Trend Micro Security

Trojan.VBS.POWLOAD.I

2026年4月24日
 解析者: Mariefher Grace Villanueva   
 別名:

VBS:Kimsuky-BE [Trj] (AVAST)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 システムへの影響:
 情報漏えい:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、ワーム活動の機能を備えていません。

マルウェアは、バックドア活動の機能を備えていません。

  詳細

ファイルサイズ 1,264 bytes
タイプ VBS
メモリ常駐 なし
発見日 2026年4月21日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のプロセスを追加します。

  • `"%System%\WindowsPowerShell\v1.0\powershell.exe" -encodedCommand {base64-encoded equivalent of the obfuscated PowerShell command}`
  • `"%System%\wbem\WMIC.exe" /Node:localhost /Namespace:\root\cimv2 path Win32_Process call Create`
  • `"%System%\getmac.exe"` → retrieves the MAC or physical address of the machine
  • `"%System%\schtasks.exe" /create /TN Chrome_Update /TR "%System%\wscript.exe /b ""%Public%\Music\bot.vbe""" /SC MINUTE /mo 15 /f`→ creates a scheduled task

(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %Public%フォルダは、すべてのユーザ共通のファイルまたはフォルダのリポジトリとして機能するフォルダです。Windows Vista、7、8の場合、通常 "C:\Users\Public" です。)

感染活動

マルウェアは、ワーム活動の機能を備えていません。

バックドア活動

マルウェアは、バックドア活動の機能を備えていません。

ルートキット機能

マルウェアは、ルートキット機能を備えていません。

情報漏えい

マルウェアは、以下の情報を収集します。

  • Media Access Control (MAC) address of the affected system's network interface

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

  • http://{BLOCKED}.{BLOCKED}.148.84//support.php?type=apple&seed={MAC Address} → contains an `schtasks.exe` command string that installs the persistence scheduled task described in the Installation section. Note that the command string can be modified anytime by the malicious actor.

マルウェアは、以下を実行します。

  • Creates a `Win32_ProcessStartup` instance and sets its `ShowWindow` property to `12` (SW_HIDE) so that the spawned PowerShell window is invisible to the user
  • Uses the PowerShell `Net.WebClient.DownloadString` method to retrieve the second-stage string command from the C2 server
  • Executes the downloaded command in memory through the `Invoke-Expression` (`iex`) cmdlet without writing it to disk

マルウェアは、脆弱性を利用した感染活動を行いません。

以下のスケジュールされたタスクを追加します:

  • Task name: `\Chrome_Update`
    Trigger: every 15 minutes
    Action: `%System%\wscript.exe /b C:\Users\Public\Music\bot.vbe`

(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

<補足>
インストール

マルウェアは、以下のプロセスを追加します。

  • `"%System%\WindowsPowerShell\v1.0\powershell.exe" -encodedCommand {難読化されたPowerShellコマンドがBase64でエンコードされた文字列}`
  • `"%System%\wbem\WMIC.exe" /Node:localhost /Namespace:\root\cimv2 path Win32_Process call Create`
  • `"%System%\getmac.exe"` → 感染コンピュータのMACアドレスまたは物理アドレスを取得する
  • `"%System%\schtasks.exe" /create /TN Chrome_Update /TR "%System%\wscript.exe /b ""%Public%\Music\bot.vbe""" /SC MINUTE /mo 15 /f`→ スケジュールされたタスクを作成する

情報漏えい

マルウェアは、以下の情報を収集します。

  • 影響を受けるコンピュータのネットワークインターフェイスに割り当てられたMACアドレス

その他

<>pマルウェアは、以下の不正なWebサイトにアクセスします。
  • http://{BLOCKED}.{BLOCKED}.148.84//support.php?type=apple&seed={MACアドレス} → 上記(インストールセクション)に記載された、永続化に関わるスケジュールタスクを作成する`schtasks.exe`コマンド文字列を含む(このコマンド文字列は、攻撃者によっていつでも変更される可能性がある点にご注意ください)。

マルウェアは、以下を実行します。

  • `Win32_ProcessStartup`インスタンスを作成して`ShowWindow`プロパティを`12` (SW_HIDE)に設定することで、 生成されたPowerShellウインドウがユーザに見えないようにします。
  • PowerShellの`Net.WebClient.DownloadString`メソッドを用いて、C&Cサーバから第二段階の文字列コマンドを取得します。
  • ダウンロードされたコマンドをディスク上に書き込むことなく、`Invoke-Expression` (`iex`)コマンドレットを通じてメモリ上で実行します。

以下のスケジュールされたタスクを追加します:

  • タスク名: `\Chrome_Update`
    トリガ: 15分毎
    アクション: `%System%\wscript.exe /b C:\Users\Public\Music\bot.vbe`

  対応方法

対応検索エンジン: 9.800
初回 VSAPI パターンバージョン 20.900.05
初回 VSAPI パターンリリース日 2026年4月21日
VSAPI OPR パターンバージョン 20.901.00
VSAPI OPR パターンリリース日 2026年4月22日

手順 1

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 3

セーフモード時のスケジュールタスクの削除方法

  1. セーフモードのまま、以下の{タスク名}-{実行するタスク}のリストを使用し、以下のステップで確認する必要があります。
    • Task Name: \Chrome_Update
      Task to be run: `%System%\wscript.exe /b C:\Users\Public\Music\bot.vbe`
  2. Windows 7 および Server 2008 (R2) をご使用の場合は、[スタート] > [コンピューター] をクリックします。
    • Windows 8、8.1、10、Server 2012をご使用の場合は、画面左下で右クリックし、「ファイルエクスプローラ」をクリックします。
  3. PCの検索欄に、次のように入力します。
    • System%\Tasks\{タスク名}
  4. ファイルを選択し、SHIFT+DELETEキーを押して削除します。
  5. レジストリエディタを開き、以下を実行してください。
    • Windows 7およびServer 2008(R2)をご使用の場合は、[スタート]ボタンをクリックし、[検索]入力フィールドに「regedit」と入力し、Enterキーを押します。
    • Windows 8、8.1、10、およびServer 2012(R2)をご使用の場合は、画面の左下隅を右クリックし、[実行]をクリックして、テキストボックスに「regedit」と入力します。
  6. レジストリエディタウィンドウの左パネルで、以下をダブルクリックします。
    • HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Schedule>TaskCache>Tree>{タスク名}
  7. 作成されたエントリを探し、レジストリ値のデータをメモする。
    • ID={タスクデータ}
  8. データを記録した後、レジストリキーを削除します。
    • HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Schedule>TaskCache>Tree>{タスク名}
  9. レジストリエディタウィンドウの左パネルで、以下をダブルクリックします。
    • HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Schedule>TaskCache>Tasks
  10. 左側のパネルで、手順6で配置したTask Dataと同じ名前のレジストリキーを探して削除します。
    • ={タスクデータ}
  11. レジストリエディタを閉じます。

手順 4

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「Trojan.VBS.POWLOAD.I」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 5

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Trojan.VBS.POWLOAD.I」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください