製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:S
ウイルス情報
ウイルス名危険度
SkyWiper
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
6726
対応定義ファイル
(現在必要とされるバージョン)
6726 (現在7507)
対応エンジン5.2.00以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日2012/06/01
発見日(米国日付)2012/05/29
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/21Generic.tfr!...
07/21RDN/Generic ...
07/21Downloader.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7507
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・SkyWiperは、コマンドサーバによって制御される、さまざまなタスクを実行可能なトロイの木馬です。リムーバブルUSBドライブを介して拡散することが確認されています。

ウイルスの特徴TOPに戻る

・実行時、SkyWiperは動作中のプロセスに自身のコードを挿入し、システムでの自身の存在を識別するため、「TH_POOL_SHD_PQOISNG_#PID#SYNCMTX」という名前のMutexを作成します。

・#PID#は挿入が行われるプロセスのIDです。

・SkyWiperに関連するファイル名は以下のとおりです。

~dra52.tmp

target.lnk

zff042

urpd.ocx

ccalc32.sys

boot32drv.sys

Pcldrvx.ocx

~KWI

guninst32

~HLV ~DEB93D.tmp ~DEB83C.tmp ~dra53.tmp

cmutlcfg.ocx

~DFL983.tmp ~DF05AC8.tmp ~DFD85D3.tmp ~a29.tmp

dsmgr.ocx

~f28.tmp ~dra51k.tmp ~d43a37b.tmp ~dfc855.tmp

Ef_trace.log

contents.btr

wrm3f0

scrcons.exe

wmiprvse.exe

wlndh32

mprhlp

kbdinai

~ZLM0D1.ocx ~ZLM0D2.ocx

sstab

~rcf0 ~rcj0

・SkyWiperは以下のタスクを実行できます。

- ネットワークリソースのスキャン - 指定した情報の盗み出し - SSH、HTTPSプロトコルでコントロールサーバと通信 - 100以上のセキュリティ製品(ウイルス対策、スパイウェア対策、ファイアウォールなど)の有無を検出 - カーネル、ユーザーモードの両方のロジックを使用 - Windowsの非同期プロシージャ コール(APC)、スレッド起動操作を使った複雑な内部機能、主要プロセスへのコードの挿入 - Winlogon.exeの一部として自身をロードし、Internet Explorer、サービスに挿入 - StuxnetやDuquのように、~という名前のテンポラリーファイルとして自身の存在を隠蔽 - USBメモリやローカルネットワーク上で新たなシステムを攻撃可能(ゆっくりと拡散) - スクリーンショットの撮影 - 音声会話を録音 - Windows XP、Windows Vista、Windows 7システムで動作 - Stuxnetで見られるプリントスプーラー、lnkのエクスプロイトなど、既知のエクスプロイトを組み込み - SQLiteデータベースを使って収集した情報を格納 - カスタムデータベースを攻撃モジュールに使用(非常にまれですが、このマルウェアのモジュール性、拡張性を示しています) - コントロールでも、ターゲットを絞った感染でも、多くの場合、ローカルネットワーク上の隣接するシステムに存在 - PEで暗号化されたリソースを使用

・SkyWiperは、自身を起動するため、以下のレジストリキーにメインモジュールを追加します。

HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Lsa\Authentication Packages

・詳細は以下のリンクを参照してください。

https://blogs.mcafee.com/enterprise/security-perspectives/skywiper-fanning-the-flames-of-cyber-warfare
https://blogs.mcafee.com/mcafee-labs/jumping-in-to-the-flames-of-skywiper

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・上記のレジストリキーおよびファイルが存在します。

感染方法TOPへ戻る

・リムーバブルUSBドライブを介して拡散できます。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。