解析者: Maria Emreen Viray   
 別名:

DoS:Win32/WhisperGate.M (MICROSOFT)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

感染経路 インターネットからのダウンロード

トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、実行後、自身を削除します。

  詳細

ファイルサイズ 25,088 bytes
タイプ EXE
メモリ常駐 なし
発見日 2022年1月24日
ペイロード ファイルの削除

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、以下の方法でコンピュータに侵入します。

インストール

マルウェアは、以下のプロセスを追加します。

  • cmd.exe /min /C ping 111.111.111.111 -n 5 -w 10 > Nul & Del /f /q {Malware path and name}

マルウェアは、実行後、自身を削除します。

その他

マルウェアは、以下を実行します。

  • It replaces the extension of overwritten files with the following:
    • .{random characters}
  • It wipes files in fixed and remote drives.
  • It wipes the files with the following extensions:
    • .HTML
    • .HTM
    • .SHTML
    • .XHTML
    • .PHTML
    • .PHP
    • .JSP
    • .ASP
    • .PHPS
    • .PHP5
    • .ASPX
    • .PHP4
    • .PHP6
    • .PHP7
    • .PHP3
    • .DOC
    • .DOCX
    • .XLS
    • .XLSX
    • .PPT
    • .PPTX
    • .PST
    • .OST
    • .MSG
    • .EML
    • .VSD
    • .VSDX
    • .TXT
    • .CSV
    • .RTF
    • .WKS
    • .WK1
    • .PDF
    • .DWG
    • .ONETOC2
    • .SNT
    • .JPEG
    • .JPG
    • .DOCB
    • .DOCM
    • .DOT
    • .DOTM
    • .DOTX
    • .XLSM
    • .XLSB
    • .XLW
    • .XLT
    • .XLM
    • .XLC
    • .XLTX
    • .XLTM
    • .PPTM
    • .POT
    • .PPS
    • .PPSM
    • .PPSX
    • .PPAM
    • .POTX
    • .POTM
    • .EDB
    • .HWP
    • .602
    • .SXI
    • .STI
    • .SLDX
    • .SLDM
    • .BMP
    • .PNG
    • .GIF
    • .RAW
    • .CGM
    • .SLN
    • .TIF
    • .TIFF
    • .NEF
    • .PSD
    • .AI
    • .SVG
    • .CLASS
    • .JAR
    • .BRD
    • .SCH
    • .DCH
    • .DIP
    • .PL
    • .VB
    • .VBS
    • .PS1
    • .BAT
    • .CMD
    • .JS
    • .ASM
    • .PAS
    • .CPP
    • .C
    • .CS
    • .SUO
    • .ASC
    • .LAY6
    • .LAY
    • .MML
    • .SXM
    • .OTG
    • .ODG
    • .UOP
    • .STD
    • .SXD
    • .OTP
    • .ODP
    • .WB2
    • .SLK
    • .DIF
    • .STC
    • .SXC
    • .OTS
    • .ODS
    • .3DM
    • .MAX
    • .3DS
    • .UOT
    • .STW
    • .SXW
    • .OTT
    • .ODT
    • .PEM
    • .P12
    • .CSR
    • .CRT
    • .KEY
    • .PFX
    • .DER
    • .OGG
    • .RB
    • .GO
    • .JAVA
    • .INC
    • .WAR
    • .PY
    • .KDBX
    • .INI
    • .YML
    • .PPK
    • .LOG
    • .VDI
    • .VMDK
    • .VHD
    • .HDD
    • .NVRAM
    • .VMSD
    • .VMSN
    • .VMSS
    • .VMTM
    • .VMX
    • .VMXF
    • .VSWP
    • .VMTX
    • .VMEM
    • .MDF
    • .IBD
    • .MYI
    • .MYD
    • .FRM
    • .SAV
    • .ODB
    • .DBF
    • .DB
    • .MDB
    • .ACCDB
    • .SQL
    • .SQLITEDB
    • .SQLITE3
    • .LDF
    • .SQ3
    • .ARC
    • .PAQ
    • .BZ2
    • .TBK
    • .BAK
    • .TAR
    • .TGZ
    • .GZ
    • .7Z
    • .RAR
    • .ZIP
    • .BACKUP
    • .ISO
    • .VCD
    • .BZ
    • .CONFIG

