&苍产蝉辫;解析者: Augusto II Remillano   
&苍产蝉辫;别名:

TR/EquationDrug.nwhit (Antivir), Trojan.Win32.EquationDrug.le (Kaspersky)

&苍产蝉辫;プラットフォーム:

Windows

&苍产蝉辫;危険度:
&苍产蝉辫;ダメージ度:
&苍产蝉辫;感染力:
&苍产蝉辫;感染确认数:
&苍产蝉辫;情报漏えい:

  • マルウェアタイプ:
    トロイの木马型

  • 破壊活动の有无:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

? 概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

マルウェアは、他のマルウェアに作成されるか、悪意ある奥别产サイトからユーザが误ってダウンロードすることによりコンピュータに侵入します。

ただし、情报公开日现在、この奥别产サイトにはアクセスできません。

マルウェアは、仮想环境内で実行されると、自身の活动を终了します。 マルウェア マルウェアは、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。 概要:プログラムは、コンピュータのCPUおよびGPUのリソースを利用して仮想通貨を発掘します。

  詳細

ファイルサイズ 6,635,520 bytes
タイプ EXE
ファイル圧缩 Themida
メモリ常驻 はい
発见日 2018年7月13日
ペイロード URLまたはIPアドレスに接続, ファイルのダウンロード, ファイルの作成, システムのレジストリの変更, 情報収集

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意ある奥别产サイトからユーザが误ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

  • %Windows%\IIS\CPUInfo.exe

(註:%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %Windows%\boy.exe

(註:%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

マルウェアは、以下のフォルダを作成します。

  • %Windows%\IIS

(註:%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

自动実行方法

マルウェアは、自身のコピーが奥颈苍诲辞飞蝉起动时に自动実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Windows
run = "%Windows%\boy.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Windows
load = "%Windows%\boy.exe"

マルウェアは、以下のサービスを追加し、実行します。

  • Service Name: Application Layre Gateway Service
  • Display Name: Can not be deleted
  • Start Type: SERVICE_DEMAND_START
  • Binary Pathname: cmd.exe /c start %Windows%\boy.exe

(註:%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

マルウェアは、自身のコピーが奥颈苍诲辞飞蝉起动时に自动実行されるよう以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
shell = "Explorer.exe %Windows%\boy.exe"

(註:変更前の上记レジストリ値は、「"别虫辫濒辞谤别谤.别虫别"」となります。)

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
service\iis

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
service\iis\Parameters

マルウェアは、インストールの过程で、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\iis
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\iis
ImagePath = "%Windows%\IIS\srvany.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\iis
DisplayName = "iis"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\iis
Description =

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\iis\Parameters
AppDirectory = "%Windows%\IIS\"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\iis\Parameters
SrvanyUI = {GUID Value}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\iis
ErrorControl = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\iis
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\iis\Parameters
Application = "%Windows%\IIS\CPUInfo.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\iis
Type = "16"

ダウンロード活动

マルウェアは、以下の奥别产サイトにアクセスし、不正なファイルをダウンロードして実行します。

  • http://http.{BLOCKED}ce.org:443/1
  • http://gx.{BLOCKED}ce.org:8888/gx.exe

マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。

  • %Windows%\IIS\gx.exe
  • %Windows%\IIS\HTTP.exe

(註:%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

ただし、情报公开日现在、この奥别产サイトにはアクセスできません。

その他

マルウェアは、以下の奥别产サイトにアクセスして感染コンピュータの滨笔アドレスを収集します。

  • http://ip.{BLOCKED}2.net/

マルウェアは、以下のファイルを作成します。

  • %Windows%\end.bat - batch file changing the firewall settings
  • %Windows%\IIS\1.BAT - changes the registry of affected system to run the malware copy every system startup
  • %Windows%\IIS\adfw.dll - detected as TROJ_EQUATED.J
  • %Windows%\IIS\adfw-2.dll - detected as TROJ_EQUATED.J
  • %Windows%\IIS\chrome..exe - detected as BKDR_EQUATED.LZCMU
  • %Windows%\IIS\chrome..fb - BKDR_EQUATED.LZCMU component
  • %Windows%\IIS\chrome..xml - BKDR_EQUATED.LZCMU component
  • %Windows%\IIS\cnli-0.dll - detected as TROJ_EQUATED.J
  • %Windows%\IIS\cnli-1.dll - detected as TROJ_EQUATED.J
  • %Windows%\IIS\coli-0.dll - detected as TROJ_EQUATED.J
  • %Windows%\IIS\com.dll - text containing IP addresses
  • %Windows%\IIS\crli-0.dll - detected as TROJ_EQUATED.J
  • %Windows%\IIS\csrs.exe - detected as Coinminer_MALXMR.SM-WIN32
  • %Windows%\IIS\Cstr.exe - detected as TROJ_EQUATED.LZCMT
  • %Windows%\IIS\Cstr.fb - TROJ_EQUATED.LZCMT component
  • %Windows%\IIS\Cstr.xml - TROJ_EQUATED.LZCMT component
  • %Windows%\IIS\dmgd-1.dll - detected as TROJ_EQUATED.J
  • %Windows%\IIS\dmgd-4.dll - detected as TROJ_EQUATED.J
  • %Windows%\IIS\esco-0.dll - detected as TROJ_EQUATED.J
  • %Windows%\IIS\Esteemaudit-2.1.0.exe - detected as TROJ_EQUATED.J
  • %Windows%\IIS\Esteemaudit-2.1.0.fb - TROJ_EQUATED.J component
  • %Windows%\IIS\Esteemaudit-2.1.0.xml - TROJ_EQUATED.J component
  • %Windows%\IIS\Esteemaudittouch-2.1.0.exe - detected as TROJ_EQUATED.J
  • %Windows%\IIS\Esteemaudittouch-2.1.0.fb - TROJ_EQUATED.J component
  • %Windows%\IIS\Esteemaudittouch-2.1.0.xml - TROJ_EQUATED.J component
  • %Windows%\IIS\etch-0.dll - detected as TROJ_EQUATED.J
  • %Windows%\IIS\etchCore-0.x64.dll - detected as TROJ_EQUATED.J
  • %Windows%\IIS\etchCore-0.x86.dll - detected as TROJ_EQUATED.J
  • %Windows%\IIS\eteb-2.dll - detected as TROJ_EQUATED.J
  • %Windows%\IIS\etebCore-2.x64.dll - detected as TROJ_EQUATED.J
  • %Windows%\IIS\etebCore-2.x86.dll - detected as TROJ_EQUATED.J
  • %Windows%\IIS\Eternalchampion-2.0.0.exe - detected as TROJ_EQUATED.J
  • %Windows%\IIS\Eternalchampion-2.0.0.fb - TROJ_EQUATED.J component
  • %Windows%\IIS\Eternalchampion-2.0.0.xml - TROJ_EQUATED.J component
