【注意喚起!】 "nt32.exe", "315load32.exe", "load32.exe" というマルウェアについて

【スポンサーリンク】

皆様、こんばんは。

明日はお休みということで、ご予定はいかがでしょうか?

それでは今回の投稿にまいりましょう。

【スポンサーリンク】

はじめに

新種のウイルスに感染してしまったようです・・・。どなたかお助け下さい。


新種のウイルスに感染してしまったようです・・・。どなたかお助け下さい。

スペックは Windows7(Ultimate).64bitのhpです。

初めはウイルス駆除ソフト『Microsoft Security Essential』(以下MSE)と『Spybot』がいつもはついているのに常駐保護はおろか起動すらしていないことに気づいてからでした。 異常に気づいたのはワコムのペンタブドライバをインストール→再起動してからなのですが、それ以前から潜んでいたのかもしれません。 他のウイルス対策ソフトも入れられればと思い試しましたがすべてインストールの際にエラーが起き、MSEも再インストールしようと、アンインストールを試みると何故かエラーになり出来ませんでした。 アクションセンターの警告も見ると、ファイアウォールが無効になっています、ウイルス対策ソフトがありません。と表示され、有効にしようとするとエラーで出来ず。といった状態でした。 ウィンドウズインストーラー自体が壊れているのかとも思い探りましたが、該当するものがなく、仕方がないのでMSEのサポートにメールで問い合わせしました。 原因を探るためシステム情報ファイルを送信した所、『315load32.exeというファイルが実行されています。ウイルスの可能性が高いので駆除してみては?』と言った内容が帰ってきて、ようやく原因は分かりました。

(315load32.exeやその関連ファイルの主な行動はウイルス駆除関連のファイルに対するアクセス権を奪い、インストール、アンインストール、削除、実行等に対する行動でエラーを起こさせるものでした。)

ですが、他にも同じファイルがあったり該当した方も検索して見つけましたが何れも症例が違い、315load32.exeや関連するファイルはなんとか削除出来たというのに、未だに通常のウイルス駆除ソフトのインストール、実行、削除等の行動がエラーや『ファイルが見つかりません』とそこにあるのに謎のメッセージで出来ません。

ちなみにリカバリ等は当然試しましたが、こちらもエラーにより実行出来ませんでした。 マイクロソフトセキュリティスキャナー(オンラインスキャナ)をフルスキャンで試しましたがこちらでは異常無しの結果でした。 アンハックミーというツールで見てみると、出てくるものは1件『HomeGroupListener』とありますが、こちらはWin7の機能でトロイの木馬だと言われても削除の仕様が無くよく分かりません・・・

どなたかお詳しい方、助けてください。


315load32.exe

ネットで少々検索してみたところ、どうやら1月下旬ごろから見受けられるようになったマルウェアのようです。

感染症状としては、システムファイルや各種アプリケーションに関するアクセス権を奪われてしまうということのようですが、先述したご質問内で回答しておられる方がご提示されている315load32.exeに関する解析結果のURLをご覧ください。

Troj/MSIL-JY

まず上記URLに記載されている以下の部分に着目してみましょう。


HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvastSvc.exe

Debuggerc:\Documents and Settings\test user\My Documents\315load32.exe


まずこの文字列が何を意味するのかと申しますと、セキュリティソフトのAvastの実行ファイルが、今回の315load32.exeに置き換えられてしまっているということです。

これにより例えばユーザー側でAvastを起動しようとしても、起動するのはマルウェアである315load32.exeということになってしまいます。

上記のURLを拝見する限り、主要なセキュリティソフトや解析ツールといったものが315load32.exeに置き換えられてしまっています。

この手法は2年前に流行したwindowsという名称を冠するFake avにも見受けられていたものです。

それからさらに以下をご覧ください。


HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows

Load:C:\NTKernel\nt32.exe

—————-

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Shell:explorer.exe,”C:\Documents and Settings\All Users\Application Data\load32.exe”


さらに別のnt32.exeという実行ファイルがロードされ、またShellにload32.exeという実行ファイルが追加されています。

つまり今回のマルウェアはセーフモード下でも起動可能ということを意味しているのです。

そして上記のURLのHTTP Requestsという項目に記載されているURLにアクセスしたところ、以下のようなファイルがダウンロードできました。

CPUMiner.files

malware

このプログラムは感染したPCにおいて、仮想通貨であるbitcoinを生成するためのプログラムのようでした。

Avast Forumに挙がっていた別のご質問にて、感染したPCのCPU負荷率が異様に高いという症状は、おそらくこのプログラムが原因ではないかと思います。

サイバー犯罪者、ビットコインマイニングマルウェアを拡散する

このプログラムの詳細については、上記をご覧ください。

さて最後になりますが、現状では各種掲示板等において、このマルウェアに関する感染原因の特定や駆除方法の確立に向けて動きが見受けられていますが、解決には至っていないようです。

bleepingcomputer.com

新しい情報が入り次第、当ブログでも続編の記事を投稿予定ですが、皆様におかれましてはくれぐれもご注意いただきたいと思います。

それから今回のマルウェアについて情報をお持ちの方、ぜひコメントをお待ちしています。

【スポンサーリンク】

あとがき

さて今回の投稿は以上となります。

今回の投稿で記載する記事以外のマルウェアの対策方法に関連する記事に興味がある方は、ぜひ一度以下のマルウェアの対策方法に関連する記事のまとめを参照してください。


<マルウェアの対策方法に関連する記事のまとめ>

1、URL

マルウェアの対策方法に関連する記事のまとめ


それでは以上です。