threat-research

OT/ICSを標的にするEKANSランサムウェアの詳細

FortiGuard Labsによる脅威リサーチレポート
影響を受けるプラットフォーム: Windowsオペレーティングシステム
影響を受けるシステムなど: ICS(産業用制御システム)と各種アプリケーション
影響: Data Encryption for Impact(データ暗号化による影響) - MITRE ID:T1486
深刻度: High(高)

はじめに

ベライゾンの2020年度データ漏洩 / 侵害調査報告書によると、昨年のマルウェアインシデントの27%をランサムウェアが占めました。それほど大きな数字ではないようにも思えますが、組織への影響を考えると、マルウェアがニュースで大きく報道されることが多いのも納得できることでしょう。ここ数年で攻撃の手法も大きく変化し、「Spray and Pray(下手な鉄砲も数撃ちゃ当たる)」戦法から、標的を絞った攻撃方法へと移行したため、影響が深刻化しています。

時間とリソースへの先行投資から多くの見返りを得られるのは、特定の業界を攻撃の標的にするようになっているためで、昨年は、医療分野や地方自治体などが格好の標的になりました。そして、ランサムウェアの標的となっている最も新しい分野が、産業制御システム / オペレーションテクノロジーです。本ブログでは、最新のランサムウェアであるEKANSと一般的なTTPの傾向を解説し、それに関連する、標的型ランサムウェア攻撃に対する保護を概説します。


EKANSランサムウェア

FortiGuard Labsは5月下旬に、ある信頼できるパートナーから、EKANSのサンプルを提供していただきました。6月には、このランサムウェアの最新の亜種をFortiGuard Labsが独自に手に入れました。

MD5 SHA256
May Variant  
47EBE9F8F5F73F07D456EC12BB49C75D 2ED3E37608E65BE8B6E8C59F8C93240BD0EFE9A60C08C21F4889C00EB6082D74
   
June Variant  
ED3C05BDE9F0EA0F1321355B03AC42D0 D4DA69E424241C291C173C8B3756639C654432706E7DEF5025A649730868C4A1

これらのサンプルはいずれもGo言語で記述されています。Go言語は、2009年頃に初めて登場したプログラム言語で、マルウェアのコミュニティで徐々に人気を得るようになりました。


マルウェア分析の難しさ:カスタムIDAプラグインを作成した理由

Go言語の利点の1つは、MacOS、Microsoft Windows、Linuxオペレーティングシステムなどの異なるプラットフォームやアーキテクチャで動作するようにコードを他のプログラミング言語より簡単にコンパイルできる点にあります。その反面、バイナリのサイズがかなり大きくなるという欠点もあり、単純な「Hello World」プログラムであっても、1MBのバイナリが生成されます。ファイルサイズが大きいという問題を解決するため、Go言語では、プログラマーがコンパイル時にバイナリを削除することができます。削除される情報のほとんどは、通常はデバッガーが使用するものです。

ところが、このサイズが大きいという欠点は、マルウェアの作者にとっては実は利点でもあり、それは、ファイルサイズが大きければ手動での分析に時間がかかるからです。さらには、一般的なマルウェアのファイルは、このファイルよりはるかに小さいため、この問題は見過ごされがちです。このマルウェアを分析しようとする場合、バイナリからデバッグ情報を削除するといった、もう一つの難問を克服しなければなりません。

入手したファイルを詳しく調べてみたところ、これらの情報が実際に削除されていて、マルウェアを分析するための手掛かりを何も得られないことがわかりました。

図1:分析する関数の数

図1:分析する関数の数

一般的なマルウェアに含まれる関数の数は数百程度ですが、その中には、マルウェア分析で標準的に利用される非公式の逆アセンブラであるIDAで特定できるものもあります。ところが、Go言語のバイナリから情報が削除されていると、IDAが通常のライブラリファイルを認識できないため、マルウェアの分析で5,000以上の関数を分析しなければなりません。

このような問題があったため、我々は、EKANS専用のIDAプラグインを独自に開発し、Go言語専用の他の分析方法と併用することにしました。

図2:FortiGuard Labsが開発したカスタムIDAプラグイン

図2:FortiGuard Labsが開発したカスタムIDAプラグイン

EKANSの5月の亜種には前述のように、2,100以上の暗号化された文字列、2,400近くの難読化された関数名、修正が必要な1,200以上の文字列が含まれていました。

これらの亜種はいずれも、ファイルを暗号化したり、身代金の支払方法やファイルの解読方法を受け取るために指定されたメールアドレスに連絡するように指示するランサムノートを残したりするといった、一般的なランサムウェアに想定されるあらゆる行動が見られます。ただし、あまり一般的ではない行動も含まれていました。6月の亜種で確認された、これらの行動を順番に並べると、次のようになります。ここで最も注目すべきは、ホストファイアウォールをオフにするという、他のランサムウェアには見られない行動です。

  • 標的とする環境を確認する
  • 感染したシステムを隔離する(ホストファイアウォール)
  • ファイル暗号化プロセスで使用する公開RSA鍵がデコードされる
  • 特定のサービスとプロセスを識別して停止する
  • シャドーコピーを削除する
  • ファイルを暗号化する
  • ホストファイアウォールをオフにする

図3:EKANSランサムウェアの関数の大まかなフロー

図3:EKANSランサムウェアの関数の大まかなフロー

注目すべきは、このマルウェアファミリーに新たに追加されたと思われる、ホストファイアウォールをオフにする機能で、これは、5月の古いバージョンにはなかった機能です。 もう一つ、興味深い点として、暗号化の前にファイアウォールをオンにする機能が追加されており、これは、エージェントからの通信をブロックすることで、AVやその他の防御対策ソリューションによる検知を逃れるためと考えられます。


標的とする環境の確認

このランサムウェアは、被害者の会社に属するドメインを解決し、解決したドメインと特定のIPを比較することで、標的を確認しようとします。ドメイン / IPを確認できなかった場合、ルーチンを終了します。

図4:マルウェアが標的を確認する

図4:マルウェアが標的を確認する

環境チェックを詳しく調べたところ、EKANSの5月の亜種がIPアドレス「ADS.****.COM」を解決しようとしていることがわかりました。このサブドメインは、慢性腎臓病の治療が専門の世界的な医療機関に属しています。

図5:サブドメインのIPチェック

図5:サブドメインのIPチェック

このサブドメインは公開されていないようであり、すなわちこれは、ネットワークに潜入できた場合のみ、5月の亜種が実行されることを意味します。これが成功すると、別のチェック、すなわち、「10.2.10.4」がこのサブドメインのIPアドレスであるかどうかがチェックされます。

図6:IPの比較

図6:IPの比較

EKANSの5月の亜種が探すもう一つの情報が、ドメインにおける現在のマシンのロールです。

図7:ドメインロールのチェック

図7:ドメインロールのチェック

WMIクエリを実行することで、ロールを特定します。Microsoftによるドメインロールの定義を以下に示します。

EKANSは、ネットワーク上のドメインコントローラに感染させようとするようです。これが成功すると、ネットワークドメイン内のセキュリティ認証要求にも影響するため、ネットワーク上のユーザーへの影響がさらに深刻になります。前述のデータがあれば、正しいミューテックスを構築する十分な情報をEKANSが得たことになります。

図8:ミューテックスの作成

図8:ミューテックスの作成

このミューテックスは、「Global\」という文字列に「EKANS」を付加したものと、IP文字列の一部で構成されています。余談ですが、EKANSの作者が「There can be only one(生き残れるのはただ一人)」が決め台詞の映画 / TVドラマ「ハイランダー」のファンなのかもしれません。

図9:exitメッセージ

図9:exitメッセージ

感染システムの隔離

FortiGuard Labsのエンジニアが発見した、このランサムウェアの6月の亜種は、次のステップとして以下のnetshコマンドを実行することで、暗号化プロセスを妨害する可能性のあるインバウンドやアウトバウンドのトラフィックをブロックします。

  • netsh advfirewall set allprofiles firewallpolicy blockinbound,blockoutbound
  • netsh advfirewall set allprofiles state on

図10:マルウェアによる感染システムの隔離

図10:マルウェアによる感染システムの隔離

図11:netsh.exeを実行してホストファイアウォールの設定を変更

図11:netsh.exeを実行してホストファイアウォールの設定を変更


公開RSAキーのデコード

次に、多くのランサムウェアの亜種と同様、自らに埋め込まれている暗号化関数へと進み、RSAを使用し、ParsePKCS1PublicKey関数を使用して公開鍵を解析することでデータを暗号化します。データは、XORでデコードされます。

図12:デコードされたRSA鍵

図12:デコードされたRSA鍵

図13:ParsePKCS1PublicKey関数によって解析される公開鍵

図13:ParsePKCS1PublicKey関数によって解析される公開鍵


サービスとプロセスの識別と停止

EKANSのどちらの亜種も、サービスに関連付けられた文字列をデコードして停止しようとします。5月の亜種には、何らかの理由で重複するサービスが含まれています。

図14:サービスの冗長性

図14:サービスの冗長性

EKANSの5月の亜種は、合計で9つのサービスを繰り返し復号化することで、サービスを停止しようとします。具体的には以下のサービスが該当します。

MSSQLFDLauncher$PROFXENGAGEMENT、ReportServer$TPS、SQLBrowser、MSSQLServerADHelper、SQLAgent$PROD、msftesql$PROD、SQLAgent$SOPHOS、VeeamEnterpriseManagerSvc、ArcserveUDPPS

どちらの亜種も、必要なすべての文字列をデコードした後に(添付資料Aを参照)、SCM(OpenSCManager)を開き、EnumServicesStatusExを使用します。これらのサービスに対して反復処理を実行し、デコードした文字列リストに含まれるサービスがあれば停止します。

このサービス停止処理によって、以下が停止します。

  • OpenService (SC_MANAGER_ENUMERATE_SERVICE)
  • ServiceControl (SERVICE_CONTROL_STOP)
  • ServiceQuery

図15:特定のサービスを識別して停止する

図15:特定のサービスを識別して停止する


プロセスの識別と停止

このランサムウェアは次に、実行中のプロセスを列挙し、事前に定義したプロセスリストにある各プロセスを終了させます(添付資料Bを参照)。プロセスの終了を処理するコードは以下のとおりです。

図16:マルウェアによる特定のプロセスの終了

図16:マルウェアによる特定のプロセスの終了


シャドーコピーの削除

EKANSは次に、シャドーコピーを削除しますが、これには、WMIのWbemScripting.SWbemNamedValueSetオブジェクトが使用されます。シャドーコピーオブジェクトの検索には、以下のクエリが使用されます。

  • SELECT * FROM Win32_ShadowCopy

これは、多くのランサムウェアで見られる、ファイルの復元を困難にするための挙動です。これには、いくつもの方法がありますが、興味のある方は、Ben Hunterのブログ記事「シャドーコピー対策:削除方法の見直し(英語)」を参照してください。

5月の亜種の場合は、COMプログラミングをその手段として利用しています。EKANSは、COMオブジェクトを利用してWMIサービスに接続することで、共有ライブラリを使用します。これには、https://raw.githubusercontent.com/go-ole/go-ole/master/guid.goに似たコードが利用されており、これらのコードは、正規のさまざまな他のGo言語で作られたソフトウェアだけでなく、他のマルウェアのバイナリでも使用されています。

図17:使用するCOMオブジェクト

図17:使用するCOMオブジェクト


ファイルの暗号化

このランサムウェアは、暗号化関数を実行する前に、暗号化するすべてのファイル拡張子の文字列をデコードします(添付資料Cを参照)。

少なくともシステムが動作し、ロード可能な状態を維持するために、いくつかのファイルやフォルダが暗号化プロセスから除外されます。EKANSの5月の亜種で除外されるファイルは以下のとおりです。

図18:5月の亜種で除外されるファイル

図18:5月の亜種で除外されるファイル

同時に、以下のディレクトリがパスに含まれるファイルやフォルダも、5月の亜種のファイル暗号化処理から除外されています。

図19:5月の亜種で除外されるフォルダ

図19:5月の亜種で除外されるフォルダ

また、5月の亜種が除外するファイルタイプは以下のとおりです。

図20:5月の亜種で除外されるファイルタイプ

図20:5月の亜種で除外されるファイルタイプ

どちらの亜種も、暗号化から除外するために使用する以下の正規表現を構築します。

図21:マルウェアによる暗号化からの除外

図21:マルウェアによる暗号化からの除外

ただし、5月の亜種の実際のファイル暗号化プロセスでは、標的となるファイルタイプのリストのチェックは実行されていません。このランサムウェアの5月の亜種は、除外ルールに違反していない限り、すべてのファイルタイプを暗号化します。

暗号化の詳細は、https://www.ccn-cert.cni.es/pdf/5045-ccn-cert-id-15-20-snake-locker-english-1/file.htmlで説明されている操作方法とおそらく同一です。

  • 公開RSA鍵を使用して、ファイルの暗号化に使用するAES鍵のそれぞれを暗号化する。
  • ファイルの暗号化には、AES CTRモードを使用し、ランダムな鍵とランダムなIVを使用する。
  • AES鍵をRSA-OAEPで暗号化し、ハッシュアルゴリズムとしてripemd160を使用する。
  • AESで暗号化された鍵を元のファイル名と一緒にGOB(Go言語のアルゴリズム)を使用して暗号化し、ファイルの末尾に書き込む

最初に、GetLogicalDriveStringsWを使用して、A~Zまでの有効なドライブ文字列をすべて列挙します。

図22:ドライブの列挙

図22:ドライブの列挙

下図のコードに示すように、EKANSの5月の亜種は、リムーバブルドライブ(サムドライブなど)と固定ドライブ(ハードディスクやフラッシュストレージデバイスなど)だけを標的にし、ネットワーク上のマシンを感染させようとしないようです。

図23:標的となるドライブタイプ

図23:標的となるドライブタイプ

次に、該当するドライブに対して複数のスレッドを作成します。

図24:有効なドライブ文字列の列挙

図24:有効なドライブ文字列の列挙

そして、各スレッドによって、暗号化を実行する8つのワーカー(スレッド)が作成されます。これらのワーカー同士は、チャネルを利用して同期します。

図25:暗号化を実行するスレッド

図25:暗号化を実行するスレッド

8つのワーカーの作成後に、スレッドは、ワーカーの処理が終了するのを待機します。すべての処理が終わると、5桁のランダムな文字列を生成し、それをファイル名に付加することで、システム上のファイルの名前を変更します。

図26:マルウェアによるファイル名の変更

図26:マルウェアによるファイル名の変更

1つのファイル暗号化のフローは比較的単純です。

  • ファイルを開く。
  • ファイルの最後にEKANSスタンプがすでにあるかどうかをチェックし、ない場合は、以下のループに示すようにAESでファイルを暗号化する。
  • 暗号化(新規作成ではなく、ファイルを上書きする)。

最初に、暗号化を開始します。

図27:マルウェアによる暗号化の開始

図27:マルウェアによる暗号化の開始

EKANSの5月の亜種は、暗号化プロセスの完了後に、「Decrypt-Your-Files.txt」という名前のランサムノートをルートシステムドライブまたはユーザーのデスクトップにドロップします。

図28:ランサムノート(身代金の宣告)

図28:ランサムノート(身代金の宣告)

ホストファイアウォールをオフにする

6月の亜種は最後に、ファイアウォールをオフにする別のコマンドを実行します。


EKANSのMITRE TTP

実行

  • Component Object Model and Distributed COM(MITRE ATT&CK ID:T1175
    • EKANSはCOMオブジェクトを使用してWMIクエリを実行する

防御の回避

  • Disabling Security Tools(MITRE ATT&CK ID:T1089
    • EKANSはプロセスを無効化し、サービスを終了させようとする(添付資料を参照)
  • Execution Guardrails(MITRE ATT&CK ID:T1480
    • EKANSはネットワーク、IP、ドメインの役割をチェックする
  • Indirect Command Execution(MITRE ATT&CK ID:T1202)
    • netsh advfirewall set allprofiles firewallpolicy blockinbound,blockoutbound
    • netsh advfirewall set allprofiles state on
  • Virtualization/Sandbox Evasion(MITRE ATT&CK ID:T1497
    • EKANSは仮想化サービスとプロセスを無効化しようする(添付資料を参照)

探索

  • File and Directory Discovery(MITRE ATT&CK ID:T1083
    • EKANSは暗号化する必要があるファイルとディレクトリのリストを作成する
  • Peripheral Device Discovery(MITRE ATT&CK ID:T1120)
    • EKANSはUSBドライブなどのリムーバブルドライブにあるファイルを暗号化しようとする
  • Process Discovery(MITRE ATT&CK ID:T1057
    • EKANSは特定のプロセスを停止しようとする(添付資料を参照)
  • Security Software Discovery(MITRE ATT&CK ID:T1063
    • EKANSは特定のセキュリティソフトウェアを無効にしようとする(添付資料を参照)
  • Software Discovery(MITRE ATT&CK ID:T1518)
    • EKANSは特定のICSプロセスを無効化しようとする(添付資料を参照)
  • System Information Discovery(MITRE ATT&CK ID:T1082)
    • EKANSはミューテックスの存在をチェックする
    • EKANSはドメインにおけるシステムのロールをチェックする
  • System Network Configuration Discovery(MITRE ATT&CK ID:T1049
    • EKANSがネットワークに対してクエリを実行し、ネットワークが標的とするドメインの一部であるかどうかを確認する
  • System Service Discovery(MITRE ATT&CK ID:T1007)
    • EKANSは特定のサービスを停止しようとする(添付資料を参照)
  • Virtualization/Sandbox Evasion(MITRE ATT&CK ID:T1497)
    • EKANSは仮想化サービスとプロセスを無効化しようする(添付資料を参照)

影響

  • Data Encrypted for Impact(MITRE ATT&CK ID:T1486
    • EKANSは身代金を要求するために特定のファイルを暗号化する
  • Inhibit System Recovery(MITRE ATT&CK ID:T1490
    • EKANSはシャドーコピーを削除することで暗号化されたファイルが復元されないようにする
  • Network Denial of Service(MITRE ATT&CK ID:T1498
    • 感染したドメインコントローラによって、ユーザーがネットワークにログインできなくなる可能性がある
  • Service Stop(MITRE ATT&CK ID:T1489
    • EKANSは特定のサービスを停止しようとする(添付資料を参照)