  • %Windows%\IIS\exma.dll - detected as TROJ_EQUATED.J
  • %Windows%\IIS\exma-1.dll - detected as TROJ_EQUATED.J
  • %Windows%\IIS\iconv.dll - detected as TROJ_EQUATED.J
  • %Windows%\IIS\iis.reg - used by 1.BAT, registry settings
  • %Windows%\IIS\libcurl.dll - detected as TROJ_EQUATED.J
  • %Windows%\IIS\libeay32.dll - detected as TROJ_EQUATED.J
  • %Windows%\IIS\libiconv-2.dll - detected as TROJ_EQUATED.J
  • %Windows%\IIS\libxml2.dll - detected as TROJ_EQUATED.K
  • %Windows%\IIS\pcla-0.dll - detected as TROJ_EQUATED.J
  • %Windows%\IIS\pcre-0.dll - detected as TROJ_EQUATED.J
  • %Windows%\IIS\pcrecpp-0.dll - detected as TROJ_EQUATED.J
  • %Windows%\IIS\pcreposix-0.dll - detected as TROJ_EQUATED.J
  • %Windows%\IIS\posh.dll - detected as TROJ_EQUATED.J
  • %Windows%\IIS\posh-0.dll - detected as TROJ_EQUATED.J
  • %Windows%\IIS\qdx.bat - schedules a task that runs the malware copy every system startup
  • %Windows%\IIS\result.txt - log file
  • %Windows%\IIS\riar.dll - detected as TROJ_EQUATED.J
  • %Windows%\IIS\riar-2.dll - detected as TROJ_EQUATED.J
  • %Windows%\IIS\s.bat - executes svchost.exe
  • %Windows%\IIS\s1.txt - text containing IP addresses
  • %Windows%\IIS\s2.txt - text containing IP addresses
  • %Windows%\IIS\smss.exe - detected as Coinminer_MALXMR.TIDBFAN-WIN32
  • %Windows%\IIS\srvany.exe - non-malicious file
  • %Windows%\IIS\ssleay32.dll - detected as TROJ_EQUATED.J
  • %Windows%\IIS\svchost.exe - detected as TROJ_EQUATED.J
  • %Windows%\IIS\tibe.dll - detected as TROJ_EQUATED.J
  • %Windows%\IIS\tibe-1.dll - detected as TROJ_EQUATED.J
  • %Windows%\IIS\tibe-2.dll - detected as TROJ_EQUATED.J
  • %Windows%\IIS\trch.dll - detected as TROJ_EQUATED.J
  • %Windows%\IIS\trch-0.dll - detected as TROJ_EQUATED.J
  • %Windows%\IIS\trch-1.dll - detected as TROJ_EQUATED.J
  • %Windows%\IIS\trfo.dll - detected as TROJ_EQUATED.J
  • %Windows%\IIS\trfo-0.dll - detected as TROJ_EQUATED.J
  • %Windows%\IIS\trfo-2.dll - detected as TROJ_EQUATED.J
  • %Windows%\IIS\tucl.dll - detected as TROJ_EQUATED.J
  • %Windows%\IIS\tucl-1.dll - detected as TROJ_EQUATED.J
  • %Windows%\IIS\ucl.dll - detected as TROJ_EQUATED.J
  • %Windows%\IIS\x64.dll - for 64-bit OS, detected as TROJ_DLOADR.AUSUMH
  • %Windows%\IIS\x86.dll - for 32-bit OS, detected as TROJ_DLOADR.AUSUMH
  • %Windows%\IIS\xdvl-0.dll - detected as TROJ_EQUATED.J
  • %Windows%\IIS\zibe.dll - detected as TROJ_EQUATED.J
  • %Windows%\IIS\zlib1.dll - detected as TROJ_EQUATED.J
  • %Windows%\SB360.bat - batch file, adds an ipsec filter blocking specific network traffic

