast IP.
• It modifies the Administrator user passsword.
• It modifies the Windows Defender settings to disable malware scanning and detection.
• It disables the following AV-related services:
  • WdNisSvc
  • WinDefend
  • Sense
  • WdnisDrv
  • wdfilter
  • wdboot
• It deletes the ComputerRestorePoint to prevent system recovery.
• It attempts to uninstall the following AV programs:
  • Bitdefender
  • TrendMicro
  • Kaspersky
• It enables PowerShell remoting.
• It enables WinRm execution.
• It checks if a specific IP in its network has a running WinDefend service.
• It modifies the machine's lock screen title into the following strings:
  • Welcome
  • Welcome aboard
• It deletes all files in %User Temp%.
• It modifies the listening RDP port to 4000 and sets a Firewall rule to allow inbound connections.
• It modifies the Windows Defender settings to disable scanning of files and processes in all drives.

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

<補足>
その他

マルウェアは、以下を実行します。

• 管理者権限を持つ以下のローカルグループのアカウントを追加します。
  • Administrators（管理者）
  • Remote Desktop Users（リモートデスクトップ・ユーザ）
• RDP接続を許可するファイアウォール・ルールを有効にします。
• 感染コンピュータのMACアドレスをUDP経由でブロードキャストのIPアドレスに送信します。
• 管理者ユーザのパスワードを変更します。
• Windows Defenderの設定を変更して、マルウェアのスキャンおよび検出を無効にします。
• 以下のウイルス対策に関するサービスを無効にします。
  • WdNisSvc
  • WinDefend
  • Sense
  • WdnisDrv
  • wdfilter
  • wdboot
• システムの復元を阻止するためにComputerRestorePointを削除します。
• 以下のウイルス対策プログラムのアンインストールを試みます。
  • Bitdefender
  • TrendMicro
  • Kaspersky
• PowerShellリモート処理を有効にします。
• WinRmの実行を有効にします。
• ネットワーク内の特定のIPアドレスでWindows Defendのサービスが実行されているかどうかを確認します。
• 感染コンピュータのロック画面のタイトルを以下の文字列に変更します。
  • Welcome
  • Welcome aboard
• %User Temp%内のすべてのファイルを削除します。
• 待機するRDPポートの番号を4000に変更して、受信接続を許可するファイアウォール・ルールを設定します。
• Windows Defenderの設定を変更して、すべてのドライブ内のファイルおよびプロセスのスキャンを無効にします。