一般的なTTPのトレンド

このランサムウェアや、ハッシュ、URL、IPアドレス、ドメインなどのIOC(Indicators of Compromise:侵害指標)を理解することは、最初の対策として有効ではありますが、これらのIOCは変わることが多く、従来型のセキュリティ対策を迂回する可能性があるため、注意が必要です。また、これらの攻撃は標的をかなり限定しているため、環境への侵入後の攻撃者の行動を理解することも重要です。マルウェアが行動を始める前に計画を妨害することが、より良い成果につながります。標的型攻撃にはそれぞれに固有のトレンドがあり、特に、攻撃者によって行動の傾向も異なるため、それを理解することで、彼らの攻撃方法を検知し、より効果的かつ確実に攻撃をブロックできるようになります。そこで、FortiGuardのMDR(Managed Detection and Response)サービスとインシデントレスポンスサービスで確認されることが多いいくつかの傾向を以下に紹介します。


初期アクセス

ネットワークのアクセス方法は数多くありますが、継続して確認されているのは、以下の2つの方法です。

  • External Remote Services(MITRE ATT&CK ID:T1133
    • 公開されているRDPセッションの既存の脆弱性や脆弱な認証情報のエクスプロイト。
  • Spearphishing Attachments and Links(MITRE ATT&CK ID:T1193ID:T1192
    • 最近は、スピアフィッシングメールの送信がマルウェアを送り込む最も一般的な方法になっている。

OS認証情報のダンプ

標的とする環境への初期アクセスの確立したサイバー犯罪者は、ネットワークのさらに奥へと侵入する必要があります。これには、それを可能にするアクセス権が必要であり、認証情報のダンプが多くのマルウェアに共通する行動であるのはそのためです。Windowsオペレーティングシステムでは、さまざまな場所に認証情報が保存されたり、キャッシュされたりするため、認証情報をダンプする方法もたくさんあります。我々がトレンドとして確認している一般的な方法の1つを、以下に示します。

  • OS Credential Dumping - LSASSメモリ(MITRE ATT&CK ID:T1003.001
    • LSASSプロセスは、システムにログインしているユーザーの認証情報を保存する。この認証情報を抽出するツールが数多く出回っている。

OS認証情報のダンプの詳細については、ブログ記事「攻撃と防御という2つの側面:(Windows)OS認証情報のダンプ」を参照してください。


水平方向の移動 (ラテラルムーブメント)

サイバー犯罪者がシステムからシステムへマルウェアを拡散できるアクセス権を手に入れた場合、ペイロードをコピーするだけで、リモートでの実行が可能になります。これを可能にするツールの1つが、多くのWindowsオペレーティングシステムに存在します。PSEXECと呼ばれる、Sysinternalsに含まれるツールは、多くのシステム管理者がネットワークの管理を支援する目的で使用するものですが、サイバー犯罪者もよく使用します。

  • Lateral Tool Transfer(MITRE ID:T1570
    • ソフトウェアの一部をコピーしてリモートで実行できるツールが数多く存在する。PSEXECもそのようなツールの1つであり、psexec.exeを実行すると、psexecsvc.exeファイルがリモートシステムにコピーされ、このファイルによって、不正ソフトウェアがサービスとして起動され、実行されます。このツールはさらに、C$、IPS$、ADMIN$などのWindowsの管理共有も使用します。

防御の回避

セキュリティコミュニティが協力するようになったことで、不正ソフトウェアやツールの特定が容易になりました。その結果、サイバー犯罪者もその点を考慮して、アンチマルウェアなどの防御機能を無効にするための手順を追加したり、Windowsのイベントログを無効にしたりするようになりました。

  • 防御の妨害 - ツールの無効化または変更(MITRE ID:T1562.001
    • 攻撃者が管理者アクセスを手に入れると、Microsoft Defenderなどのサービスのアンインストールやシャットダウンが可能になる場合もある。攻撃者は、サービスをアンインストールしてマルウェアを実行した後に、サービスを再インストールする。
  • 保護機能の低下 - Windowsのイベントログを停止(MITRE ID:T1562.002)
    • ログがホストにおける異常の検知に役立つ優れた情報源であることから、企業は、これらのログを一元的に収集し、監視することで、異常を発見しようとする。このプロセスを妨害するため、サイバー犯罪者は、イベントログを無効にしたり、ログが出力されないようにしたりすることで、監視ツールやプロセスに表示されないようにする。

防御の回避 / 権限の昇格 / 永続性

攻撃者は最終的に、標的であるシステムでランサムウェア(または何らかのマルウェア)を実行します。攻撃者がドメインコントローラにアクセスできる場合の効率的な実行方法は、GPO(グループポリシーオブジェクト)とWindowsのログインスクリプトを利用することです。GPOやログインスクリプトは、システム管理者がユーザー環境の一元管理やOS構成の設定に使用するものですが、攻撃者も、Active Directory環境の一部であるこれらのツールを書き換えることで、マルウェアを展開し、実行することができます。

  • Group Policy Modification (GPO)(MITRE ID:T1484
    • 攻撃者は、デフォルトドメインポリシーにグループポリシー優先のスケジュールを指定したタスクポリシーを作成し、そのタスクポリシーによってADドメイン内のすべてのマシンにマルウェアが配信されて実行されるようにできる。
  • Boot or Logon Initialization Scripts: Login Script - Windows(MITRE ID:T1037.001
    • ログオンスクリプトはユーザーによるADドメイン内のシステムへのログイン時に実行されるため、攻撃者がこのスクリプトに不正ペイロードを追加して、ログイン時にそのスクリプトが実行するようにできる。

結論

本ブログでは、ICS / OT環境を標的とする最新のランサムウェアの亜種の1つだけでなく、この1~2年間にFortiGuardチームが捉えたしたTTPのトレンドについても解説しました。今回説明したものだけでなく、MITRE ATT&CKナレッジベースに記載されているその他の方法についても理解しておくことをお勧めします。さらには、それらの方法に対する現在のセキュリティ制御をテストすることで、検知や保護が可能であることを確認しておいてください。

セキュリティギャップが見つかった場合は、それを文書化し、優先順位に従った改善のためのアクションプランを構築する際のガイドとして使用するようにします。最後に、ICS環境の管理や運用を実際に担当している方には、産業用制御システムネットワークを標的にする攻撃のMITRE ATT&CKのICSナレッジベースを参考にされることをお勧めします。


フォーティネットによる保護

FortiEDRプラットフォーム

フォーティネットのFortiEDRプラットフォームは、EKANSマルウェアを検知し、ブロックします。Windowsファイアウォールの設定の変更やファイルの暗号化などの実行が試行されると、FortiEDRが悪意のある動作を識別し、ブロックします。

図29:FortiEDRによる悪意のあるnetsh.exeアクティビティのブロック

図29:FortiEDRによる悪意のあるnetsh.exeアクティビティのブロック

図30:FortiEDRは特定のコマンドラインアクティビティを識別する

図30:FortiEDRは特定のコマンドラインアクティビティを識別する

図31:FortiEDRによるファイル暗号化アクティビティのブロック

図31:FortiEDRによるファイル暗号化アクティビティのブロック


FortiGuardアンチウイルスサービス

これらのランサムウェアの亜種は、W32/Ekans.42D0!tr.ransom、W32/Ekans.C75D!tr.ransom、W32/Ekans.62B8!tr.ransomシグネチャによってブロックされます。


FortiDeceptor - デセプションベースの侵入防止

FortiDeceptorによって、おとりや誘導の配備が自動化されるほか、既存のIT / OTインフラストラクチャにシームレスに統合できるため、偽のディセプションネットワークが短時間で作成されて攻撃者の存在を表面化させることができます。FortiDeceptorは、高精度の検知機能によって攻撃者の活動の詳細と水平方向の動きを相関させ、より広範な攻撃キャンペーン対策用にフィードすることで、早期警告システムとしての役割を果たします。おとりから取得した脅威インテリジェンスをセキュリティ ファブリック内で共有することで、自動的に保護を適用し、実際の被害が発生する前に攻撃を中断させることができます。