<補足>
侵入方法

マルウェアは、以下の方法でコンピュータに侵入します。

インストール

マルウェアは、以下のプロセスを追加します。

  • cmd.exe /min /C ping 111.111.111.111 -n 5 -w 10 > Nul & Del /f /q {マルウェアパスおよび名前}

マルウェアは、実行後、自身を削除します。

その他

マルウェアは、以下を実行します。

  • マルウェアは、上書きしたファイルの拡張子を以下のように置き換えます。
    • .{ランダムな文字}
  • マルウェアは、固定ドライブ / リモートドライブ内のファイルを消去します。
  • マルウェアは、以下の拡張子を持つファイルを消去します。
    • .HTML
    • .HTM
    • .SHTML
    • .XHTML
    • .PHTML
    • .PHP
    • .JSP
    • .ASP
    • .PHPS
    • .PHP5
    • .ASPX
    • .PHP4
    • .PHP6
    • .PHP7
    • .PHP3
    • .DOC
    • .DOCX
    • .XLS
    • .XLSX
    • .PPT
    • .PPTX
    • .PST
    • .OST
    • .MSG
    • .EML
    • .VSD
    • .VSDX
    • .TXT
    • .CSV
    • .RTF
    • .WKS
    • .WK1
    • .PDF
    • .DWG
    • .ONETOC2
    • .SNT
    • .JPEG
    • .JPG
    • .DOCB
    • .DOCM
    • .DOT
    • .DOTM
    • .DOTX
    • .XLSM
    • .XLSB
    • .XLW
    • .XLT
    • .XLM
    • .XLC
    • .XLTX
    • .XLTM
    • .PPTM
    • .POT
    • .PPS
    • .PPSM
    • .PPSX
    • .PPAM
    • .POTX
    • .POTM
    • .EDB
    • .HWP
    • 0.602
    • .SXI
    • .STI
    • .SLDX
    • .SLDM
    • .BMP
    • .PNG
    • .GIF
    • .RAW
    • .CGM
    • .SLN
    • .TIF
    • .TIFF
    • .NEF
    • .PSD
    • .AI
    • .SVG
    • .CLASS
    • .JAR
    • .BRD
    • .SCH
    • .DCH
    • .DIP
    • .PL
    • .VB
    • .VBS
    • .PS1
    • .BAT
    • .CMD
    • .JS
    • .ASM
    • .PAS
    • .CPP
    • .C
    • .CS
    • .SUO
    • .ASC
    • .LAY6
    • .LAY
    • .MML
    • .SXM
    • .OTG
    • .ODG
    • .UOP
    • .STD
    • .SXD
    • .OTP
    • .ODP
    • .WB2
    • .SLK
    • .DIF
    • .STC
    • .SXC
    • .OTS
    • .ODS
    • .3DM
    • .MAX
    • .3DS
    • .UOT
    • .STW
    • .SXW
    • .OTT
    • .ODT
    • .PEM
    • .P12
    • .CSR
    • .CRT
    • .KEY
    • .PFX
    • .DER
    • .OGG
    • .RB
    • .GO
    • .JAVA
    • .INC
    • .WAR
    • .PY
    • .KDBX
    • .INI
    • .YML
    • .PPK
    • .LOG
    • .VDI
    • .VMDK
    • .VHD
    • .HDD
    • .NVRAM
    • .VMSD
    • .VMSN
    • .VMSS
    • .VMTM
    • .VMX
    • .VMXF
    • .VSWP
    • .VMTX
    • .VMEM
    • .MDF
    • .IBD
    • .MYI
    • .MYD
    • .FRM
    • .SAV
    • .ODB
    • .DBF
    • .DB
    • .MDB
    • .ACCDB
    • .SQL
    • .SQLITEDB
    • .SQLITE3
    • .LDF
    • .SQ3
    • .ARC
    • .PAQ
    • .BZ2
    • .TBK
    • .BAK
    • .TAR
    • .TGZ
    • .GZ
    • .7Z
    • .RAR
    • .ZIP
    • .BACKUP
    • .ISO
    • .VCD
    • .BZ
    • .CONFIG

  対応方法

対応検索エンジン: 9.800
初回 VSAPI パターンバージョン 17.336.08
初回 VSAPI パターンリリース日 2022年1月24日
VSAPI OPR パターンバージョン 17.337.00
VSAPI OPR パターンリリース日 2022年1月25日

手順 1

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「Trojan.Win32.WHISPERGATE.YXCAX」と検出したファイルの駆除を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください