最新ウイルス情報 【 セキュリティ機能の回避や情報窃取を行うトロイの木馬型マルウェア 】
はじめに : 本ページのウイルス情報について
ウイルスについては、非常に多くの亜種および検体ファイルが存在し、一般的には、亜種毎またはウイルスの検体ファイル毎に詳細な動作は異なる可能性がございます。そのため、本ページのウイルス情報は、特定の亜種や検体に依存しない汎用的な参考情報としてご案内させて頂いております。
また、本ページでご案内させて頂いているウイルスは、主に【情報漏洩を発生させる危険なウイルス】についてご案内させて頂いております。
そのため、本ページにあるようなウイルスのタイプ(ウイルス名)に感染した場合は、ウイルスによって情報漏洩した可能性が考えられます。弊社【ウイルス解析サービス】をご利用頂ければ、通信の接続先、作成するファイルやレジストリ情報、脆弱性情報等、貴社で発生したウイルスに特化したさらに詳細な情報がご案内可能でございます。
弊社の【ウイルス解析サービス】についての詳細はこちらをご確認頂けますでしょうか。
はじめに : 用語説明
■ウイルス、コンピュータウイルス、マルウェア、スパイウェア
各種メーカー等によって呼称や定義は異なることがございますが、一般的には、「ウイルス」はユーザやマシンにとって有害で悪意ある不正活動を行うプログラムまたはソフトウェア全般を指し、コンピュータウイルス、マルウェア、スパイウェアについても、基本的にはほぼ類似した意味となります。昨今のウイルスで、最も危険な不正活動としては、「情報漏洩」や「重要ファイルの暗号化」等が挙げられます。■ウイルス名
ウイルス名は、基本的には、各種ウイルス対策メーカーが独自に決定しています。そのため、類似した動作を持つウイルスでも、名称が異なることが多くございます。そのため、本ページでは一般的に多く使用されている名称を幾つかご紹介させて頂いております。■ファミリ
一般的には、ある特定の目的や動作を持ったウイルスのグループ(種類、分類、タイプ等)のことを指します。■Web通信
URL(リンク)を使用して、ブラウザからインターネット上のWebページを表示する、ファイルをダウンロードする等の操作に使用される通信で、インターネット上に公開されているWebサイト(Webページ、ホームページ等)との通信と考えて頂いて問題ありません。■C&Cサーバ
悪意ある攻撃者が、インターネット上に公開した、不正コマンドを指令するためのサーバです。一般的には、これらのサーバにWeb通信で接続を行い、不正コマンドの実行や情報漏洩が行われます。また、後述の、標的型攻撃や遠隔操作ウイルスに使用されることが多くございます。■標的型攻撃、遠隔操作ウイルス、バックドアウイルス、ボットウイルス
こちらのページに、詳細な説明や実例がございますため、ご確認頂けますでしょうか。■脆弱性を利用したウイルス
こちらのページに、詳細な説明や実例がございますため、ご確認頂けますでしょうか。2026年01月 : セキュリティ機能の回避や情報窃取を行うトロイの木馬型マルウェア
■ウイルス名
Trojan:Win64/ClipBanker.PGCB、Exe.trojan.clipbanker、Win64/ClipBanker.JP Trojan 等■概要
このマルウェアは、感染したWindows端末上で不正なプロセスを起動し、利用者に気付かれないようバックグラウンドで悪意ある活動を行います。
実行後、Windows Defenderなどのセキュリティ機能の無効化や
例外設定の追加を試みる挙動が確認されており、
外部からの操作を可能にするバックドアを設置します。
また、端末内の情報を収集する機能を備えており、
OSの資格情報やユーザーの操作情報を窃取した上で、
外部サーバーへ送信する挙動が確認されています。
さらに、スタートアップ設定やレジストリへ自身を登録することで、
端末再起動後も自動的に起動し、継続的に活動を行います。
■漏洩/窃取されうる情報
- OSの資格情報(ユーザー名・パスワード等)
- スクリーンショット
- キーボードの入力情報
- 端末情報(ホスト名、IPアドレス 等)
■リバースエンジニアリング対策
本マルウェアは解析を回避するため、以下の対策を行う可能性があります。
- デバッグ環境や仮想環境の検出
- コードの難読化処理
- 一定条件下での処理遅延や動作停止
■想定される侵入経路
- インターネット上からの不審なファイルのダウンロード
- フリーソフトやクラックソフトへの混入
- メール添付ファイルや不正なURL経由での実行
2025年12月 : バックドア・マイニング系トロイの木馬
■ウイルス名
Backdoor:Win64/Remcos、Backdoor:Win/Remcos、Trojan:Win64/Remcos.ARE!MTB 等■概要
このマルウェアは、感染した端末上で複数の悪意ある機能を実行する高度なトロイの木馬型プログラムです。
感染すると、まずセキュリティ対策を回避するためにWindows Defenderや
その他のアンチウイルス機能を無効化します。
その後、バックドアを設置し、外部からのリモートアクセスを可能にし、
利用者に気付かれないようにシステム資源を不正利用し、情報窃取や
暗号通貨のマイニングを行い端末のパフォーマンス低下や電力消費増加が発生します。
■漏洩/窃取されうる情報
-OSの認証情報
-スクリーンショット
-キーボード入力内容
-システム情報 など
■リバースエンジニアリング対策
サンドボックス、デバッガ、仮想環境の検出による停止
コードの難読化/暗号化処理
API呼び出し時のタイミング調整や遅延機能による分析回避
■想定される侵入経路
インターネットからのダウンロードが推測されます。
2025年11月 : .NETを利用し気づかない間にリモート操作するマルウェア
■ウイルス名
Trojan:Win32/Wacatac、ML.Attribute.HighConfidence、Trojan.TR/AVI.Agent 等■概要
当該ウイルスは、感染するとローカル内の.NET Frameworkに関するプログラムに不正なコードを流し込み永続的に動作します。
感染後に違うウイルスファイルが勝手にダウンロードされ、
その後、バックグラウンドで動作し定期的に外部サーバとデータが送受信されます。
また遠隔操作が可能になるので情報を抜き取るだけではとどまらず、
他のサーバやネットワークなどに攻撃をするための踏み台として利用される危険性もあります。
さらに、コードの難読化や暗号化技術を用いて解析を困難にし、
仮想環境などを検出して挙動を停止する機能を備えています。
持続性を確保するためにレジストリの追加やサービスの登録を行い、
長期間にわたり潜伏することが可能です。
これらの特徴により、情報窃取だけでなく他の攻撃などの危険性もあり、
非常に多機能かつ悪質なマルウェアといえます。
■漏洩する情報
ローカル内でウイルスによりコンパイルされたデータファイルが
送信されている可能性が考えられます。
■リバースエンジニアリング対策
-仮想環境検出
-データ変換
-コードの暗号化による難読化
-解析ツールの検知
■想定される侵入経路
インターネットからのダウンロードが推測されます。
2025年10月 : 暗号資産の不正採掘を行うCoinMiner系マルウェア
■ウイルス名
TROJ_GEN.R002C0DJS、TrojanDropper/CoinMiner、Trojan.Win32.Themida、Trojan.BtcMine 等■概要
このマルウェアは、感染した端末のリソースを利用して暗号資産(仮想通貨)の不正採掘(マイニング)を行います。
バックグラウンドで動作し、ユーザーに気付かれないように設計されており、
Windows Defenderなどのセキュリティ機能を無効化し、仮想環境を
検出して動作を回避する機能も備えています。
一部の亜種ではコードの難読化技術が使用されており、解析を困難にしています。
■漏洩する情報
感染した場合、以下の情報が漏洩する可能性があります:
- OSの資格情報
- スクリーンショット
- キーボードの入力情報
■リバースエンジニアリング対策
特定の環境での実行となる場合、ウイルスは動作を終了します。
- コードの暗号化による難読化
- デバッグ環境や仮想環境の検出による動作回避
- 自己削除機能
■想定される侵入経路
インターネットからのダウンロードが推測されます。
2025年09月 : リモートアクセスツールを使用して端末情報を窃取するウイルス
■ウイルス名
Trojan:Win32/Wacatac、Ti!9B675C30、ML.Attribute、Generic BackDoor 等■概要
このウイルスは、システム情報やファイル情報など端末内にある様々な情報を盗み取ることが確認されています。
感染した場合、ウイルスがメモリ上に展開され、
PowerShellスクリプトの正規のコマンドラインを模倣しながら検出を回避し、
リモートアクセスツールを使用可能にします。
攻撃者は遠隔操作で端末の設定ミスや脆弱性を悪用して管理者権限を取得し、
外部のサーバと通信し、端末内のデータを送信します。
また、ウイルス対策ソフトのアンインストールや無効化や、
上記のとおり信頼されたプロセスを利用して検出を回避する動作で
長期間潜伏する場合があります。
■漏洩する情報
感染した場合、以下の情報が漏洩する可能性があります:
-システム情報
-認証情報(Cookie、Windows資格情報 等)
-ネットワーク情報
-ファイル・ドキュメント情報
-キーストローク
■リバースエンジニアリング対策
特定の環境での実行となる場合、ウイルスは動作を終了します。
-サンドボックスの検出
-仮想マシンの検出
-デバッグ環境の検出
■想定される侵入経路
インターネットからのダウンロードが推測されます。
2025年08月 : アンチウイルスソフトの無効化や情報の窃取を行うウイルス
■ウイルス名
Backdoor.Win32.XWORM、UDS:Trojan.MSIL.Taskun、Trojan:MSIL/XWorm.ZWP、MSIL.Packed 等■概要
このウイルスは感染するとWindows Defenderなどのセキュリティ機能を無効化や、バックドアを作成し外部からリモートアクセスを可能にします。
利用者に気付かれないようにバックグラウンドで動作し、OSの資格情報や
キーボードの入力情報などを窃取します。
また、スタートアップフォルダやレジストリに自身を呼び出すよう設定を追加し、
端末の再起動を行われたような場合にも自身を常駐させます。
■漏洩する情報
感染した場合、以下の情報が漏洩する可能性があります:
- OSの資格情報
- スクリーンショット
- キーボードの入力情報
■リバースエンジニアリング対策
特定の環境での実行となる場合、ウイルスは動作を終了します。
- デバッグ環境の検出
- 難読化処理
■想定される侵入経路
インターネットからのダウンロードが推測されます。
2025年07月 : バックドアを作成し情報の窃取やリモート操作を可能とするウイルス
■ウイルス名
Heuristic.HEUR/AGEN、Trojan.MSIL.Basic、Backdoor.DCRat、Backdoor:MSIL/DCRat 等■概要
このウイルスは感染すると端末から有益な情報が盗まれたり、遠隔で端末を操作することが可能になります。
利用者に気付かれないようにバックグラウンドで動作し、自身や追加で
ダウンロードするウイルスが検知されないように特定のウイルス対策ソフトに
除外設定などを行います。
また、タスクスケジュールやレジストリに自身を呼び出すよう設定を追加し、
端末の再起動を行われたような場合にも自身を常駐させ、外部からの
コマンドを実行するバックドアとして動作します。
さらに、追加でウイルスをダウンロードすることで、キーボードの入力情報や
追加で情報の取得を行います。
■漏洩する情報
感染した場合、以下の情報が漏洩する可能性があります:
- システム情報
- ユーザ情報
- ネットワーク情報
- クリップボード情報
■リバースエンジニアリング対策
特定の環境での実行となる場合、ウイルスは動作を終了します。
- デバッグ環境の検出
- 難読化処理
■想定される侵入経路
インターネットからのダウンロードが推測されます。
2025年06月 : PowerShellを悪用して情報を搾取するウイルス
■ウイルス名
Trojan:Script/Wacatac.B!ml、Trojan Horse、Trojan.GenericKD.76702483 等■概要
このウイルスはPowerShellを悪用して情報を搾取します。感染すると、端末から有益な情報が盗まれます。
ウイルスによって実行されるPowerShellは、利用者に気付かれないように
隠しウィンドウで動作します。
そのため、ローカル上にPowerShellの画面は表示されません。
また、PowerShellのコードはすべて難読化されています。
端末上でウイルスが実行されると、難読化されたコードやバイト列が復号され、
不正な動作が可能になります。
さらに、侵入した端末がインターネットに接続しているかを確認するために、
インターネット上のIPアドレス検索サイトを利用することも確認されています。
その他の通信についてはTLS 1.2を使用したセキュアな通信となり、
外部インターネット上の侵害されたサーバへ情報を送信します。
このウイルスは特定のウイルス対策ソフトを発見して検出を回避するほか、
PowerShellによるレジストリ操作や設定変更を行い、通信経路のバイパス化を
行うことも確認されています。
■漏洩する情報
感染した場合、以下の情報が漏洩する可能性があります:
- システム情報
- ネットワーク情報
- Webブラウザの情報
- キーストローク
■リバースエンジニアリング対策
特定の環境での実行となる場合、ウイルスは動作を終了します。
- 仮想マシンの検出
- デバッグ環境の検出
■想定される侵入経路
Webサイトからの侵入が推測されます。
2025年05月 : 開発者向けの著名なWebサービスに設置されたウイルスについて
■ウイルス名
HEUR:Backdoor.MSIL.Agent.gen、Trojan.Gen.MBT、Trojan.Win32.VSX.PE04C9Z、Trojan:Win32/Egairtigado!rfn 等■概要
当該ウイルスは開発者向けの著名なWebサービス上に設置されており、ダウンロードや実行を行うと、システム情報や重要なデータが盗まれることが確認されています。
著名な開発者向けのWebサービスということから監視機器などでアクセスを許可していたり
正規アプリケーションになりすましているため利用者が意図せずに実行してしまう
可能性が考えられます。
ウイルスは利用者やセキュリティ担当者からの早期発見を遅らせるために、
著名なソフトウェアと見分けがつかないようにファイル名やアイコンを偽装し、
ファイルプロパティの情報も製品名やファイルバージョンなど、
あたかも著名なソフトウェアになりすまして記載するといった対策を行っています。
ウイルスが動作すると、Google ChromeやEdgeなどのWebブラウザや.NET Frameworkに関するプログラムに
不正なコードを埋め込み、外部インターネットへ暗号化されたTLS 1.2を使用したセキュアな通信を行ったり、
稼働中のプロセスの監視を行い有益な情報やソフトがないか探索を行います。
その他にもスクリーンショットの撮影やローカルにインストールされたサードパーティー製品の資格情報への
アクセスを行い情報を搾取することが確認されています。
■漏洩する情報 感染した場合、以下の情報が漏洩する可能性があります:
・稼働中のプロセス情報
・キーストロークの監視
・システム情報
・スクリーンショットの取得
・ユーザ名
影響を受けるサードパーティー製品
・Google Chrome
・MicroSoft Edge
・SmartFTP
・Steam
・PuTTY
■リバースエンジニアリング対策 特定の環境での実行となる場合、ウイルスは動作を終了します。
・仮想マシンの検出
■想定される侵入経路 著名なWebサイトからユーザが誤ってダウンロードすることによって
コンピュータに侵入します。
2025年04月 : .NET Frameworkに不正なコードを埋め込み端末内で暗躍するウイルス
■ウイルス名
Trojan:MSIL/AgentTesla!rfn、Backdoor.Win64.ASYNCRAT.YXFDXZ、Backdoor.Win32.DCRat.so、Trojan.TR/AVI.Agent.zgzsv 等■概要
当該ウイルスは、感染するとローカル内の.NET Frameworkに関するプログラムに不正なコードを埋め込み永続的に動作します。
ウイルスは.NET Frameworkのプログラムを遠隔で動作させるために
利用用途のないメモリ域を使用したり、検出を回避するため
システムを呼び出すときに間接的にシステムを呼び出すような
手法が組み込まれています。
その他にも外部不正サーバへの通信として、ポート8848を使用して
セキュアな通信を行ったり、スタートアップのレジストリに書き込みを
行うことで、ログオンの度にウイルスが動作します。
なお、スタートアップ名は著名なソフト名になりすましを行って
端末の利用者に気づかれないように細工をしています。
■漏洩する情報
感染した場合、以下の情報が漏洩する可能性があります:
- システム情報
- インストールされているエンドポイント情報
- 稼働中のプロセス情報
- ハードウェア情報及びその空き領域
- Documents内のファイルを読み取り
暗号化された通信先には上記漏洩する情報がローカル内でウイルスにより
コンパイルされ、データファイルとして送信されている可能性が考えられます。
■リバースエンジニアリング対策
- 仮想マシンの検出
- デバッグ環境の検出
■想定される侵入経路
Webサイトからの侵入が推測されます。
2025年03月 : ファイルプロパティを正規プログラムに偽装し有益な情報を盗むウイルス
■ウイルス名
HEUR:Backdoor.MSIL.XWorm.gen、Trojan.TR/Dropper.Gen、Trojan.Win32.VSX.PE04C9V、Trojan:Win32/Wacatac.B!ml 等■概要
当該ウイルスは感染した場合、システム情報の搾取、キーストロークの監視を行い新たなウイルスを外部から呼び込む前に有益な情報の収集を行います。
ウイルスは端末内の正規Windowsプログラムに不正なコードを埋め込み
外部インターネットのサイトへ通信を行うほか、収集した情報のアップロードや
他のウイルスのダウンロードといった動作が確認されています。
その他にもウイルスは利用者などからの早期発見を逃れるためファイル自体に
著名なアイコンや著名なファイル名を偽装しており、ファイル自体にも
証明書を保持しているほか、正規ファイルになりますため
ファイル名、バージョン情報、製品名などの情報が細かく
プロパティ情報に記載されています。
■漏洩する情報
感染した場合、以下の情報が漏洩する可能性があります。
・アカウント名(管理者権限を含む)
・システム情報
・キーストロークの監視 等
■リバースエンジニアリング対策
特定の環境での実行となる場合、ウイルスは動作を終了します。
・サンドボックスの検出
・仮想マシンの検出
・デバック環境の検出
・難読化処理
■想定される侵入経路
・Webサイトまたは、他のマルウェアに作成されることが推測されます。
2025年02月 : ユーザーアカウント制御(UAC)のファイルに不正コードを埋め込み情報の搾取を行うウイルス
■ウイルス名
Ransom:ML.Attribute.HighConfidence、Themida-FWSE!CEC681F35ECA、Trojan.TR/Crypt.TPM.Gen、Trojan:Win32/Sabsik.EN.D!ml 等■概要
本ウイルスは感染した場合端末のシステム情報やWebブラウザの資格情報を盗むことが確認されています。
ウイルスは端末に侵入するとOS内のユーザーアカウント制御(UAC)に関する
正規プログラムに不正なコード埋め込みます。
不正なコードを埋め込まれた正規プログラムはその後の動作として
著名なメッセンジャーアプリの通信先へ暗号化された通信(HTTPS)にて
接続を試みます。
ウイルスは利用者が気づくような動作としてGoogle Chrome、Microsoft Edgeといった
Webブラウザの起動を自動で行います。
一見するとWebブラウザの起動に見受けられますが、バックグラウンドでは
デバッグが有効にされて資格情報に関するファイルの搾取が生じています。
その他にもキーロギング機能によるキーボード打鍵時の情報や端末で稼働中のプロセス情報、
レジストリの探索を行い標的となるアプリケーションに関する情報を抜き出すことが
確認されています。
■リバースエンジニアリング対策
特定の環境での実行となる場合、ウイルスは動作を終了します。・サンドボックスの検出
・仮想マシンの検出
・デバック環境の検出
■漏洩する情報
感染した場合、以下の情報が漏洩する可能性があります。・システム情報
・仮想通貨
・スクリーンショットの取得
・Webブラウザの情報
閲覧履歴、Cookie、ダウンロード履歴、認証情報/パスワード、クレジットカードデータ 等
■想定される侵入経路
他のマルウェアからの作成, インターネットからのダウンロード2025年01月 : OSの改ざんやシステム情報を盗み他のウイルスを外から呼び込むThemida
■ウイルス名
Ransom:ML.Attribute.HighConfidence、Themida-FWSE!CEC681F35ECA、Trojan.TR/Crypt.TPM.Gen、Trojan:Win32/Sabsik.EN.D!ml 等■概要
本ウイルスはThemidaというウイルスの一種として確認されており感染した場合、端末内の情報搾取、他のウイルスのダウンロードやインストール、
キーロギング、リモートアクセスといった不正活動を行います。
また、端末の設定変更や意図しないブラウザ起動、不審なエラーメッセージの表示や
スペックの低い端末によってはウイルスの活動により著しく動作が遅くなる場合が
あります。
その他、OSにインストールされた著名なウイルス対策製品のレジストリ改ざんを行い
セキュリティ機能を無効にする動作やWindows Updateを無効にするような挙動も
報告されています。
■リバースエンジニアリング対策
特定の環境での実行となる場合、ウイルスは動作を終了します。・サンドボックスの検出
・仮想マシンの検出
・デバッグ環境の検出
その他、ウイルスファイルのコードが難読化の処理が
施されています。
■漏洩する情報
感染した場合、以下の情報が漏洩する可能性があります。・キーストローク
・システム情報
・ネットワーク情報
また、OSの起動時にウイルスが自動実行できるように、スタートアップ用の
レジストリが追加されるため永続的に感染活動を行うことが可能です
Webブラウザの情報
・Google Chrome
・MicroSoft Edge
・Firefox
・FTPログイン資格情報
・Office製品の情報
■想定される侵入経路
他のマルウェアからの作成, インターネットからのダウンロード2024年12月 :端末から仮想通貨の情報を探索し、ローカルデータの暗号化を行うランサムウェア
■ウイルス名
Ransom:Win32/Stopcrypt.YAJ!MTB、Trojan.TR/Crypt.Agent.hltns、TrojanSpy.Win32.RISEPRO、W32/Kryptik.HWMW!tr 等■概要
当該ウイルスはランサムウェアとして確認されており、感染した場合ローカル上のデータファイルを暗号化するほか、サードパーティ製品や仮想通貨、
Webブラウザといった資格情報、クレジット情報等を搾取することが
確認されています。
初動としてウイルスは端末に侵入すると、隠しフォルダ属性のフォルダに
自身のコピーを行います。
%All Users Profile%\
%AppDataLocal%\
※Explorerのフォルダオプションで隠しフォルダを非表示としている場合、
利用者は確認することができません。
また、ランサムウェアの動作としてデータファイルの暗号化処理のほか、
データファイルの搾取、そして利用者に気付かせるために元のデータファイルが
保存されているフォルダにテキストファイルの脅迫文を作成します。
更にOSの改ざんとしてウイルスは永続的に活動できるように自動実行のレジストリが
追加されるほか、スケジュールされたタイミングで最上位の権限でウイルスが動作するように
タスクスケジュールが追加されます。
■漏洩する情報
感染した場合、以下の情報が漏洩する可能性があります。システム情報
・キーストローク
・システム情報
・ネットワーク情報
※漏洩したシステム情報の内容から端末が東ヨーロッパ、ロシア圏の 地域に存在する場合、感染活動を終了します
Webブラウザの情報
閲覧履歴、Cookie、ダウンロード履歴、認証情報/パスワード、クレジットカードデータ 等
・360Browser
・Firefox
・Google Chrome
・MicroSoft Edge
・Opera
・Opera
・Sleipnir5
・Sputnik
・Torch
・Yandex
メールソフト/FTP/VPN 等
・Outlook
・Thunderbird
・OpenVPN Connect
・Telegram Desktop
・Skype
・FileZilla
仮想通貨:
ここ最近、仮想通貨の価格が上昇していることから
攻撃者も一獲千金を狙って端末内から仮想通貨に関する情報や
データがないか収集を行っているようです。
・Bitcoin
・Ethereum
・Litecoin
・Dogecoin
・Monero
ゲームアプリケーションの資格情報:
・Battle.net
・FeatherCLient
・Minecraft
・Steam
■想定される侵入経路
他のマルウェアからの作成, インターネットからのダウンロード2024年11月 :システム情報を奪取し様々なウイルスをダウンロードするダウンローダー
■ウイルス名
HTrojan.Win64.DOWNLOADER、Trojan-Spy.Win32.Windigo.ces、ML.Attribute.HighConfidence、W64/GenKryptik.GUVY!tr 等■概要
