HackTool.Win64.JISCAN.A
UDS:Exploit.Win32.MS17-010.gen (KASPERSKY)
Windows
マルウェアタイプ:
ハッキングツール
破壊活动の有无:
なし
暗号化:
感染報告の有無 :
はい
? 概要
プログラムは、他のマルウェアに作成されるか、悪意ある奥别产サイトからユーザが误ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
プログラムは、他のマルウェアに作成されるか、悪意ある奥别产サイトからユーザが误ってダウンロードすることによりコンピュータに侵入します。
インストール
プログラムは、以下のファイルを作成します。
- {Hacking Tool execution path}\{IP subnet}.txt → contains the results of "scan" command
- {Hacking Tool execution path}\results.txt
その他
プログラムは、以下を実行します。
- It scans for HTTP vulnerabilities.
- It does network and port scanning.
- It can generate scripts for a specified shell.
マルウェアは、以下のパラメータを受け取ります。
- Usage:
- {hacktool filepath} {commands} [flag]
- Commands:
- all → use all scan mode (don't have ssh mode)
- blast → bruteforce
- completion → generate the autocompletion script for the specified shell
- exploit → sshlogin, redisexec
- help → help about any command
- ping → ping scan to find computer
- ps → port scan
- scan {protocol} → scan network using ms17010, proxyfind, snmp, winscan(smb, netbios, oxid), and
- poc
- server {http / socks5} → start http server or socks5 server
- tools {nc}
- Global Flags:
- -h, --help
- --nobar
- -o, --output {path of result file}
- --proxy {ip address}
- -T, --thread
- -t, --timeout {time in seconds}
- -v, --verbose
- If "all" command is used:
- -H, --host {ip subnet}
- --hostfile
- --i, --icmp
- --noburp
- --noping
- --novulscan
- --passdict
- -P, --pasword → set postgres password
- -p, --port {port number}
- -U, --username → set username
- If "blast" is used to brute force username and password:
- ftp
- ldap
- mongo
- mssql
- mysql
- postgres
- rdp
- redis
- smb
- ssh
- If "completion" command is used:
- bash
- fish
- powershell
- zsh
- If "exploit" command is used:
- ldapsearch → ldap queries
- redis
- sshlogin → login using username, password, or key
- If "ping" command is used:
- -d, --discover
- -H, --hosts
- --hostfile
- -i, --icmp
- If "ps" command is used:
- -b, --banner → return banner information
- -H, --host
- --hostfile
- -i, --icmp
- --noping → no ping discovery before port scanning
- --nowebscan → no HTTP scanning
- -p, --port {port number} → specify which port to scan
- -s, --syn → use syn scan
- --vulscan → scan for HTTP vulnerabilities
対応方法
手順 1
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を无効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手顺中に记载されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である场合の他、オペレーティングシステム(翱厂)の条件によりインストールがされない场合が考えられます。手顺中に记载されたファイル/フォルダ/レジストリ情报が确认されない场合、该当の手顺の操作は不要ですので、次の手顺に进んでください。
手順 3
以下のファイルを検索し削除します。
- ?{Hacking Tool execution path}\{IP subnet}.txt
- {Hacking Tool execution path}\results.txt
手順 4
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「HackTool.Win64.JISCAN.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。