TROJ_KILLDISK.IUB
2018年1月11日
プラットフォーム:
Windows
危険度:
ダメージ度:
感染力:
感染確認数:
情報漏えい:
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
感染経路 他のマルウェアからの作成, インターネットからのダウンロード
トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。
マルウェアは、2018年1月に中南米の金融機関を対象とした攻撃で確認された、マスター・ブート・レコード(MBR)を上書きしてコンピュータを起動不能にする「KillDisk」の亜種です。
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
ファイルサイズ 61,440 bytes
タイプ EXE
メモリ常駐 はい
発見日 2018年1月10日
ペイロード プロセスの強制終了, コンピュータの再起動
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
他のシステム変更
マルウェアは、以下のファイルを削除します。
- %Windows%\0123456789
- %Windows%\dimens.exe
(註:%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)
プロセスの終了
マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。
- csrss.exe
- wininit.exe
- winlogon.exe
- lsass.exe
その他
マルウェアは以下を実行します。
- マスター・ブート・レコード(MBR)データを削除します
- 物理ドライブの一部をNull値で上書きします
- 削除する前にファイル名を変更して上書きします
- 以下のフォルダにあるファイルは削除しません
- WINNT
- Users
- Windows
- Program Files
- Program Files (x86)
- ProgramData
- Recovery
- $Recycle.Bin
- System Volume Information
- Windows.old
- PerfLogs
- また、システムドライブ内のファイルも削除しません
- 以下のフォルダにあるファイルは削除しません
- システムを強制的に再起動します
対応方法
対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 13.898.04
初回 VSAPI パターンリリース日 2018年1月11日
VSAPI OPR パターンバージョン 13.899.00
VSAPI OPR パターンリリース日 2018年1月12日
バックアップからシステムを復元するか、オペレーティングシステム(OS)を再インストールします。
損傷の程度によっては、あるいはMBRの消去が失敗していた場合、Windowsインストールディスクを使用してシステムの修復を実行し、システムの起動が可能になる場合があります。Windowsインストールディスクを使用してシステムを起動した場合、既に破損している一部のファイルを復元することはできません
ご利用はいかがでしたか? アンケートにご協力ください