当該ウイルスはダウンローダーとして確認されており感染した端末からシステム情報などを抜き出しインターネット上の
C&Cサーバに送信を行いますウイルスファイルのダウンロードを行います。
初動としてウイルスを実行したユーザアカウントの写真フォルダ内に
C&Cサーバからダウンロードしたウイルスファイルの設置とプロセスに追加を行います。
ウイルスはダウンロードした新たなウイルスファイルを起動するのに
コマンドとして.NET Frameworkを起動していたため恐らくは.NET Frameworkを
悪用することが可能性として考えられます。
また永続的に稼働できるようにスタートアップに自動実行のレジストリキーを
追加したり、OSにインストールされた著名なウイルス対策製品のレジストリ改ざんを行い
セキュリティ機能を無効にする動作が確認されています。
その他、当該ウイルスはいくつかのウイルスファイルのダウンロード先URLを保持しており
有益な情報を盗むため通信先のURLから様々なウイルスファイルをダウンロードします。
通信先URLよりドメインのみで確認すると6割ほどが東ヨーロッパ圏で動作している
Webサーバが踏み台として悪用されており、他にも海外の著名なクラウドサービスを悪用し
ダウンロードサイトとして運用しているものと見受けられるWebサイトも散見しました。
また、ダウンロードしたウイルスはコマンドを使用してサイレントで実行し
利用者が気づかれないようにバックグラウンドでウイルスファイルのダウンロードが可能です。
事前準備の疎通確認としてPINGの実行やインターネット上のIPアドレス検索サイトへ
確認を行うことも確認されています。
■漏洩する情報
・OSの情報・特定のフォルダとサブディレクトリ内の情報
■想定される侵入経路
悪意あるWebサイトまたは、他のマルウェアに作成されることが推測されます。2024年10月 :著名なWebサイトへアカウントリスト攻撃を行うウイルス
■ウイルス名
HEUR:Trojan.Win32.Agent.gen、ML.Attribute.HighConfidence、Trojan.Win32.CMSBRUTE.NLJ、W32/Kryptik.HWMW!tr 等■概要
本ウイルスは著名なエディタソフトのファイル名になりすましていることが確認されています。
利用者がウイルスと知らずに実行してしまうと、感染時の動作として
端末のシステム情報を奪取するほか、ネットワークアダプタのアドレス情報を読み取り、
外部との不正な通信を行う前準備としてインターネットへの接続テストや
その後不正なプロキシサーバへの接続を行います。
ウイルスはインターネット上のC&Cサーバから不正コマンドを受け取ることでローカル上で
不正な動作を行うことが確認されています。
その一つとして感染した端末にオニオンルータのインストールをバックグラウンドで行い使用を開始します。
当該ソフトは匿名通信で様々な拠点を中継してC&Cサーバに接続を行うため
ホワイトハッカーといった解析者はどのような通信を行っているのか特定が
非常に困難なものになります。
他にも当該ウイルスの特徴として、感染を行った端末からインターネットを介して特定のWebサイトに対して
アカウントリスト攻撃を行い管理者権限を取得しようと試みるといった動作が確認されています。
〇影響を受けるWebサイト
- OpenCart
- Magento
- WordPress 等
■リバースエンジニアリング対策
・難読化処理・匿名通信
■漏洩する情報
・キーストローク・システム情報
・ネットワーク情報
また、OSの起動時にウイルスが自動実行できるように、スタートアップ用の
レジストリが追加されるため永続的に感染活動を行うことが可能です
■想定される侵入経路
悪意あるWebサイトまたは、他のマルウェアに作成されることが推測されます。2024年09月 :リモートアクセスで不正なコマンドを受け取り動作するバックドア
■ウイルス名
Backdoor.Win32.ASYNCRAT.YX、Generic.mg.c1ade258f05c512e、Trojan.TR/Dropper.Gen、HEUR:Backdoor.MSIL.Crysan.gen 等■概要
本ウイルスはバックドア型ウイルスとして確認され、感染に成功した場合端末はリモートアクセスが可能となります。ウイルスは利用者に気づかれないように、ローカル上の隠しフォルダとなる%User Temp%\のフォルダ内に
自身のウイルスファイルのコピーや収集したキーストロークスの情報を格納します。
収集した情報は外部のC&Cサーバに送信されますが、感染した端末は外部からリモートアクセスが
可能となるため、本ウイルスの場合攻撃者がコマンドを実行することで様々な命令を受け取ります。
受け取るコマンド例
・gettxt → クリップボードのデータを抽出して送信する
・klget → 「%User Temp%\Log.tmp」からキー入力操作情報を抽出して送信する
・pong → pingテスト
・setxt → C&Cサーバから受信した値に応じてクリップボードのデータの値をクリアまたは設定する
・weburl → C&Cサーバから指定されたファイルをダウンロードして実行する 等
■漏洩する情報
感染した場合、以下の情報が漏洩する可能性があります。・ユーザ名
・OSのシステム情報
・インストールされているウイルス対策製品の一覧
・HWID
暗号資産(仮想通貨)ウォレット
・Binance
・BitKeep
・BitPay
・Coinbase
・Exodus
・MetaMask
・Phantom
・Ronin
・TronLink
・TrustWallet
Webブラウザの情報
・Google Chrome
・MicroSoft Edge
・Firefox
・Opera
■想定される侵入経路
悪意あるWebサイトまたは、他のマルウェアに作成されることが推測されます。2024年08月 : .Net Frame Workを悪用したウイルス
■ウイルス名
Trojan.MSIL.DOWNLOADER、TrojanDownloader:MSIL/TinyDow.A、HEUR:Trojan.MSIL.Tasker.gen、Generic.mg.4ef284c7f5647453 等■概要
本ウイルスは.Net Frame Workを悪用するウイルスとして確認されており、感染した場合システム情報やソフトウェアの情報を盗み、
外部インターネット上のC2サーバへ情報を送信します。
.Net Frame Workは様々なWindowsOSで幅広く利用されていることから
汎用性があり攻撃者にも利用される傾向があります。
また、アクセスするインターネット上のサーバにはC2サーバのほか
マイクロソフト社への通信や一般的にも利用されている証明書サイトから
証明書のダウンロードを行う挙動が確認されています。
その他、C2サーバから新たなウイルスファイルをダウンロードします。
監視面としてはアンチデバッグ機能が搭載されておりウイルスが
デバッグ環境上で動作されているか監視を行います。
〇攻撃を受けるURI /admin
/admin.php
/administrator/
/administrator/index.php
/index.php
/login/index.php
/phpmyadmin/
/user/login
/wp-admin/
/wp-login.php 等
その他の動作として当該ウイルスにより作成されるフォルダをバックグラウンドで隠し属性にしたり、
ウイルスが永続的にブルートフォースアタック(総当たり攻撃)ができるように自身のウイルスを
スタートアップに追加することでOSの起動時に自動実行ができます。
■漏洩する情報
感染した場合、以下の情報が漏洩する可能性があります。・OSのシステム情報
・攻撃を仕掛けたWebサイトの情報 等
■想定される侵入経路
他のマルウェアからの作成, インターネットからのダウンロード2024年07月 : 感染した端末からWebサイトへブルートフォースアタックを行うウイルス
■ウイルス名
Trojan.Win32.CMSBRUTE.NLJ、ML.Attribute.HighConfidence、HEUR:Trojan.Win32.Agent.gen、W32/Kryptik.HWMW!tr 等■概要
当該ファイルは正規ソフトにみられるファイル名とアイコンの偽装を行い一見すると無害なファイルになりすましています。
しかし、当該ファイルを実行するとTor(The Onion Router)を使用してインターネット上へアクセスを試みて
インターネット上に公開されているWebサーバへHTTP、HTTPSの通信を使用して攻撃を仕掛ける動作が確認されています。
通信を行うほか、しばらくするとブルートフォースアタック(総当たり攻撃)を開始してひっきりなしに