添付資料A:標的となるサービス

5月の亜種

Acronis VSS Provider, Enterprise Client Service, Sophos Agent, Sophos AutoUpdate Service, Sophos Clean Service, Sophos Device Control Service, Sophos File Scanner Service, Sophos Health Service, Sophos MCS Agent, Sophos MCS Client, Sophos Message Router, Sophos Safestore Service, Sophos System Protection Service, Sophos Web Control Service, SQLsafe Backup Service, SQLsafe Filter Service, Symantec System Recovery, Veeam Backup Catalog Data Service, AcronisAgent, AcrSch2Svc, Antivirus, ARSM, BackupExecAgentAccelerator, BackupExecAgentBrowser, BackupExecDeviceMediaService, BackupExecJobEngine, BackupExecManagementService, BackupExecRPCService, BackupExecVSSProvider, bedbg, DCAgent, EPSecurityService, EPUpdateService, EraserSvc11710, EsgShKernel, FA_Scheduler, IISAdmin, IMAP4Svc, macmnsvc, masvc, MBAMService, MBEndpointAgent, McAfeeEngineService, McAfeeFramework, McAfeeFrameworkMcAfeeFramework, McShield, McTaskManager, mfemms, mfevtp, mozyprobackup, MsDtsServer, MsDtsServer100, MsDtsServer110, MSExchangeES, MSExchangeIS, MSExchangeMGMT, MSExchangeMTA, MSExchangeSA, MSExchangeSRS, MSOLAP$SQL_2008, MSOLAP$SYSTEM_BGC, MSOLAP$TPS, MSOLAP$TPSAMA, MSSQL$BKUPEXEC, MSSQL$ECWDB2, MSSQL$PRACTICEMGT, MSSQL$PRACTTICEBGC, MSSQL$PROFXENGAGEMENT, MSSQL$SBSMONITORING, MSSQL$SHAREPOINT, MSSQL$SQL_2008, MSSQL$SYSTEM_BGC, MSSQL$TPS, MSSQL$TPSAMA, MSSQL$VEEAMSQL2008R2, MSSQL$VEEAMSQL2012, MSSQLFDLauncher, MSSQLFDLauncher$PROFXENGAGEMENT, MSSQLFDLauncher$SBSMONITORING, MSSQLFDLauncher$SHAREPOINT, MSSQLFDLauncher$SQL_2008, MSSQLFDLauncher$SYSTEM_BGC, MSSQLFDLauncher$TPS, MSSQLFDLauncher$TPSAMA, MSSQLSERVER, MSSQLServerADHelper100, MSSQLServerOLAPService, MySQL57, ntrtscan, OracleClientCache80, PDVFSService, POP3Svc, ReportServer, ReportServer$SQL_2008, ReportServer$SYSTEM_BGC, ReportServer$TPS, ReportServer$TPSAMA, RESvc, sacsvr, SamSs, SAVAdminService, SAVService, SDRSVC, SepMasterService, ShMonitor, Smcinst, SmcService, SMTPSvc, SNAC, SntpService, sophossps, SQLAgent$BKUPEXEC, SQLAgent$ECWDB2, SQLAgent$PRACTTICEBGC, SQLAgent$PRACTTICEMGT, SQLAgent$PROFXENGAGEMENT, SQLAgent$SBSMONITORING, SQLAgent$SHAREPOINT, SQLAgent$SQL_2008, SQLAgent$SYSTEM_BGC, SQLAgent$TPS, SQLAgent$TPSAMA, SQLAgent$VEEAMSQL2008R2, SQLAgent$VEEAMSQL2012, SQLBrowser, SQLSafeOLRService, SQLSERVERAGENT, SQLTELEMETRY, SQLTELEMETRY$ECWDB2, SQLWriter, SstpSvc, svcGenericHost, swi_filter, swi_service, swi_update_64, TmCCSF, tmlisten, TrueKey, TrueKeyScheduler, TrueKeyServiceHelper, UI0Detect, VeeamBackupSvc, VeeamBrokerSvc, VeeamCatalogSvc, VeeamCloudSvc, VeeamDeploymentService, VeeamDeploySvc, VeeamEnterpriseManagerSvc, VeeamMountSvc, VeeamNFSSvc, VeeamRESTSvc, VeeamTransportSvc, W3Svc, wbengine, WRSVC, VeeamHvIntegrationSvc, swi_update, SQLAgent$CXDB, SQLAgent$CITRIX_METAFRAME, SQL Backups, MSSQL$PROD, Zoolz 2 Service, MSSQLServerADHelper, SQLAgent$PROD, msftesql$PROD, NetMsmqActivator, EhttpSrv, ekrn, ESHASRV, MSSQL$SOPHOS, SQLAgent$SOPHOS, klnagent, MSSQL$SQLEXPRESS, SQLAgent$SQLEXPRESS, kavfsslp, KAVFSGT, KAVFS, mfefire, avast! Antivirus, aswBcc, Avast Business Console Client Antivirus Service, mfewc, Telemetryserver, WdNisSvc, WinDefend, MCAFEETOMCATSRV530, MCAFEEEVENTPARSERSRV, MSSQLFDLauncher$ITRIS, MSSQL$EPOSERVER, MSSQL$ITRIS, SQLAgent$EPOSERVER, SQLAgent$ITRIS, SQLTELEMETRY$ITRIS, MsDtsServer130, SSISTELEMETRY130, MSSQLLaunchpad$ITRIS, BITS, BrokerInfrastructure, epag, EPIntegrationService, EPProtectedService, epredline, TmPfw, SentinelAgent, SentinelHelperService, LogProcessorService, SentinelStaticEngine, DB2GOVERNOR_DB2COPY1, DB2LICD_DB2COPY1, DB2MGMTSVC_DB2COPY1, DB2REMOTECMD_DB2COPY1, DB2DAS00, DB2-0, DB2INST2, IBMDataServerMgr, IBMDSServer41, MSSQL$CITRIX_METAFRAME, RumorServer, myAgtSvc, McAfee SiteAdvisor Enterprise Service, Alerter, ERSvc, Eventlog, ImapiService, NetDDE, NtLmSsp, NtmsSvc, odserv, SnowInventoryClient, TlntSvr, VMTools, VMware, WebClient, WinVNC4, BlueStripeCollector, Cissesrv, CpqRcmc3, gupdate, gupdatem, HealthService, NimbusWatcherService, ProLiantMonitor, SDD_Service, sysdown, System, GoogleChromeElevationService, bcrservice, ccEvtMgr, ccSetMgr, CSAdmin, CSAuth, CSDbSync, CSLog, CSMon, CSRadius, CSTacacs, Symantec, VGAuthService, SepMasterServiceMig, vmware-converter-agent, vmware-converter-server, vmware-converter-worker, avbackup, MSSQL$NET2, Net2ClientSvc, NetSvc, SQLAgent$NET2, tpautoconnsvc, TPVCGateway, VMwareCAFCommAmqpListener, VMwareCAFManagementAgentHost, AdobeARMservice, RSCDsvc, LRSDRVX, msvsmon90, IDriverT, MSMQ, MMS, MSSQLFDLauncher$PROFXENGAGEMENT, ReportServer$TPS, SQLBrowser, MSSQLServerADHelper, SQLAgent$PROD, msftesql$PROD, SQLAgent$SOPHOS, AVP, VeeamEnterpriseManagerSvc, MySQL80, MSSQL$ARCSERVE_APP, ArcserveUDPPS, CAARCAppSvc, CASDatastoreSvc, CASARPSWebSVC, CAARCUpdateSvc, ArcserveUDPPS, CASAD2DwebSvc, ASLogWatch, FireEye Endpoint Agent, nxlog, SplunkForwarder, SAP, MSSQL, MySQL, OracleService, oracleservice, mssql, Sophos, Veeam, Cylance

6月の亜種

AcrSch2Svc, Antivirus, ARSMbedbgDCAgent, EPUpdateService, EraserSvc11710, EsgShKernel, FA_Scheduler, IISAdminIMAP4Svcmacmnsvcmasvc, MBAMService, MBEndpointAgent, McAfeeFramework, McShieldmfemms, McTaskManager, MsDtsServer, MsDtsServer100, MsDtsServer110, MSExchangeES, MSExchangeIS, MSExchangeMGMT, MSExchangeMTA, MSExchangeSA, MSExchangeSRS, MSSQLFDLauncher, MSSQLSERVER, ntrtscanPOP3Svc, PDVFSService, ReportServer, sacsvr, SamSs, SAVServiceSAVAdminService, SDRSVCShMonitor, SepMasterServiceSmcinstSMTPSvc, SmcService, SNACSntpService, SQLBrowser, SQLSERVERAGENT, SQLTELEMETRY, SQLWriter, svcGenericHost, swi_filterTmCCSFswi_service, swi_update_64, tmlistenTrueKey, TrueKeySchedulerUI0DetectW3Svc, VeeamBackupSvc, VeeamBrokerSvc, VeeamCatalogSvc, VeeamCloudSvc, VeeamDeploySvc, VeeamMountSvc, VeeamNFSSvc, VeeamRESTSvc, wbengineWRSVC, swi_update, NetMsmqActivatorEhttpSrvekrn, ESHASRV, KAVFSmfefire, Telemetryserver, WdNisSvcBITSepagWinDefend, MsDtsServer130, SSISTELEMETRY130epredlineTmPfw, SentinelAgent, DB2INST2myAgtSvcIBMDataServerMgrIBMDSServer41, RumorServer, AlerterERSvc, EventlogNetDDE, ImapiService, NtLmSspNtmsSvc, odservTlntSvr, VMTools, VMware, WebClientWinVNC4CissesrvCpqRcmc3gupdate, gupdatemHealthService, ProLiantMonitor, SDD_Service, sysdown, System, bcrservice, ccEvtMgrccSetMgrCSAdmin, CSAuth, CSDbSyncCSLog, CSMon, CSRadiusCSTacacsSymantecVGAuthService, avbackupNetSvc, Net2ClientSvc, tpautoconnsvc, TPVCGateway, AdobeARMservice, RSCDsvcLRSDRVX, msvsmon90, IDriverTMSMQMMS, MySQL80nxlogSAP, ArcserveUDPPS, CAARCAppSvc, CASDatastoreSvc, CASARPSWebSVC, CAARCUpdateSvc, ArcserveUDPPS, CASAD2DwebSvc, ASLogWatch, SplunkForwarder, MSSQLMySQLmssql, OracleService, oracleservice, SophosVeeam, Cylance, OpenSCManagerW, BackupExecAgentAccelerator, BackupExecAgentBrowser, BackupExecDeviceMediaService, BackupExecJobEngine, BackupExecManagementService, BackupExecRPCService, BackupExecVSSProvider, EPSecurityService, McAfeeEngineService, McAfeeFrameworkMcAfeeFramework, MSSQLServerADHelper100, MSSQLServerOLAPService, OracleClientCache80, SQLSafeOLRService, TrueKeyServiceHelper, VeeamDeploymentService, VeeamEnterpriseManagerSvc, VeeamTransportSvc, VeeamHvIntegrationSvc, MSSQLServerADHelper, MCAFEETOMCATSRV530, MCAFEEEVENTPARSERSRV, BrokerInfrastructure, EPIntegrationService, EPProtectedService, SentinelHelperService, LogProcessorService, SentinelStaticEngine, DB2GOVERNOR_DB2COPY1, DB2MGMTSVC_DB2COPY1, DB2REMOTECMD_DB2COPY1, SnowInventoryClient, BlueStripeCollector, NimbusWatcherService, GoogleChromeElevationService, SepMasterServiceMig, VMwareCAFCommAmqpListener, VMwareCAFManagementAgentHost, MSSQLServerADHelper, VeeamEnterpriseManagerSvc


