ウイルス情報

ウイルス名 危険度

SkyWiper

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
6726
対応定義ファイル
(現在必要とされるバージョン)
6726 (現在7656)
対応エンジン 5.2.00以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 2012/06/01
発見日(米国日付) 2012/05/29
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・SkyWiperは、コマンドサーバによって制御される、さまざまなタスクを実行可能なトロイの木馬です。リムーバブルUSBドライブを介して拡散することが確認されています。

TOPへ戻る

ウイルスの特徴

・実行時、SkyWiperは動作中のプロセスに自身のコードを挿入し、システムでの自身の存在を識別するため、「TH_POOL_SHD_PQOISNG_#PID#SYNCMTX」という名前のMutexを作成します。

・#PID#は挿入が行われるプロセスのIDです。

・SkyWiperに関連するファイル名は以下のとおりです。

~dra52.tmp

target.lnk

zff042

urpd.ocx

ccalc32.sys

boot32drv.sys

Pcldrvx.ocx

~KWI

guninst32

~HLV ~DEB93D.tmp ~DEB83C.tmp ~dra53.tmp

cmutlcfg.ocx

~DFL983.tmp ~DF05AC8.tmp ~DFD85D3.tmp ~a29.tmp

dsmgr.ocx

~f28.tmp ~dra51k.tmp ~d43a37b.tmp ~dfc855.tmp

Ef_trace.log

contents.btr

wrm3f0

scrcons.exe

wmiprvse.exe

wlndh32

mprhlp

kbdinai

~ZLM0D1.ocx ~ZLM0D2.ocx

sstab

~rcf0 ~rcj0

・SkyWiperは以下のタスクを実行できます。

- ネットワークリソースのスキャン - 指定した情報の盗み出し - SSH、HTTPSプロトコルでコントロールサーバと通信 - 100以上のセキュリティ製品(ウイルス対策、スパイウェア対策、ファイアウォールなど)の有無を検出 - カーネル、ユーザーモードの両方のロジックを使用 - Windowsの非同期プロシージャ コール(APC)、スレッド起動操作を使った複雑な内部機能、主要プロセスへのコードの挿入 - Winlogon.exeの一部として自身をロードし、Internet Explorer、サービスに挿入 - StuxnetやDuquのように、~という名前のテンポラリーファイルとして自身の存在を隠蔽 - USBメモリやローカルネットワーク上で新たなシステムを攻撃可能(ゆっくりと拡散) - スクリーンショットの撮影 - 音声会話を録音 - Windows XP、Windows Vista、Windows 7システムで動作 - Stuxnetで見られるプリントスプーラー、lnkのエクスプロイトなど、既知のエクスプロイトを組み込み - SQLiteデータベースを使って収集した情報を格納 - カスタムデータベースを攻撃モジュールに使用(非常にまれですが、このマルウェアのモジュール性、拡張性を示しています) - コントロールでも、ターゲットを絞った感染でも、多くの場合、ローカルネットワーク上の隣接するシステムに存在 - PEで暗号化されたリソースを使用

・SkyWiperは、自身を起動するため、以下のレジストリキーにメインモジュールを追加します。

HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Lsa\Authentication Packages

・詳細は以下のリンクを参照してください。

https://blogs.mcafee.com/enterprise/security-perspectives/skywiper-fanning-the-flames-of-cyber-warfare
https://blogs.mcafee.com/mcafee-labs/jumping-in-to-the-flames-of-skywiper

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・上記のレジストリキーおよびファイルが存在します。

TOPへ戻る

感染方法

・リムーバブルUSBドライブを介して拡散できます。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

TOPへ戻る