また、ブルートフォースアタック(総当たり攻撃)の際にアクセスするWebサイトには以下URIが含まれており、
Web サイトの管理画面に対して攻撃を仕掛けている可能性が考えられます。
〇攻撃を受けるURI /admin
/admin.php
/administrator/
/administrator/index.php
/index.php
/login/index.php
/phpmyadmin/
/user/login
/wp-admin/
/wp-login.php 等
その他の動作として当該ウイルスにより作成されるフォルダをバックグラウンドで隠し属性にしたり、
ウイルスが永続的にブルートフォースアタック(総当たり攻撃)ができるように自身のウイルスを
スタートアップに追加することでOSの起動時に自動実行ができます。
■漏洩する情報
感染した場合、以下の情報が漏洩する可能性があります。・OSのシステム情報
・攻撃を仕掛けたWebサイトの情報 等
■想定される侵入経路
他のマルウェアからの作成, インターネットからのダウンロード2024年06月 : 自由自在、コマンドラインを使用してマシンを操るワームウイルス
■ウイルス名
TrojanSpy.Win32.XWORM、Backdoor.Win32.Agent.myuvxx、Backdoor.BDS/Agent.gpbmy、Trojan:Win32/Leonem 等■概要
当該ウイルスはワームウイルスとして知られており、感染した場合ワーム自身のコピーを拡散させる伝染機能をもつウイルスとして確認されています。
また、有益な情報を端末から盗むため、キー入力操作情報の監視(キーロギング)や
C&Cサーバへの通信などコマンドを実行して様々な活動を行います。
利用されるコマンドライン(例)
・findstr (文字列を検索)
・cmd /c md (ランダムフォルダの作成)
ワームウイルスは自身をコピーしたり、不正活動を行うために悪意あるファイルを
作成しますが、ウイルス対策製品や利用者、ホワイトハッカーからの早期発見を逃れるため、
特定のフォルダ内にファイルを作成したり、稼働中のプロセス自体を隠し属性に変更して
隠ぺいを行うことが確認されています。
その他、隠し属性のフォルダ内に搾取した情報をログファイルとして蓄積したり、
永続的に稼働できるようにスタートアップに自動実行のレジストリキーの追加、
タスクスケジューラにて3分間隔で自身を実行できるように設定します。
■漏洩する情報
感染した場合、以下の情報が漏洩する可能性があります。・CPU情報
・GPU 情報
・OSの正式名称、バージョン、アーキテクチャ
・RAM情報
・インストールされているウイルス対策製品に関する情報
・ウェブカメラの情報
・クリップボード
・コンピュータ名
・プロセッサ数
・ユーザ名
■想定される侵入経路
他のマルウェアからの作成, インターネットからのダウンロード2024年05月 : 遠隔で端末を操り、攻撃者の手中に収めることを目的としたウイルスDarkComet
■ウイルス名
Backdoor.Win32.DARKOMET.NLJ、Backdoor.Win32.DarkKomet.ikdn、Trojan:Win32/CoinMiner!pz、W32/Injector.DZRT!tr 等■概要
ダークコメットは、遠隔で端末を操るためのバックドア型ウイルスです。感染した端末は、インターネットを介して攻撃者から不正なコマンドを受信し、遠隔で操作されます。
また、自動実行のレジストリキーを作成し、端末起動時に自身を実行するように設定します。
さらに、端末から収集した情報を利用者の目につかない、隠しフォルダ内に設置し、 収集後、特定の不正なサーバに送受信します。
■漏洩する情報
感染した場合、以下の情報が漏洩する可能性があります。・OSのシステム情報
・管理者権限
・ユーザ名
・メモリ使用量
・Webカメラとマイクへの接続
・キーボード操作の情報 など
外部の不正サーバから遠隔で操作を行えるようになった場合、
以下のようなコマンドを実行される可能性があります。
・CD-ROMドライブのドアの開閉
・Web カメラの一覧表示およびビデオの監視/キャプチャ
・サウンドの録音および再生
・コンピュータのシャットダウン、再起動、ログオフ、またはロック
・システムのホストファイルの変更
・ディスクドライブの一覧表示
・パスワードの窃取
・ファイアウォールの操作
・プログラムのアンインストール
・マウスのクリック
・リモートシェルコマンド など
■リバースエンジニアリング対策
特定の環境での実行となる場合、ウイルスは動作を終了します。具体的な対策として、サンドボックスの検出や仮想マシンの検出が考えられます。
■想定される侵入経路
悪意のあるWebサイトから誤ってダウンロードされたり、他のマルウェアによって作成されることが推測されます。2024年04月 : 端末のローカル内を洗いざらい探索して仮想通貨を奪うウイルス
■ウイルス名
TrojanSpy.Win32.LUMMASTEALER、ML.Attribute.HighConfidence、Trojan.TR/Crypt.Agent.didpj、Generic.mg.30732747ca33bd37 等■概要
本ウイルスはLumma Stealerというファミリーのウイルスとして確認され、感染することで端末内のシステム情報やソフトウェアの情報などが盗まれます。
また、本ウイルスは仮想通貨を標的として、Webブラウザの拡張機能に追加された
仮想通貨の情報が盗まれるほか、関連するプログラムとして多要素認証に使用する
オーセンティケーターや、パスワードマネージャーといったサービスに登録された
資格情報も盗まれる可能性があります。
■漏洩する情報
感染した場合、以下の情報が漏洩する可能性があります。端末に侵入後ウイルスは、以下の基本的な情報を収集します。
・OSのシステム情報
・インストールされたウイルス対策製品の情報
・インストールされたアプリケーション/バージョン情報
・ディスプレイの解像度
・クリップボードのデータ
■リバースエンジニアリング対策
特定の環境での実行となる場合、ウイルスは動作を終了します。・サンドボックスの検出
・仮想マシンの検出
・デバッグ環境の検出
■想定される侵入経路
Webサイトまたは、他のウイルスに作成されることが推測されます。2024年03月 : ウイルス対策機能、FW機能の無力化を行い、情け容赦なく情報を盗むAmadey bot
■ウイルス名
Trojan.Win32.AMADEY.YXECWZ、Trojan:Win32/Casdet!rfn、UDS:DangerousObject.Multi.Generic、A Variant Of MSIL/Kryptik.ALFV 等■概要
本ウイルスはPowershellを悪用したり正規プログラムに不正コードを注入することで端末の監視や有益な情報を盗み外部に送信を行う動作などが確認されています。
感染後、PowerShellを用いて自身のコピーファイルの複製や正規OSプログラムになりすました
検体ファイルの作成を行います。
この際、利用者や導入した監視機器から不審なものとして発見を逃れるため
ウィンドウを非表示にする細工が組み込まれています。
特定のEPP(エンドポイント)の権限を奪うことで、ウイルスが作成した他のウイルスファイルや
フォルダの除外登録を行います。
▼除外登録されたパス
C:\Users\<ユーザプロファイル>\AppData\Local
C:\Users\<ユーザプロファイル>\AppData\Local\Temp\
また、正規OSプログラムに不正なコードの注入(インジェクション)を行うことで著名なオンライン
ストレージサービスやインストールされたWebブラウザソフトのプロセスの監視を行うようになります。
外部URLへの通信の一部として、端末の位置情報を特定するサイトへのアクセス、
侵害されたサーバへ有益な情報のアップロード、
無料のダイナミックDNSサービスにアクセス、感染した端末に特定のドメイン名を関連付けることで
遠隔で操作を利用できるようにする手法が確認されています。
本ウイルスは予めファイヤーウォールの設定変更を行い外部通信におけるウイルスの通信を
バイパス化することで回避します。
その他にも感染や攻撃を行うにあたり特定の不要となるタスクの無効化や、永続的に活動するために
自動実行のレジストリを追加します。
■漏洩する情報
感染した場合、以下の情報が漏洩する可能性があります。・OSのシステム情報
・プロバイダの情報
・Webブラウザ(Edge、Google Chrome等)の情報
・メールソフトの資格情報
・クリップボードのデータ 等
■リバースエンジニアリング対策
特定の環境での実行となる場合、ウイルスは動作を終了します。・アンチウイルス製品の検出
・サンドボックスの検出
・仮想マシンの検出
・デバッグ環境の検出
・難読化処理