添付資料B:標的となるプロセス

5月の亜種

ccflic0.exe, ccflic4.exe, healthservice.exe, ilicensesvc.exe, nimbus.exe, prlicensemgr.exe, certificateprovider.exe, proficypublisherservice.exe, proficysts.exe, erlsrv.exe, vmtoolsd.exe, managementagenthost.exe, vgauthservice.exe, epmd.exe, hasplmv.exe, spooler.exe, hdb.exe, ntservices.exe, n.exe, monitoringhost.exe, win32sysinfo.exe, inet_gethost.exe, taskhostw.exe, proficy administrator.exe, ntevl.exe, prproficymgr.exe, prrds.exe, prrouter.exe, prconfigmgr.exe, prgateway.exe, premailengine.exe, pralarmmgr.exe, prftpengine.exe, prcalculationmgr.exe, prprintserver.exe, prdatabasemgr.exe, preventmgr.exe, prreader.exe, prwriter.exe, prsummarymgr.exe, prstubber.exe, prschedulemgr.exe, cdm.exe, musnotificationux.exe, npmdagent.exe, client64.exe, keysvc.exe, server_eventlog.exe, proficyserver.exe, server_runtime.exe, config_api_service.exe, fnplicensingservice.exe, workflowresttest.exe, proficyclient.exe, vmacthlp.exe, msdtssrvr.exe, sqlservr.exe, msmdsrv.exe, reportingservicesservice.exe, dsmcsvc.exe, winvnc4.exe, client.exe, collwrap.exe, bluestripecollector.exe, sqlbrowser.exe, dsmcad.exe, nimcluster.exe, googleupdate.exe, smc.exe, bcrservice.exe, dbsrv9.exe, rtvscan.exe, bcreporter.exe, csadmin.exe, csdbsync.exe, csmon.exe, csauth.exe, cslog.exe, csradius.exe, cstacacs.exe, url_response.exe, vmware-converter-a.exe, vmware-converter.exe, avagent.exe, paxton.net2.clientservice.exe, paxton.net2.commsserverservice.exe, avscc.exe, prunsrv.exe, googlecrashhandler.exe, googlecrashhandler64.exe, vmwaretray.exe, nd2svc.exe, tnslsnr.exe, omtsreco.exe, oracle.exe, patrolagent.exe, scfagent_64.exe, patrolperf.exe, rscdsvc.exe, rscd.exe, pmgreader.exe, firefox.exe, chrome.exe, netsession_win.exe, pcsws.exe, pcscm.exe, cwbunnav.exe, rdrcef.exe, ndrvx.exe, ndrvs.exe, dr_serviceengine.exe, teamviewer_service.exe, sqlagent.exe, dwrcst.exe, ccm messaging.exe, zoolz.exe, agntsvc.exe, dbeng50.exe, dbsnmp.exe, encsvc.exe, excel.exe, firefoxconfig.exe, infopath.exe, isqlplussvc.exe, msaccess.exe, msftesql.exe, mspub.exe, mydesktopqos.exe, mydesktopservice.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, ocautoupds.exe, ocomm.exe, ocssd.exe, onenote.exe, outlook.exe, powerpnt.exe, sqbcoreservice.exe, sqlwriter.exe, steam.exe, synctime.exe, tbirdconfig.exe, thebat.exe, thebat64.exe, thunderbird.exe, visio.exe, winword.exe, wordpad.exe, xfssvccon.exe, tmlisten.exe, pccntmon.exe, cntaosmgr.exe, ntrtscan.exe, mbamtray.exe, qhactivedefense.exe, qhwatchdog.exe, qhsafetray.exe, avgsvc.exe, avgui.exe, v3lite.exe, v3main.exe, v3sp.exe, avastui.exe, avastsvc.exe, avguard.exe, avshadow.exe, avgnt.exe, avira.servicehost.exe, avira.systray.exe, bdagent.exe, bdredline.exe, bdss.exe, bullguardbhvscanner.exe, bullguardscanner.exe, bullguardtray.exe, bullguardupdate.exe, bullguard.exe, cmdagent.exe, cistray.exe, cis.exe, spideragent.exe, dwengine.exe, dwarkdaemon.exe, dwnetfilter.exe, a2service.exe, a2guard.exe.a2start.exe, egui.exe, ekrn.exe, fshoster32.exe, fshoster64.exe, fortisslvpndaemon.exe, fortiesnac.exe, fortiwf.exe, fortitray.exe, fchelper64.exe, fortiproxy.exe, fcappdb.exe, fcdblog.exe, avp.exe, avpui.exe, mbamservice.exe, mcsacore.exe, mcapexe.exe, mcshield.exe, mcsvhost.exe, nortonsecurity.exe, psuaservice.exe, psuamain.exe, psanhost.exe, sdrservice.exe, swc_service.exe, swi_service.exe, ssp.exe, ccsvchst.exe, smcgui.exe, coreserviceshell.exe, coreframeworkhost.exe, uiwatchdog.exe, uiseagnt.exe, paamsrv.exe, psh_svc.exe, aupdrun.exe, acaas.exe, acaegmgr.exe, acaif.exe, acais.exe, ahnsd.exe, ahnsdsv.exe, autoup.exe, v3clnsrv.exe, v3medic.exe, v3svc.exe, aflogvw.exe, ahnrpt.exe, atwsctsk.exe, v3exec.exe, v3imscn.exe, monsvcnt.exe, monsysnt.exe, aexnsrcvsvc.exe, aexsvc.exe, atrshost.exe, ctdataload.exe, aexagentuihost.exe, aexnsagent.exe, aclntusr.exe, aexswdusr.exe, pxemtftp.exe, aclient.exe, securitycenter.exe, starta.exe, stopa.exe, anvir.exe, csrss_tc.exe, ashavast.exe, ashbug.exe, ashchest.exe, ashcmd.exe, ashdisp.exe, ashenhcd.exe, ashlogv.exe, ashmaisv.exe, ashpopwz.exe, ashquick.exe, ashserv.exe, ashsimp2.exe, ashsimpl.exe, ashskpcc.exe, ashskpck.exe, ashupd.exe, ashwebsv.exe, aswdisp.exe, aswregsvr.exe, aswserv.exe, aswupdsv.exe, aswwebsv.exe, avengine.exe, afwserv.exe, avastemupdate.exe, unsecapp.exe, avgamsvr.exe, avgas.exe, avgcc32.exe, avgcc.exe, avgctrl.exe, avgdiag.exe, avgemc.exe, avgfws8.exe, avgfwsrv.exe, avginet.exe, avgmsvr.exe, avgrssvc.exe, avgscanx.exe, avgserv9.exe, avgserv.exe, avgupd.exe, avgupdln.exe, avgupsvc.exe, avgvv.exe, avgwb.dat, avgw.exe, avgwizfw.exe, guard.exe, avgcsrvx.exe, avgidsagent.exe, avgidsmonitor.exe, avgidsui.exe, avgidswatcher.exe, avgam.exe, avgnsx.exe, avgfws9.exe, avgrsx.exe, avgtray.exe, avgwdsvc.exe, sidebar.exe, avgchsvx.exe, avgcmgr.exe, avgemcx.exe, avgfws.exe, avgmfapx.exe, avgcefrend.exe, avgcsrva.exe, avgemca.exe, avgnsa.exe, avgrsa.exe, loggingserver.exe, toolbarupdater.exe, wtusystemsuport.exe, avgregcl.exe, avgsystx.exe, vprot.exe, avcenter.exe, avconfig.exe, avesvc.exe, avmailc.exe, avmcdlg.exe, avnotify.exe, avscan.exe, guardgui.exe, avadmin.exe, avfwsvc.exe, avwebgrd.exe, fwinst.exe, sysoptenginesvc.exe, bavtray.exe, bhipssvc.exe, bmrt.exe, seccenter.exe, gziface.exe, gzserv.exe, bdc.exe, bdlite.exe, bdmcon.exe, bdsubmit.exe