(註:%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

マルウェアは、仮想环境内で実行されると、自身の活动を终了します。

マルウェア は、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。

マルウェアは、以下の奥别产サイトにアクセスし、感染コンピュータの位置情报を取得します。

  • http://www.{BLOCKED}8.com/ips138.asp?ip={ip address of affected system}

详细:プログラムは、コンピュータの颁笔鲍および骋笔鲍のリソースを利用して仮想通货を発掘します。その结果、感染コンピュータの动作が非常に遅くなります。

<补足>
その他

マルウェアは、以下のファイルを作成します。

  • %Windows%\ end.bat - ファイアウォール設定を変更するバッチファイル
  • %Windows%\ IIS \ 1.BAT - システム起動時に毎回マルウェアのコピーが実行されるよう、感染コンピュータのレジストリを変更するファイル
  • %Windows%\ IIS \ adfw.dll - TROJ_EQUATED.Jとして検出されるファイル
  • %Windows%\ IIS \ adfw-2.dll - TROJ_EQUATED.Jとして検出されるファイル
  • %Windows%\ IIS \ chrome..exe - BKDR_EQUATED.LZCMUとして検出されるファイル
  • %Windows%\ IIS \ chrome..fb - BKDR_EQUATED.LZCMUのコンポーネント
  • %Windows%\ IIS \ chrome..xml - BKDR_EQUATED.LZCMUのコンポーネント
  • %Windows%\ IIS \ cnli-0.dll - TROJ_EQUATED.Jとして検出されるファイル
  • %Windows%\ IIS \ cnli-1.dll - TROJ_EQUATED.Jとして検出されるファイル
  • %Windows%\ IIS \ coli-0.dll - TROJ_EQUATED.Jとして検出されるファイル
  • %Windows%\ IIS \ com.dll - IPアドレスが含まれるテキストファイル
  • %Windows%\ IIS \ crli-0.dll - TROJ_EQUATED.Jとして検出されるファイル
  • %Windows%\ IIS \ csrs.exe - Coinminer_MALXMR.SM-WIN32として検出されるファイル
  • %Windows%\ IIS \ Cstr.exe - TROJ_EQUATED.LZCMTとして検出されるファイル
  • %Windows%\ IIS \ Cstr.fb - TROJ_EQUATED.LZCMTのコンポーネント
  • %Windows%\ IIS \ Cstr.xml - TROJ_EQUATED.LZCMTのコンポーネント
  • %Windows%\ IIS \ dmgd-1.dll - TROJ_EQUATED.Jとして検出されるファイル
  • %Windows%\ IIS \ dmgd-4.dll - TROJ_EQUATED.Jとして検出されるファイル
  • %Windows%\ IIS \ esco-0.dll - TROJ_EQUATED.Jとして検出されるファイル
  • %Windows%\ IIS \ Esteemaudit-2.1.0.exe - TROJ_EQUATED.Jとして検出されるファイル
  • %Windows%\ IIS \ Esteemaudit-2.1.0.fb - TROJ_EQUATED.Jのコンポーネント
  • %Windows%\ IIS \ Esteemaudit-2.1.0.xml - TROJ_EQUATED.Jのコンポーネント
  • %Windows%\ IIS \ Esteemaudittouch-2.1.0.exe - TROJ_EQUATED.Jとして検出されるファイル
  • %Windows%\ IIS \ Esteemaudittouch-2.1.0.fb - TROJ_EQUATED.Jのコンポーネント
  • %Windows%\ IIS \ Esteemaudittouch-2.1.0.xml - TROJ_EQUATED.Jのコンポーネント
  • %Windows%\ IIS \ etch-0.dll - TROJ_EQUATED.Jとして検出されるファイル
  • %Windows%\ IIS \ etchCore-0.x64.dll - TROJ_EQUATED.Jとして検出されるファイル
  • %Windows%\ IIS \ etchCore-0.x86.dll - TROJ_EQUATED.Jとして検出されるファイル
  • %Windows%\ IIS \ eteb-2.dll - TROJ_EQUATED.Jとして検出されるファイル
  • %Windows%\ IIS \ etebCore-2.x64.dll - TROJ_EQUATED.Jとして検出されるファイル
  • %Windows%\ IIS \ etebCore-2.x86.dll - TROJ_EQUATED.Jとして検出されるファイル
  • %Windows%\ IIS \ Eternalchampion-2.0.0.exe - TROJ_EQUATED.Jとして検出されるファイル
  • %Windows%\ IIS \ Eternalchampion-2.0.0.fb - TROJ_EQUATED.Jのコンポーネント
  • %Windows%\ IIS \ Eternalchampion-2.0.0.xml - TROJ_EQUATED.Jのコンポーネント