■想定される侵入経路
Webサイトまたは、他のウイルスに作成されることが推測されます。2024年02月 : 正規プログラムを乗っ取り、有益な情報を盗むウイルス
■ウイルス名
TROJ_GEN.R014H0DBQ24、Trojan.GenericKD.71776672、Trojan.MSIL.Agent.qwirpl、Trojan.TR/Redcap.pmids 等■概要
本ウイルスは感染した場合、正規プログラムを乗っ取り不正なコードを挿入することで、端末から有益な情報を盗むウイルスとして確認されております。
端末侵入時の早期発見を逃れるための対策としてウイルスファイルのプロパティ情報は
正規サードパーティーのインストーラになりますため明確に記載されています。
また、ウイルスにより乗っ取られた正規プログラムは実行したウイルスに
代わりインストールされた著名なブラウザソフトから資格情報やシステム情報を
取得するといった動作が確認されています。
その他の動作として、著名なWebブラウザをバックグラウンドで起動し
設定の改ざんを行ったり、端末にインストールされたアンチウイルスソフトの
照会や、スクリーンショットの撮影といった挙動が確認されています。
なお、漏洩した情報はインターネットを介して不正なサーバへ送信されますが
一部の通信先は攻撃者などで利用されているMaas(Malware-as-a-Service)のサーバとして
稼働しているため、送信後アンダーグラウンドフォーラムの会員制サイトで漏洩した情報が
取引に利用されています。
■漏洩する情報
感染した場合、以下の情報が漏洩する可能性があります。・インストールされたウイルス対策製品の情報
・スクリーンショットの取得
・Webブラウザ(Edge、Google Chrome等)の情報
・OSのシステム情報 等
■想定される侵入経路
Webサイトまたは、他のウイルスに作成されることが推測されます。2024年01月 : プロセスの監視やセキュリティ機能の改ざんを行い情報を盗むウイルス
■ウイルス名
ML.Attribute.HighConfidence、Trojan.Win32.SMOKELOADER、Trojan:Win32/Glupteba.SAP!、UDS:DangerousObject.Multi.Generic 等■概要
本ウイルスは、感染すると端末のシステム情報を盗み、OS上のセキュリティ機能を改ざんして他のウイルスを実行させやすくすることが確認されています。
ウイルスが実行されると、ルートキットがドライバのインストールフォルダに追加され、
稼働中の正規OSプログラムのプロセスを監視します。この際、意図しないOSの再起動が
強制的に発生します。
また、Windowsの正規OSプログラムである[ csrss.exe ]と同一のファイルが作成されます。
本来、[ csrss.exe ]はC:\Windows\System32\に存在しますが、当該ウイルスによって作成された
プログラムは上記フォルダとは異なるフォルダに作成され正規ファイルを装います。
さらに、ログオン時に自動的に実行されるようにタスクスケジューラにタスクを作成し、
ファイヤーウォール機能で当該ファイルの通信が遮断されないように送受信規則を作成し、
ネットワーク設定の改ざんを行います。
この改ざんによりウイルスは特に通信をブロックされることなくインターネットへの
アクセスが可能となります。
その他の不正な動作として、特定のエンドポイントの設定変更を行い検出の回避や、
リバースエンジニアリング対策としてサンドボックス環境、仮想環境上で動作した場合、
ウイルスは自身を終了します。
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。・OSのシステム情報
・ブラウザ情報(履歴、パスワードなど)
・メールソフトの資格情報
・クリップボードのデータ
・ウェブカメラの監視 等
■想定される侵入経路
スパムメールに添付されたファイルより感染することが推測されます。2023年12月 : 著名なブラウザソフトやメールソフトを操り有益な情報を盗むウイルス
■ウイルス名
Trojan.Win32.GULOADER、NSIS/Injector、HEUR:Trojan.Win32.Makoob、ML.Attribute.HighConfidence 等■概要
本ウイルスはGuLoaderとして特定され、攻撃者がマルウェアを大規模に配布するために使用するダウンローダーの一部です。
感染後、ウイルスは端末内の偵察を行い、有益な情報を盗み取り
C&Cサーバーに送信します。
ウイルスの動作としては、著名なWebブラウザをバックグラウンドで起動し、
ダウンロードフォルダ内のファイルへのアクセスやWebブラウザの資格情報を
盗むことがあります。
また、PowerShellを起動した後、インストールフォルダ内の著名なメールソフトに不正なコードを注入し、
呼び出しを行った子プロセスの監視を行います。
なお、リバースエンジニアリング対策として、PowerShellのコードはすべて難読化されています。
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。・OSのシステム情報
・ブラウザ情報(履歴、パスワードなど)
・メールソフトの資格情報
・クリップボードのデータ
・ウェブカメラの監視 等
■想定される侵入経路
スパムメールに添付されたファイルより感染することが推測されます。2023年11月 : 端末の監視やシステム情報の窃取、横感染を狙うウイルス
■ウイルス名
Backdoor.Win32.DARKCOMET、Backdoor.Win32.DarkKomet.hqxy、W32/Redline!E8F02FA9ACB0、Worm:Win32/AutoRun!pz 等■概要
本ウイルスに感染した場合、端末のシステム情報を盗み、キーボード操作を監視することが確認されています。
感染後、ウイルスは証明書を取得しC&CサーバにHTTPS通信を介して接続を行うことで
信頼できる通信であるかのように偽装します。
また、%program data%フォルダや%ProgramFiles%フォルダなどに、正規のソフトウェア名を
装ったフォルダを作成し、自身のコピーまたはダウンロードした他のウイルスファイルを
設置します。
その他の動作として不正活動を永続的に行うために自動実行のレジストリを追加します。
作成されるレジストリ名は正規のドライバ名を装い利用者や解析者からの発見を逃れる工夫が
施されています。
さらに、端末がWindowsのセキュリティ更新プログラムなどを未適用の場合、
ウイルスは脆弱性を利用してWindowsの正規プログラムにインジェクションを行います。
また、ウイルスはシステム情報などから端末に接続されているUSBドライブの探索を行い、
USBドライブが接続されている場合、自身のコピーをUSBに配置することで、他の端末に
USBドライブを接続した場合、さらなる感染被害をもたらします。
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。・GUID
・OSの情報
・インストールされたアプリケーション/バージョン情報
・ディスクの空き容量
・ディレクトリやファイルの抽出
・デバイスのボリューム情報 (名前、シリアル番号など)
・ネットワークサービスディスカバリ
・ビデオカード情報
・プロセッサ情報
・ホストファイルの情報
・レジストリ キー
・稼働中のすべてのドライバーのリスト
・環境変数
・稼働中のプロセス情報
・キーボード操作の情報
・仮想通貨
・Webブラウザ(Edge、Google Chrome等)の情報
・SNS(FaceBook)/動画サイト(YouTube)などの資格情報 等
■想定される侵入経路
誤ってダウンロードすることによりコンピュータに侵入することが想定されます。2023年10月 : システムの改ざんや監視を行い有益な情報を搾取するウイルス
■ウイルス名
Trojan.Win32.SMOKELOADER.YXDJ、Trojan.TR/AD.Nekark.dee、Trojan:Win32/Stealc.MTB、W32/Kryptik.HUKQ! 等■概要
本ウイルスは感染した場合端末のシステム情報の他、著名なブラウザソフトやSNS、動画サイトの資格情報やビットコインを盗むウイルスとして確認されております。
また、OSで稼働中の正規プログラムやメモリに不正なコードの注入(インジェクション)を行うことで、
稼働中の正規プログラムを介して通信を行い収集したデータの送信や、他のウイルスをダウンロードする
動きも確認されています。
その他にも本ウイルスの不正な動作として以下が挙げられます。
・端末への侵入の際ウイルスファイル自体がウイルス対策ソフトからの発見を逃れる