, deloeminfs.exe, livesrv.exe, setloadorder.exe, vsserv.exe, xcommsvr.exe, bka.exe, bkavsystemserver.exe, blupro.exe, blackd.exe, blackice.exe, proutil.exe, rapapp.exe, basfipm.exe, isafe.exe, cavrid.exe, vetmsg.exe, amswmagt, caf.exe, capmuam, agt.exe, ccnfagent.exe, ccsmagtd.exe, cfftplugin.exe, cfnotsrvd.exe, cfsmsmd.exe, alert.exe, igateway.exe, inotask.exe, caantispyware.exe, caavcmdscan.exe, caav.exe, caavguiscan.exe, cafw.exe, calogdump.exe, capfaem.exe, capfsem.exe, cappactiveprotection.exe, casecuritycenter.exe, caunst.exe, cavrep.exe, cctray.exe, ccupdate.exe, isafinst.exe, itmrt_supportdiagnostics.exe, itmrtsvc.exe, itmrt_trace.exe, ppclean.exe, umxagent.exe, umxcfg.exe, umxfwhlp.exe, umxpol.exe, unvet32.exe, capfasem.exe, ccprovsp.exe, ppctlpriv.exe, casc.exe, ccschedulersvc.exe, ccsystemreport.exe, inonmsrv.exe, inoweb.exe, auth8021x.exe, krbcc32s.exe, pep.exe, realmon.exe, repmgr64.exe, csacontrol.exe, leventmgr.exe, okclient.exe, clamscan.exe, clamtray.exe, clamwin.exe, ccemflsv.exe, cssauth.exe, cavscan.exe, clps.exe, clpsla.exe, clpsls.exe, cmdinstall.exe, cfpconfig.exe, cfp.exe, cfplogvw.exe, cfpsbmit.exe, cfpupdat.exe, crashrep.exe, cpf.exe, cfpconfg.exe, csfalconservice.exe, cylanceui.exe, cylancesvc.exe, cramtray.exe, crssvc.exe, amsvc.exe, frzstate2k.exe, drwagnui.exe, drweb32.exe, drweb32w.exe, drweb386.exe, drwebcgp.exe, drwebdc.exe, drweb.exe, drwebmng.exe, drwebscd.exe, drwebupw.exe, drwebwcl.exe, drwebwin.exe, drwinst.exe, spiderml.exe, spidernt.exe, spiderui.exe, drwagntd.exe, drwupgrade.exe, drwebcom.exe, eeyeevnt.exe, retinaengine.exe, a2guard.exe, a2start.exe, administrator.exe, control_panel.exe, usergate.exe, esmagent.exe, era.exe, ppmcativedetection.exe, vettray.exe, cavtray.exe, inorpc.exe, inort.exe, ca.exe, caissdt.exe, etagent.exe, etloganalyzer.exe, etrssfeeds.exe, evtarmgr.exe, evtmgr.exe, etreporter.exe, etconsole3.exe, etwcontrolpanel.exe, useranalysis.exe, etcorrel.exe, evtprocessecfile.exe, etscheduler.exe, useractivity.exe, traptrackermgr.exe, ewidoctrl.exe, ewidoguard.exe, nslocollectorservice.exe, fmon.exe, fortifw.exe, update_task.exe, fpavserver.exe, fprottray.exe, fameh32.exe, fspex.exe, fsaa.exe, bwgo0000, fch32.exe, fih32.exe, fsaua.exe, fsav32.exe, fscuif.exe, fsdfwd.exe, fsgk32.exe, fsgk32st.exe, fsguidll.exe, fsguiexe.exe, fshdll32.exe, fsm32.exe, fsma32.exe, fsmb32.exe, fsorsp.exe, fspc.exe, fsqh.exe, fssm32.exe, setupguimngr.exe, tnbutil.exe, fsavgui.exe, gdscan.exe, avkproxy.exe, avkservice.exe, avktray.exe, avkwctl.exe, gdfirewalltray.exe, gdfwsvc.exe, endpointsecurity.exe, esecservice.exe, gfireporterservice.exe, esecagntservice.exe, rcsvcmon.exe, dolphincharge.e, dolphincharge.exe, loggetor.exe, netalertclient.exe, printdevice.exe, pwdfilthelp.exe, pthosttr.exe, hpqwmiex.exe, ntcaagent.exe, ntcadaemon.exe, ntcaservice.exe, privacyiconclient.exe, rapuisvc.exe, vpatch.exe, tclproc.exe, isscsf.exe, issdaemon.exe, kvdetech.exe, kvmonxp_2.kxp, kvmonxp.kxp, kvolself.exe, kvsrvxp_1.exe, kvsrvxp.exe, kvxp.kxp, ppppwallrun.exe, avpcc.exe, avpexec.exe, avpm.exe, avpncc.exe, avps.exe, avpupd.exe, kav.exe, kavisarv.exe, kavmm.exe, kavss.exe, kavsvc.exe, kis.exe, klnagent.exe, klswd.exe, klwtblfs.exe, kwsprod.exe, up2date.exe, klserver.exe, oespamtest.exe, kavadapterexe.exe, kavlotsingleton.exe, kavfsgt.exe, kavfsrcn.exe, kavfs.exe, kavfswp.exe, kavshell.exe, klnacserver.exe, avpdtagt.exe, netcfg.exe, kavfsscs.exe, kavtray.exe, persfw.exe, avserver.exe, winroute.exe, wrctrl.exe, kabackreport.exe, kaccore.exe, kanmcmain.exe, kastray.exe, kislive.exe, kmailmon.exe, knupdatemain.exe, kswebshield.exe, kxeserv.exe, uplive.exe, kansgui.exe, kansvr.exe, kavstart.exe, kpfwsvc.exe, kwatch.exe, kav32.exe, kissvc.exe, kpfw32.exe, system.exe, wssfcmai.exe, aawservice.exe, ad-aware2007.exe, nlsvc.exe, engineserver.exe, eventparser.exe, log_qtine.exe, mfeann.exe, nailgpip.exe, rpcserv.exe, srvmon.exe, mcagent.exe, mfemactl.exe, macmnsvc.exe, masvc.exe, masalert.exe, msssrv.exe, massrv.exe, msscli.exe, mcshld9x.exe, mgavrtcl.exe, mcappins.exe, mfecanary.exe, macompatsvc.exe, mcvsrte.exe, mfefire.exe, dao_log.exe, firesvc.exe, firetray.exe, mfeesp.exe, naprdmgr.exe, cpd.exe, mfefw.exe, frameworkservic, cmgrdian.exe, mcshell.exe, mfehcs.exe, mcinfo.exe, hwapi.exe, mcafeedatabackup.exe, mcmscsvc.exe, mcnasvc.exe, mcods.exe, mcpromgr.exe, mcproxy.exe, mcuimgr.exe, mpfsrv.exe, mpsevh.exe, mps.exe, msksrver.exe, redirsvc.exe, saservice.exe, siteadv.exe, mfemms.exe, neotrace.exe, vshwin32.exe, mpfagent.exe, mpfconsole.exe, mpf.exe, mpfservice.exe, mpftray.exe, mscifapp.exe, mfevtps.exe, qclean.exe, mcregwiz.exe, rssensor.exe, safeservice.exe, ncdaemon.exe, mcdash.exe, mcdetect.exe, ssscheduler.exe, sahookmain.exe, mskdetct.exe, msksrvr.exe, mskagent.exe, stinger.exe, mcsysmon.exe, mctskshd.exe, mfetp.exe, myagttry.exe, mcupdmgr.exe, rulaunch.exe, mcvsshld.exe, tbmon.exe, alogserv.exe, mcmnhdlr.exe, mghtml.exe, edisk.exe, scan32.exe, frameworkservice.exe, mcconsol.exe, mcscript_inuse.exe, mctray.exe, mcupdate.exe, shstat.exe, udaterui.exe, updaterui.exe, mcepoc.exe, mcepocfg.exe, mcpalmcfg.exe, mcwcecfg.exe, mcwce.exe, frameworkservic.exe, vsmain.exe, oasclnt.exe, vsstat.exe, mcvsftsn.exe, avconsol.exe, avsynmgr.exe, vstskmgr.exe, webscanx.exe, mfewc.exe, mfewch.exe, giantantispywaremain.exe, giantantispywareupdater.exe, gcasservalert.exe, gcascleaner.exe, gcasinstallhelper.exe, gcasnotice.exe, gcasdtserv.exe, gcasserv.exe, gcasswupdater.exe, fcsms.exe, fcssas.exe, nissrv.exe, dpmra.exe, msseces.exe, wscntfy.exe, securitymanager.exe, aesecurityservice.exe, deteqt.agent.exe, omniagent.exe, nerosvc.exe, seanalyzertool.exe, spyemergency.exe, spyemergencysrv.exe, nlclient.exe, crdm.exe, nmagent.exe, ehttpsrv.exe, nod32.exe, nod32krn.exe, nod32kui.exe, nod32view.exe, cclaw.exe, elogsvc.exe, nip.exe, nipsvc.exe, njeeves.exe, npfmsg2.exe, npfmsg.exe, npfsvice.exe, nrmenctb.exe, nvcoas.exe, nvcsched.exe, nymse.exe, zanda.exe, zlh.exe, ixaptsvc.exe, ixavsvc.exe, ixfwsvc.exe, emlproui.exe, emlproxy.exe, mpsvc.exe, onlinent.exe, onlnsvc.exe, scanmsg.exe, scanwscs.exe, tsansrf.exe, tsatisy.exe, tscutynt.exe, tsmpnt.exe, upschd.exe, xfilter.exe, aps.exe, aus.exe, outpost.exe, adminserver.exe, avtask.exe, clshield.exe, console.exe, cpntsrv.exe, padfsvr.exe, pasystemtray.exe, pavfnsvr.exe, pavkre.exe, pavprot.exe, pavreport.exe, pnmsrv.exe, psimsvc.exe, pavupg.exe, remupd.exe, iface.exe, pavfires.exe, pavmail.exe, pavprsrv.exe, pavsched.exe, pavsrv50.exe, pavsrv51.exe, pavsrv52.exe, prevsrv.exe, tpsrv.exe, pagent.exe, pagentwd.exe, psctris.exe, apvxdwin.exe, inicio.exe, pavbckpt.exe, pavjobs.exe, psctrls.exe, pshost.exe, psimreal.exe, pskmssvc.exe, srvload.exe, webproxy.exe, avltmain.exe, firewallgui.exe, pviewer.exe, pview.exe, pmon.exe, qoeloader.exe, fws.exe, ccenter.exe, ravxp.exe, rfwproxy.exe, rfwstub.exe, knownsvr.exe, ras.exe, rasupd.exe, upfile.exe, rstray.exe, ravalert.exe, rav.exe, ravmond.exe, ravmon.exe, ravservice.exe, ravstub.exe, ravtask.exe, ravtray.exe, ravupdate.exe, rnreport.exe, rsnetsvr.exe, scanfrm.exe, rfwmain.exe, rfwsrv.exe, winlog.exe, omslogmanager.exe, snhwsrv.exe, snicheckadm.exe, snichecksrv.exe, snicon.exe, snsrv.exe, smsx.exe, svcharge.exe, svdealer.exe, svframe.exe, svtray.exe, sschk.exe, trjscan.exe, trupd.exe, ssecuritymanager.exe, dltray.exe, dlservice.exe, almon.exe, lmon.exe, savadminservice.exe, savservice.exe, sweepsrv.sys, swnetsup.exe, alsvc.exe, alupdate.exe, savmain.exe, sav32cli.exe, certificationmanagerservicent.exe, emlibupdateagentnt.exe, managementagentnt.exe, mgntsvc.exe, routernt.exe, schdsrvc.exe, scfmanager.exe, scfservice.exe, scftray.exe, op_viewer.exe, sgbhp.exe, pctsauxs.exe, pctsgui.exe, pctssvc.exe, pctstray.exe, regmech.exe, sdtrayapp.exe, svcntaux.exe, swdsvc.exe, swnxt.exe, execstat.exe, seestat.exe, swserver.exe, slee81.exe, kpf4gui.exe, kpf4ss.exe, wrspysetup.exe, acctmgr.exe, alertsvc.exe, alunotify.exe, aluschedulersvc.exe, appsvc32.exe, ccap.exe, ccapp.exe, ccevtmgr.exe, ccproxy.exe, ccpxysvc.exe, ccsetmgr.exe, checkup.exe, cka.exe, comhost.exe, cpdclnt.exe, csinject.exe, csinsm32.exe, csinsmnt.exe, dbserv.exe, defwatch.exe, defwatch, diskmon.exe, djsnetcn.exe, doscan.exe, dwhwizrd.exe, fwcfg.exe, ghost_2.exe, ghosttray.exe, icepack.exe, idsinst.exe, ispwdsvc.exe, issvc.exe, isuac.exe, luall.exe, lucallbackproxy.exe, lucoms~1.exe, lucoms.exe, mcui32.exe, navapsvc.exe, navapw32.exe, navectrl.exe, navelog.exe, navesp.exe, navshcom.exe, navw32.exe, navwnt.exe, ndetect.exe, ngctw32.exe, ngserver.exe, nisoptui.exe, nisserv.exe, nisum.exe, nmain.exe, npfmntor.exe, nprotect.exe, npscheck.exe, npssvc.exe, nscsrvce.exe, nsctop.exe, nsmdtr.exe, olfsnt40.exe, opscan.exe, poproxy.exe, pqibrowser.exe, pqv2isvc.exe, pxeservice.exe, qdcsfs.exe, qserver.exe, reportersvc.exe, rnav.exe, savfmsesp.exe, savroam.exe, savscan.exe, savui.exe, sbserv.exe, scan, explicit.exe, semsvc.exe, sesclu.exe, sevinst.exe, smsectrl.exe, smselog.exe, smsesjm.exe, smsesp.exe, smsesrv.exe, smsetask.exe, smseui.exe, sms.exe, sndmon.exe, sndsrvc.exe, spbbcsvc.exe, symlcsvc.exe, symproxysvc.exe, symsport.exe, symtray.exe, symwsc.exe, sysdoc32.exe, ucservice.exe, updtnv28.exe, urllstck.exe, usrprmpt.exe, v2iconsole.exe, vpc32.exe, vpdn_lu.exe, vprosvc.exe, wfxctl32.exe, wfxmod32.exe, wfxsnt40.exe, lucomserver.exe, savfmselog.exe, savfmsesjm.exe, savfmsectrl.exe, savfmsespamstatsmanager.exe, savfmsesrv.exe, savfmsetask.exe, savfmseui.exe, snac.exe, ssm.exe, reportsvc.exe, vptray.exe, procexp.exe, tdimon.exe, tfun.exe, tfgui.exe, tfservice.exe, tftray.exe, tiaspn~1.exe, traflnsp.exe, asupport.exe, isntsmtp.exe, nsmdemf.exe, nsmdmon.exe, nsmdreal.exe, nsmdsch.exe, ofcdog.exe, pccnt.exe, pccntupd.exe, pcctlcom.exe, pcscnsrv.exe, schupd.exe, tmntsrv.exe, tmpfw.exe, tmproxy.exe, tmas.exe, entitymain.exe, aphost.exe, lwdmserver.exe, mrf.exe, isntsysmonitor, ofcpfwsvc.exe, dwwin.exe, patch.exe, pccclient.exe, pccguide.exe, pcclient.exe, pccpfw.exe, pcscan.exe, pntiomon.exe, pop3pack.exe, pop3trap.exe, scanmailoutlook.exe, smoutlookpack.exe, webtrapnt.exe, euqmonitor.exe, smex_activeupda, smex_master.exe, smex_remoteconf, smex_systemwatc, svcgenerichost, spntsvc.exe, stopp.exe, stwatchdog.exe, usbguard.exe, uploadrecord.exe, sbamsvc.exe, vrvmail.exe, vrvmon.exe, vrvnet.exe, vrv.exe, wrsa.exe, networkagent.exe, websensecontrolservice.exe, mpcmdrun.exe, msascui.exe, msmpeng.exe, mspmspsv.exe, kb891711.exe, zavaux.exe, zavcore.exe, zillya.exe, zlclient.exe, vsmon.exe, forcefield.exe, iswmgr.exe, zapro.exe, zonealarm.exe, mantispm.exe, GDDServer.exe