  • %Windows%\ IIS \ exma.dll - TROJ_EQUATED.Jとして検出されるファイル
  • %Windows%\ IIS \ exma-1.dll - TROJ_EQUATED.Jとして検出されるファイル
  • %Windows%\ IIS \ iconv.dll - TROJ_EQUATED.Jとして検出されるファイル
  • %Windows%\ IIS \ iis.reg - 1.BATに使用される、レジストリ設定ファイル
  • %Windows%\ IIS \ libcurl.dll - TROJ_EQUATED.Jとして検出されるファイル
  • %Windows%\ IIS \ libeay32.dll - TROJ_EQUATED.Jとして検出されるファイル
  • %Windows%\ IIS \ libiconv-2.dll - TROJ_EQUATED.Jとして検出されるファイル
  • %Windows%\ IIS \ libxml2.dll - TROJ_EQUATED.Kとして検出されるファイル
  • %Windows%\ IIS \ pcla-0.dll - TROJ_EQUATED.Jとして検出されるファイル
  • %Windows%\ IIS \ pcre-0.dll - TROJ_EQUATED.Jとして検出されるファイル
  • %Windows%\ IIS \ pcrecpp-0.dll - TROJ_EQUATED.Jとして検出されるファイル
  • %Windows%\ IIS \ pcreposix-0.dll - TROJ_EQUATED.Jとして検出されるファイル
  • %Windows%\ IIS \ posh.dll - TROJ_EQUATED.Jとして検出されるファイル
  • %Windows%\ IIS \ posh-0.dll - TROJ_EQUATED.Jとして検出されるファイル
  • %Windows%\ IIS \ qdx.bat - システム起動時に毎回マルウェアのコピーを実行するタスクをスケジュールするファイル
  • %Windows%\ IIS \ result.txt - ログファイル
  • %Windows%\ IIS \ riar.dll - TROJ_EQUATED.Jとして検出されるファイル
  • %Windows%\ IIS \ riar-2.dll - TROJ_EQUATED.Jとして検出されるファイル
  • %Windows%\ IIS \ s.bat - svchost.exeを実行するファイル
  • %Windows%\ IIS \ s1.txt - IPアドレスを含むテキストファイル
  • %Windows%\ IIS \ s2.txt - IPアドレスを含むテキストファイル
  • %Windows%\ IIS \ smss.exe - Coinminer_MALXMR.TIDBFAN-WIN32として検出されるファイル
  • %Windows%\ IIS \ srvany.exe - 無害なファイル
  • %Windows%\ IIS \ ssleay32.dll - TROJ_EQUATED.Jとして検出されるファイル
  • %Windows%\ IIS \ svchost.exe - TROJ_EQUATED.Jとして検出されるファイル
  • %Windows%\ IIS \ tibe.dll - TROJ_EQUATED.Jとして検出されるファイル
  • %Windows%\ IIS \ tibe-1.dll - TROJ_EQUATED.Jとして検出されるファイル
  • %Windows%\ IIS \ tibe-2.dll - TROJ_EQUATED.Jとして検出されるファイル
  • %Windows%\ IIS \ trch.dll - TROJ_EQUATED.Jとして検出されるファイル
  • %Windows%\ IIS \ trch-0.dll - TROJ_EQUATED.Jとして検出されるファイル
  • %Windows%\ IIS \ trch-1.dll - TROJ_EQUATED.Jとして検出されるファイル
  • %Windows%\ IIS \ trfo.dll - TROJ_EQUATED.Jとして検出されるファイル
  • %Windows%\ IIS \ trfo-0.dll - TROJ_EQUATED.Jとして検出されるファイル
  • %Windows%\ IIS \ trfo-2.dll - TROJ_EQUATED.Jとして検出されるファイル
  • %Windows%\ IIS \ tucl.dll - TROJ_EQUATED.Jとして検出されるファイル
  • %Windows%\ IIS \ tucl-1.dll - TROJ_EQUATED.Jとして検出されるファイル
  • %Windows%\ IIS \ ucl.dll - TROJ_EQUATED.Jとして検出されるファイル
  • %Windows%\ IIS \ x64.dll - TROJ_DLOADR.AUSUMHとして検出される、64ビットOS用ファイル
  • %Windows%\ IIS \ x86.dll - TROJ_DLOADR.AUSUMHとして検出される、32ビットOS用ファイル
  • %Windows%\ IIS \ xdvl-0.dll - TROJ_EQUATED.Jとして検出されるファイル
  • %Windows%\ IIS \ zibe.dll - TROJ_EQUATED.Jとして検出されるファイル
  • %Windows%\ IIS \ zlib1.dll - TROJ_EQUATED.Jとして検出されるファイル
  • %Windows%\ SB360.bat - 特定のネットワークトラフィックをブロックするipsecフィルタを追加するバッチファイル