対策としてファイル自体のコードが暗号化や一般的に利用されない拡張子に変更
・侵入後ローカル上で動作する際に端末の利用者などから不正なファイルではないものとして
なりすましを行うため、ファイル自体に自己証明書や正規ファイルを模したプロパティ情報が記載
■端末への影響
感染した場合ウイルスにより以下の影響を受ける可能性が考えられます。・キーストロークの監視
・ファイルのアクセス権限やファイル属性の変更
・特定のEPP(エンドポイント)通知やスキャンを無効化
・特定のレジストリ キー/値の変更
・タスクスケジューラーにウイルスが自動実行できるよう永続化
・OSのシャットダウン/OSの再起動
・ランサムウェアやルートキットなどを含む他のウイルスのダウンロードと実行
・著名なブラウザや動画サイト、SNSのログイン画面を自動起動及び情報の搾取
・侵害されたサーバから各種コマンドの受け取り
また、リバースエンジニアリング対策として、端末がサンドボックス環境、仮想環境、
といった特定の環境となる場合、自身を終了します。
・アンチウイルス製品の検出
・サンドボックスの検出
・仮想マシンの検出
・デバッグ環境の検出
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。・GUID
・OSの情報
・インストールされたアプリケーション/バージョン情報
・ディスクの空き容量
・ディレクトリやファイルの抽出
・デバイスのボリューム情報 (名前、シリアル番号など)
・ネットワークサービスディスカバリ
・ビデオカード情報
・プロセッサ情報
・ホストファイルの情報
・レジストリ キー
・稼働中のすべてのドライバーのリスト
・環境変数
・稼働中のプロセス情報
・キーボード操作の情報
・仮想通貨
・Webブラウザ(Edge、Google Chrome等)の情報
・SNS(FaceBook)/動画サイト(YouTube)などの資格情報 等
■想定される侵入経路
誤ってダウンロードすることによりコンピュータに侵入することが想定されます。2023年09月 : 複数の通信やファイルの生成実行によって、目的の攻撃をカモフラージュするウイルス
■ウイルス名
HEUR:Trojan.Win32.Chapak、Trojan.Gen、TrojanSpy.Win32.REDLINE、BehavesLike.Win32.Lockbit 等■概要
本ウイルスは感染した場合、正規のソフトウェアをインストールする挙動や複数のC&Cサーバや正規のサイトへ接続することで、複数の不正なファイルをダウンロードすることや、バッチファイルを生成するウイルスとして確認されております。
感染後永続的に不正活動を行うため、生成した複数のバッチファイルや実行ファイルをスタートアップに設定することで、
OSが起動する際に複数のコマンドプロンプトが表示され、バッチファイルや実行ファイルが自動起動します。
また、主にtemp領域やWindowsフォルダ内にファイルを生成し複数の不正活動することで、ランサムウェア自体を
感染するための時間稼ぎやカモフラージュさせるためのウイルスとなります。
その他の動作として本ウイルスにより不正に権限の昇格が行われた場合以下のセキュリティ機能で設定変更が行われます。
・特定のEPP(エンドポイント)で不正ファイルが検出されないよう機能の無効化
・特定のファイヤーウォールでC&Cサーバへの通信に対する監視の無効化
またホワイトハッカーによる解析への対策として端末内に解析ツールが存在する場合などは以下のような確認を行い
長期のスリープ状態や感染活動自体を終了する設定が施されています
・サンドボックスの検出
・仮想マシンの検出
・デバッグ環境の検出
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。・システム情報
・稼働中のドライバ/プロセス情報
・管理者権限の情報
・仮想通貨 等
■想定される侵入経路
Webサイトまたは、他のマルウェアに作成されることが推測されます。2023年08月 : OSシステムの改ざんや端末内部の情報を盗むウイルス
■ウイルス名
HEUR:Trojan-Spy.Win32.Windigo、Trojan.Win32.AMADEY.YXDH、Trojan:Win32/Wacatac.B、Trojan.TR/Redcap 等■概要
本ウイルスは感染した場合、稼働中のプロセスの監視やシステム情報を盗むウイルスとして確認されており、「C:\Windows\」フォルダ内に
自身のコピーファイルやルートキットをフォルダ内に追加します。
また、利用者などからの早期発見を逃れるためファイル自体に自己証明書や、
正規ファイルになりすますためのファイル名、プロパティ情報の記載があります。
ウイルスは端末に侵入後永続的に不正活動を行うため、OSにログオンの都度
自動で実行が行えるようにレジストリの改ざんや、特定のウイルス対策製品が
インストールされている場合、検索機能の無効化やウイルスファイル自体の除外登録、
また、ファイヤーウォールの設定でウイルスの許可を行うなどといった、
様々な改ざんを行うことが確認されております。
その他、仮想マシン、サンドボックス上での実行を検知した場合、
動的解析や検知を回避するためのスリープや終了するなどの対策を備えているため、
発見が厄介な性質を持っています。
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。・キーストローク情報
・OSのシステム情報
・GUID
・端末名
・シリアル番号
・稼働中のプロセス情報
・GUID
・インストールされたソフトウェア情報
・メモリの情報
■想定される侵入経路
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
2023年07月 : 端末内から様々な情報を盗むRedLine
■ウイルス名
HEUR:Trojan-Spy.Win32.Stealer、Trojan.TR/AD.RedLineSteal、Trojan:Win32/Redline.GNF!、TrojanSpy.Win32.REDLINE 等■概要
本ウイルスは2020年頃に出現したウイルスRedLine(レッドライン)として確認されており、感染した場合、他のウイルスと同様に端末にインストールされた
ブラウザソフトやFTPソフトの資格情報や、ローカル内のインストールフォルダや
ファイルの情報を盗むほか、暗号通貨の情報や著名なゲームアプリケーションの情報を
盗むウイルスとして確認されております。
また、ホワイトハッカーによる解析への対策のため、端末内に解析ツールが存在する場合など、
以下のような確認を行い長期のスリープ状態や感染活動自体を終了する設定が施されています
・アンチウイルス製品の検出
・サンドボックスの検出
・仮想マシンの検出
・デバッグ環境の検出
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。・OSのシステム情報
・GUID
・端末名
・シリアル番号
・ディスク情報
・ビデオカード情報
・プロセッサ情報
・稼働中のプロセス情報
・ディレクトリやファイルの検出
・インストールされたアンチウイルスソフトの情報
・インストールされているソフトウェアの情報
・暗号通貨ウォレットの情報
・ブラウザの資格情報(履歴、パスワード 等)
・メーラーの資格情報
・特定のゲームアプリケーションの資格情報
・ftpログイン資格情報 等
■想定される侵入経路
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
2023年06月 : 正規ファイルを装い端末のシステム情報を盗むウイルス
■ウイルス名
A Variant Of Win32/TrojanDropper.Agent、GenericRXAA-AA!F77F8F、Trojan.Chikdos!、Trojan.Win32.Swisyn.cs 等■概要
本ウイルスは端末のシステム情報やネットワーク情報を盗むウイルスとして確認されており、感染した場合、「Program Files」フォルダ内に一般的なソフト名に偽装したフォルダと、
Windowsの正規プログラム名を装ったウイルスをフォルダ内に作成します。
上述のフォルダ内に作成される設定ファイル情報(通信先及び特定ポート番号)を元に、
定期的に通信を行う挙動があり、その他にも、端末内のネットワーク情報や端末のシステム情報等を
収取しようとする挙動が確認されております。
また、本ウイルスは仮想マシンやサンドボックスでの実行を検知し、実行時は動作を隠蔽する目的で
スリープするなど、動的解析や検知を回避するための機能を持ち、発見が厄介な性質を持っています。
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。・OSのシステム情報