マルウェアは、以下を実行します。

  • 以下をスキャンして、开いているポート445を検索します。
    • X.X.0.0 - X.X.255.255(X.Xには、感染コンピュータのIPアドレスの最初の2つの値があてはまる)
    • ローカルネットワークの滨笔アドレス

      次に、惭厂17-010の脆弱性を利用して、以下のファイルのいずれかをリモートホスト上で実行します。
    • %Windows%\ IIS \ x64.dll - TROJ_DLOADR.AUSUMHとして検出されるファイル、64ビットOS用
    • %Windows%\ IIS \ x86.dll - TROJ_DLOADR.AUSUMHとして検出されるファイル、32ビットOS用
  • バッチファイル%Windows%\ end.batは、以下のコマンドを実行します。
    • netsh ipsec static add policy name=ipsec_ply
    • netsh ipsec static add filterlist name=deny_pt
    • netsh ipsec static add filterlist name=allow_pt
    • netsh ipsec static add filter filterlist=deny_pt srcaddr=any dstaddr=ME dstport=445 protocol=TCP
    • netsh ipsec static add filter filterlist=deny_pt srcaddr=any dstaddr=ME dstport=139 protocol=TCP
    • netsh ipsec static add filteraction name=deny action=block
    • netsh ipsec static add filteraction name=allow action=negotiate
    • netsh ipsec static add rule name=deny policy=ipsec_ply filterlist=deny_pt filteraction=deny
    • netsh ipsec static add rule name=allow policy=ipsec_ply filterlist=allow_pt filteraction=allow psk="(@=P#$bV4$"
    • netsh ipsec static set policy name=ipsec_ply assign=y
  • 以下のコマンドを実行してスケジュールされたタスクを作成します。
    schtasks.exe /create /TN "\Microsoft\Windows\UPnP\Services" /RU SYSTEM /TR "%WinDir%\IIS\CPUInfo.exe" /SC ONSTART
  • バッチファイル%Windows%\SD360.bat は、以下のコマンドを実行します。
    • netsh ipsec static add policy name=qianye
    • netsh ipsec static add filterlist name=Filter1
    • netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=135 protocol=TCP
    • netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=139 protocol=TCP
    • netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=445 protocol=TCP
    • netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=1443 protocol=TCP
    • netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=1444 protocol=TCP
    • netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=135 protocol=UDP
    • netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=139 protocol=UDP
    • netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=445 protocol=UDP
    • netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=1443 protocol=UDP
    • netsh ipsec static add filter filterlist=Filter1 srcaddr=any dstaddr=Me dstport=1444 protocol=UDP
    • netsh ipsec static add filteraction name=FilteraAtion1 action=block
    • netsh ipsec static add rule name=Rule1 policy=qianye filterlist=Filter1 filteraction=FilteraAtion1
    • netsh ipsec static set policy name=qianye assign=y
  • 以下のコマンドを実行して、仮想通货のマイニングを実行します。
    %Windows%\IIS\csrs.exe -o stratum+tcp://nicehash.{BLOCKED}ce.org:8080 -o stratum+tcp://note.{BLOCKED}ce.org:443 -o stratum+tcp://note1.{BLOCKED}ce.org:5555 -u {BLOCKED}Gz45tJZ3g84rpYtw78J2UQQaCiH6SkozGKHyTV2Lkd7GtsMjurZkk8B9wKJ2uCAKdMLQ -p x -k --donate-level=1
  • 以下のマイニングサーバーに接続します。
    • stratum+tcp://nicehash.{BLOCKED}ce.org:8080
    • stratum+tcp://note.{BLOCKED}ce.org:443
    • stratum+tcp://note1.{BLOCKED}ce.org:5555

マルウェアは、以下の奥别产サイトにアクセスし、感染コンピュータの位置情报を取得します。

  • 丑迟迟辫://飞飞飞.调叠尝翱颁碍贰顿皑8.肠辞尘/颈辫蝉138.补蝉辫?颈辫=调感染コンピュータの滨笔アドレス皑

  対応方法

対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 14.376.05
初回 VSAPI パターンリリース日 2018年7月13日
VSAPI OPR パターンバージョン 14.377.00
VSAPI OPR パターンリリース日 2018年7月14日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を无効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手顺中に记载されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である场合の他、オペレーティングシステム(翱厂)の条件によりインストールがされない场合が考えられます。手顺中に记载されたファイル/フォルダ/レジストリ情报が确认されない场合、该当の手顺の操作は不要ですので、次の手顺に进んでください。

手順 3

回復コンソールを使用して、TROJ_EQUATED.LZCMU として検出されるファイルを確認し、削除します。

[ 詳細 ]

手順 4

このレジストリキーを削除します。

[ 詳細 ]

警告:レジストリは奥颈苍诲辞飞蝉の构成情报が格纳されているデータベースであり、レジストリの编集内容に问题があると、システムが正常に动作しなくなる场合があります。
レジストリの编集はお客様の责任で行っていただくようお愿いいたします。弊社ではレジストリの编集による如何なる问题に対しても补偿いたしかねます。
レジストリの编集前にをご参照ください。

  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\service
    • iis
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\service
    • Application Layre Gateway Service

手順 5

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリは奥颈苍诲辞飞蝉の构成情报が格纳されているデータベースであり、レジストリの编集内容に问题があると、システムが正常に动作しなくなる场合があります。
レジストリの编集はお客様の责任で行っていただくようお愿いいたします。弊社ではレジストリの编集による如何なる问题に対しても补偿いたしかねます。
レジストリの编集前にをご参照ください。

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
    • run = "%Windows%\boy.exe"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
    • load = "%Windows%\boy.exe"

手順 6

変更されたレジストリ値を修正します。

[ 詳細 ]

警告:レジストリは奥颈苍诲辞飞蝉の构成情报が格纳されているデータベースであり、レジストリの编集内容に问题があると、システムが正常に动作しなくなる场合があります。
事前に意図的に対象の设定を変更していた场合は、意図するオリジナルの设定に戻してください。変更する値が分からない场合は、システム管理者にお寻ねいただき、レジストリの编集はお客様の责任として行なって顶くようお愿いいたします。弊社ではレジストリの编集による如何なる问题に対しても补偿いたしかねます。
レジストリの编集前にをご参照ください。

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    • shell = "Explorer.exe"

手順 7

スケジュールされたタスクを削除する

タスク削除の手顺に含まれる调タスク名皑 - 调実行するタスク皑には以下が当てはまります。

  • \Microsoft\Windows\UPnP\Services - %WinDir%\IIS\CPUInfo.exe

Windows 2000、Windows XP、Windows Server 2003の場合:

  1. 摆スタート闭→摆プログラム闭→摆アクセサリ闭→摆システムツール闭→摆スケジュールされたタスク闭をクリックして、スケジュールされたタスクを开きます。
  2. 上记の调タスク名皑 を、摆名前闭の栏に入力します。
  3. 入力した调タスク名皑 持つファイルを右クリックします。
  4. [プロパティ]をクリックします。 [実行]フィールドで、表示されている调実行するタスク皑を确认します。
  5. 上记の调実行するタスク皑と文字列が一致するタスクを削除します。

Windows Vista、Windows 7、Windows Server 2008、Windows 8、Windows 8.1、およびWindows Server 2012の場合:

  1. 奥颈苍诲辞飞蝉タスクスケジューラを开きます。
    • Windows Vista、Windows 7、Windows Server 2008の場合、[スタート]をクリックし、[検索]フィールドに「taskchd.msc」と入力してEnterキーを押します。
    • Windows 8、Windows 8.1、Windows Server 2012の場合、画面の左下隅を右クリックし、[実行]をクリックし、「taskchd.msc」と入力してEnterキーを押します。
  2. 左侧のパネルで、摆タスクスケジューラライブラリ闭をクリックします。
  3. 中央上部のパネルで、上记の调タスク名皑を摆名前闭の栏に入力します。
  4. 中央下部のパネルで、[アクション]タブをクリックします。 [詳細]の欄で、调実行するタスク皑を确认します。
  5. 文字列が一致するタスクを削除します。

手順 8

以下のフォルダを検索し削除します。

[ 詳細 ]
フォルダが隠しフォルダ属性に设定されている场合があります。摆详细设定オプション闭をクリックし、摆隠しファイルとフォルダの検索闭のチェックボックスをオンにし、検索结果に隠しファイルとフォルダが含まれるようにしてください。
  • %Windows%\IIS

手順 9

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性に设定されている场合があります。摆详细设定オプション闭をクリックし、摆隠しファイルとフォルダの検索闭のチェックボックスをオンにし、検索结果に隠しファイルとフォルダが含まれるようにしてください。
  • %Windows%\end.bat
  • %Windows%\boy.exe
  • %Windows%\SB360.bat

手順 10

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TROJ_EQUATED.LZCMU」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 11

以下の修正パッチをダウンロードし适用します。この脆弱性に対する修正パッチを适用するまで、该当製品の使用をお控えください。この製品の製造元が公开する正式な修正パッチをダウンロードし适用することをお勧めします。