・インストールされたモジュールや存在するファイルの情報
・システムロケール(言語や国・地域等の情報)
・スタートアップ情報の取得
・稼働中のプロセス情報 等
■想定される侵入経路
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
2023年05月 : 端末のカメラやマイクに接続を行い監視やシステム情報を盗むウイルス
■ウイルス名
Backdoor.MSIL.SOLMYR、Trojan:MSIL/BitRat.NEAC、HEUR:Trojan-Spy.MSIL.Solmyr、Trojan.TR/Kryptik 等■概要
本ウイルスは感染した場合、稼働中のプロセスの監視を行い、端末のカメラや音声マイクへの接続、キーロギングやシステム情報を盗む
ウイルスとして確認されています。
また、隠しフォルダ属性の[ roaming ]フォルダ内に自身のコピーを作成し、
自動実行をできるように、1分おきにスケジュールされたタスクスケジューラーの
作成を行います。
その他、リバースエンジニアリングへの対策として、ウイルスは難読化処理が
施されているほか、アンチデバッグ機能が施されていることも確認されています。
永続的に感染活動を継続するため権限の昇格を行い特定のEPP(エンドポイント)に対して
検出されないよう、機能を無効化にするといった挙動が確認されております。
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。・OSのシステム情報
・製品情報
・クリップボードのデータ
・キー入力操作情報
・ブラウザ(Edge、Google Chrome等)の情報 等
接続先となるC&Cサーバーが閉鎖していない場合、リモートコマンドを受け取って
次の機能が実行される可能性があります。
・ウイルスのダウンロードと実行
・メモリ内で不正コードを実行
・仮想通貨のマイニング
・Webカメラとマイクへの接続
・ファイルの管理 (削除、圧縮、検索) 等
■想定される侵入経路
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
2023年04月 : キーボードで入力した情報を監視し有益な情報を盗むウイルス
■ウイルス名
A Variant Of MSIL/Kryptik、HEUR:Trojan.Win32.Invader、TROJ_GEN.R002C0DCB23、Trojan:MSIL/SnakeKeylogger 等■概要
本ウイルスは端末に感染した場合、キーボードで入力した情報の監視を行い有益な情報を盗むウイルスとして確認されています。
また、リバースエンジニアリング対策として、端末がサンドボックス環境、仮想環境、
といった特定の環境となる場合、自身を終了します。
■自身を終了する例
・感染した端末内のファイルパスにvirus、sandboxなどの文字列が含まれている・レジストリデータに特定の文字列が含まれている
・サンドボックス、仮想環境で使用するプロセスが動作している 等
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。・OSのシステム情報
・スクリーンショットの取得
・クリップボード域のデータ情報
[ ブラウザ ]
・Baidu
・BlackHawk
・Chrome
・Chromium
・Coowon
・Firefox
・Internet Explorer
・Microsoft Edge
・Opera
・Safari
・Tor Browser
・Torch
・Yandex
[ FTP ]
・FileZilla
・WebDrive
・WinSCP
[ メール ]
・Foxmail
・GMail
・Opera Mail
・Outlook
・Thunderbird
[ チャットソフト ]
・Skype
■想定される侵入経路
他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入することが想定されます。
2023年03月 : ブラウザ等のサードパーティ製品を含む情報を盗むウイルス
■ウイルス名
A Variant Of MSIL/Kryptik、HEUR:Trojan.Win32.Invader、TROJ_GEN.R002C0DCB23、Trojan:MSIL/SnakeKeylogger 等■概要
本ウイルスは端末にインストールされたサードパーティ製品の資格情報を盗むウイルスとして確認され、外部の侵害されたサーバから、
他のウイルスを介して端末に侵入を行うことや、
稼働中のプロセスに不正なコードを挿入して意図しない実行を行う
挙動が確認されています。
また、隠しフォルダ属性のフォルダ(roaming)内に自身の
コピーを作成し、端末のログオン時に自動実行できるように
タスクスケジューラーの作成を行います。
但し、タスクスケジューラーの作成日時を表示すると、作成された日時より
遥かに古い日時が記されていることから、あたかも端末で長期にわたり
利用されていたタスクスケジューラーであることを偽っています。
その他にも、端末のグローバルIPアドレスの特定を行うため
外部サイトに通信を行ったり、特定のEPP(エンドポイント)に対して
検出されないように除外登録を行うといった挙動が確認されております。
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。・OSのシステム情報
・グローバルIPアドレス
・Google Chrome
・Microsoft Edge
・Microsoft Outlook
・Telegram 等
■想定される侵入経路
他のウイルスの実行などによりC&Cサーバからダウンロードされ侵入することが想定されています。
2023年02月 : 端末内部の情報を偵察し不正活動を行うウイルス
■ウイルス名
Trojan-Downloader.Win32.Gomal、TROJ_GEN.R03BH0CBI23、Heuristic.HEUR/AGEN.1253552、Trojan:Win32/Casdet!rfn 等■概要
本ウイルスに感染した場合、端末内のシステム情報、稼働中のプロセス情報やスクリーンショットの取得を行い侵害されたサーバーへ送信を行います。ウイルスは、端末に侵入すると、コマンドラインによりOSのローミングフォルダ内に、自身の複製を行い、自動実行が行えるようにレジストリの改ざんやスケジュールされた タスクの作成を行います。
またウイルスは侵入した端末で活動することを隠ぺいするため、Windows正規ファイルのプロセスにインジェクションを行う可能性があります。
その他、リバースエンジニアリングからの発見を逃れるため仮想環境やサンドボックス上で実行されていないかの確認を行う設定が組み込まれています。
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。・OSのシステム情報
・稼働中のプロセス情報
・スクリーンショット 等
■想定される侵入経路
Webサイトまたはスパムメールから感染することが推測されます。2023年01月 : 正規ソフト(プログラム)にインジェクションを行い情報を盗むウイルス
■ウイルス名
TROJ_GEN.R002C0PLN、HEUR:Trojan.MSIL.Scarsi.gen、A Variant Of MSIL/TrojanDownloader.Agent.OIT、Artemis!F07E946C8273 等■概要
本ウイルスに感染した場合、端末にインストールされている正規ソフト(プログラム)にインジェクションを行い、端末内の情報を盗むウイルスとして確認されています。
該当の正規ソフト(プログラム)は、ウイルスからの命令を受け取ることで
感染端末から情報を収集し、不正なサーバへ送信することが確認されています。
また、本ウイルスは感染した端末のユーザから不正なファイルとして判断されないよう、
ユーザプロファイル内にファイルを作成し、実行したフォルダから自身の削除を行うことや、
発見を逃れるための対策として、ファイルのプロパティ情報に著名な会社の情報を
記載することで正規ファイルのように、なりすましていることが確認されています。
その他、リバースエンジニアリングからの発見を逃れるため 仮想環境やサンドボックス上で実行されていないかの確認を行う
設定が組み込まれています。
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。・OSのシステム情報
・GUID
・端末名
・シリアル番号
・ブラウザ情報(履歴、パスワードなど)
・稼働中のプロセス情報 等
・ブラウザの資格情報(Google Chrome 履歴、パスワード 等)
・インストールされたアンチウイルスソフト、設定されたファイヤーウォール 等