6月の亜種

avsynmgr.exe, vstskmgr.exe, webscanx.exe, c.exe, ch.exe, gcascleaner.exe, gcasnotice.exe, gcasdtserv.exe, gcasserv.exe, fcsms.exe, fcssas.exe, nissrv.exe, dpmra.exe, msseces.exe, wscntfy.exe, deteqt.agent.exeomniagent.exe, nerosvc.exe, spyemergency.exenlclient.exe, crdm.exenip.exe, nmagent.exe, ehttpsrv.exe, nod32.exe, nod32krn.exe, nod32kui.exe, nod32view.exe, cclaw.exe, elogsvc.exe, nipsvc.exe, njeeves.exe, npfmsg2.exe, npfmsg.exe, npfsvice.exe, nrmenctb.exe, nvcoas.exe, nvcsched.exe, nymse.exezlh.exezanda.exe, ixaptsvc.exe, ixavsvc.exe, ixfwsvc.exe, emlproui.exe, emlproxy.exe, mpsvc.exeaps.exeonlinent.exe, onlnsvc.exe, scanmsg.exe, scanwscs.exe, tsansrf.exe, tsatisy.exe, tscutynt.exe, tsmpnt.exe, upschd.exe, xfilter.exe, aus.exeiface.exeoutpost.exe, adminserver.exe, avtask.exe, clshield.exe, console.exe, cpntsrv.exe, padfsvr.exe, pasystemtray.exepavfnsvr.exe, pavkre.exe, pavprot.exe, pavreport.exe, pnmsrv.exe, psimsvc.exe, pavupg.exe, remupd.exe, pavfires.exe, pavmail.exe, pavprsrv.exe, pavsched.exe, pavsrv50.exe, pavsrv51.exe, pavsrv52.exe, prevsrv.exe, tpsrv.exe, pagent.exe, pagentwd.exe, psctris.exe, apvxdwin.exe, inicio.exe, pavbckpt.exe, pavjobs.exe, psctrls.exe, pshost.exe, psimreal.exe, pskmssvc.exe, srvload.exe, webproxy.exe, avltmain.exe, firewallgui.exe, pviewer.exe, pview.exe, pmon.exefws.exe, qoeloader.exe, ccenter.exe, ravxp.exeras.exerfwproxy.exe, rfwstub.exe, knownsvr.exe, rasupd.exe, upfile.exe, rstray.exe, ravalert.exe, rav.exesnsrv.exeravmond.exe, ravmon.exe, ravservice.exe, ravstub.exe, ravtask.exe, ravtray.exe, ravupdate.exe, rnreport.exe, rsnetsvr.exe, scanfrm.exe, rfwmain.exe, rfwsrv.exe, winlog.exe, snhwsrv.exe, snicheckadm.exe, snichecksrv.exe, snicon.exe, smsx.exelmon.exesvcharge.exe, svdealer.exe, svframe.exe, svtray.exe, sschk.exe, trjscan.exe, trupd.exe, dltray.exe, dlservice.exe, almon.exe, savservice.exe, sweepsrv.sys, swnetsup.exe, alsvc.exe, alupdate.exe, savmain.exe, sav32cli.exe, mgntsvc.exe, routernt.exe, schdsrvc.exe, scfmanager.exe, scfservice.exe, scftray.exe, op_viewer.exe, sgbhp.exe, pctsauxs.exe, pctsgui.exe, pctssvc.exe, pctstray.exe, regmech.exe, sdtrayapp.exe, svcntaux.exe, swdsvc.exe, swnxt.exe, execstat.exe, seestat.exe, swserver.exe, slee81.exe, kpf4gui.exe, kpf4ss.exe, wrspysetup.exe, acctmgr.exe, alertsvc.exe, alunotify.exe, appsvc32.exe, ccap.execka.exe, ccapp.exe, ccevtmgr.exe, ccproxy.exe, ccpxysvc.exe, ccsetmgr.exe, checkup.exe, comhost.exe, cpdclnt.exe, csinject.exe, csinsm32.exe, csinsmnt.exe, dbserv.exe, defwatch.exe, defwatchrnav.exediskmon.exe, djsnetcn.exe, doscan.exe, dwhwizrd.exe, fwcfg.exe, ghost_2.exe, ghosttray.exe, icepack.exe, idsinst.exe, ispwdsvc.exe, issvc.exe, isuac.exe, luall.exe, lucoms.exe, mcui32.exe, navapsvc.exe, navapw32.exe, navectrl.exe, navelog.exe, navesp.exe, navshcom.exe, navw32.exe, navwnt.exe, ndetect.exe, ngctw32.exe, ngserver.exe, nisoptui.exe, nisserv.exe, nisum.exe, nmain.exe, npfmntor.exe, nprotect.exe, npscheck.exe, npssvc.exe, nscsrvce.exe, nsctop.exe, nsmdtr.exe, olfsnt40.exe, opscan.exe, poproxy.exe, pqibrowser.exe, pqv2isvc.exe, pxeservice.exe, qdcsfs.exe, qserver.exe, reportersvc.exe, savfmsesp.exe, savroam.exe, savscan.exe, savui.exe, scansbserv.exe, explicit.exe, semsvc.exe, sesclu.exe, sevinst.exe, smsectrl.exe, smselog.exe, smsesjm.exe, smsesp.exe, smsesrv.exe, smsetask.exe, smseui.exe, sms.exevpc32.exesndmon.exe, sndsrvc.exe, spbbcsvc.exe, symlcsvc.exe, symproxysvc.exe, symsport.exe, symtray.exe, symwsc.exe, sysdoc32.exe, ucservice.exe, updtnv28.exe, urllstck.exe, usrprmpt.exe, v2iconsole.exe, vpdn_lu.exe, vprosvc.exe, wfxctl32.exe, wfxmod32.exe, wfxsnt40.exe, lucomserver.exe, savfmselog.exe, savfmsesjm.exe, savfmsectrl.exe, savfmsesrv.exe, savfmsetask.exe, savfmseui.exe, snac.exessm.exe, reportsvc.exe, vptray.exe, procexp.exe, tdimon.exe, tfun.exetmas.exetfgui.exe, tfservice.exe, tftray.exe, traflnsp.exe, asupport.exe, isntsmtp.exe, nsmdemf.exe, nsmdmon.exe, nsmdreal.exe, nsmdsch.exe, ofcdog.exe, pccnt.exe, pccntupd.exe, pcctlcom.exe, pcscnsrv.exe, schupd.exe, tmntsrv.exe, tmpfw.exe, tmproxy.exe, entitymain.exe, aphost.exe, lwdmserver.exe, mrf.exedwwin.exeisntsysmonitor, fcpfwsvc.exe, patch.exevrv.exepccclient.exe, pccguide.exe, pcclient.exe, pccpfw.exe, pcscan.exe, pntiomon.exe, pop3pack.exe, pop3trap.exe, webtrapnt.exe, euqmonitor.exe, smex_activeupda, smex_master.exe, smex_remoteconf, smex_systemwatc, svcgenerichost, spntsvc.exe, stopp.exe, stwatchdog.exe, usbguard.exe, uploadrecord.exesbamsvc.exe, vrvmail.exe, vrvmon.exe, vrvnet.exe, wrsa.exexagt.exenetworkagent.exempcmdrun.exe, msascui.exe, msmpeng.exe, mspmspsv.exe, kb891711.exe, zavaux.exe, zavcore.exe, thebat.exe, thebat64.exe, thunderbird.exe, visio.exe, winword.exe, wordpad.exe, xfssvccon.exe, tmlisten.exe, pccntmon.exe, cntaosmgr.exe, ntrtscan.exe, mbamtray.exe, qhwatchdog.exe, qhsafetray.exe, avgsvc.exe, avgui.exe, v3lite.exe, v3main.exe, avastui.exe, avastsvc.exe, avguard.exe, avshadow.exe, avgnt.exe, bdagent.exe, bdredline.exe, bdss.execis.exe, bullguard.exe, cmdagent.exe, cistray.exe, spideragent.exe, dwengine.exe, dwarkdaemon.exe, dwnetfilter.exe, a2service.exe, egui.exeekrn.exefshoster32.exe, fshoster64.exe, fortiesnac.exe, fortiwf.exe, fortitray.exe, fchelper64.exe, fortiproxy.exe, fcappdb.exe, fcdblog.exe, avp.exeavpui.exembamservice.exe, mcsacore.exe, mcapexe.exe, mcshield.exe, mcsvhost.exe, psuaservice.exe, psuamain.exe, psanhost.exe, sdrservice.exe, swc_service.exe, swi_service.exe, ssp.exeacaas.execcsvchst.exe, smcgui.exe, uiwatchdog.exe, uiseagnt.exe, paamsrv.exe, psh_svc.exe, aupdrun.exe, acaegmgr.exe, acaif.exe, acais.exe, ahnsd.exe, ahnsdsv.exe, autoup.exe, v3clnsrv.exe, v3medic.exe, v3svc.exe, aflogvw.exe, ahnrpt.exe, atwsctsk.exe, v3exec.exe, v3imscn.exe, monsvcnt.exe, monsysnt.exe, aexnsrcvsvc.exe, aexsvc.exe, atrshost.exe, ctdataload.exe, aexnsagent.exe, aclntusr.exe, aexswdusr.exe, pxemtftp.exe, aclient.exe, starta.exe, stopa.exe, anvir.exe, csrss_tc.exe, ashavast.exe, ashbug.exe, ashchest.exe, ashcmd.exe, ashdisp.exe, ashenhcd.exe, ashlogv.exe, ashmaisv.exe, ashpopwz.exe, ashquick.exe, ashserv.exe, ashsimp2.exe, ashsimpl.exe, ashskpcc.exe, ashskpck.exe, ashupd.exe, ashwebsv.exe, aswdisp.exe, aswregsvr.exe, aswserv.exe, aswupdsv.exe, aswwebsv.exe, avengine.exe, afwserv.exe, unsecapp.exe, avgamsvr.exe, avgas.exe, avgcc32.exe, avgcc.exe, avgctrl.exe, avgdiag.exe, avgemc.exe, avgfws8.exe, avgfwsrv.exe, avginet.exe, avgmsvr.exe, avgrssvc.exe, avgscanx.exe, avgserv9.exe, avgserv.exe, avgupd.exe, avgupdln.exe, avgupsvc.exe, avgvv.exe, avgwb.dat, avgw.exebmrt.exeavgwizfw.exe, guard.exe, avgcsrvx.exe, avgidsagent.exe, avgidsui.exe, avgam.exe, avgnsx.exe, avgfws9.exe, avgrsx.exe, avgtray.exe, avgwdsvc.exe, sidebar.exe, avgchsvx.exe, avgcmgr.exe, avgemcx.exe, avgfws.exe, avgmfapx.exe, avgcefrend.exe, avgcsrva.exe, avgemca.exe, avgnsa.exe, avgrsa.exe, avgregcl.exe, avgsystx.exe, vprot.exe, avcenter.exe, avconfig.exe, avesvc.exe, avmailc.exe, avmcdlg.exe, avnotify.exe, avscan.exe, guardgui.exe, avadmin.exe, avfwsvc.exe, avwebgrd.exe, fwinst.exe, bavtray.exe, bhipssvc.exe, seccenter.exe, gziface.exe, gzserv.exe, bdc.exebka.exe, bdlite.exe, bdmcon.exe, bdsubmit.exe, deloeminfs.exe, livesrv.exe, setloadorder.exevsserv.exe, xcommsvr.exe, blupro.exe, blackd.exe, blackice.exe, proutil.exe, rapapp.exe, basfipm.exe, isafe.exe, cavrid.exe, vetmsg.exe, amswmagtcaf.exe, capmuamagt.exe, ccnfagent.exe, ccsmagtd.exe, cfftplugin.exe, cfnotsrvd.exe, cfsmsmd.exe, alert.exe, igateway.exe, inotask.exe, caavcmdscan.exe, caav.execafw.execaavguiscan.exe, calogdump.exe, capfaem.exe, capfsem.exe, caunst.exe, cavrep.exe, cctray.exe, ccupdate.exe, isafinst.exe, itmrtsvc.exe, itmrt_trace.exe, ppclean.exe, umxagent.exe, umxcfg.exe, umxfwhlp.exe, umxpol.exe, unvet32.exe, capfasem.exe, ccprovsp.exe, ppctlpriv.exe, casc.exepep.exe, inonmsrv.exe, inoweb.exe, auth8021x.exe, krbcc32s.exe, realmon.exe, repmgr64.exe, csacontrol.exe, leventmgr.exe, okclient.exe, clamscan.exe, clamtray.exe, clamwin.exe, ccemflsv.exe, cssauth.exe, cavscan.exe, clps.execfp.exe, clpsla.exe, clpsls.exe, cmdinstall.exe, cfpconfig.exe, cfplogvw.exe, cfpsbmit.exe, cfpupdat.exe, crashrep.exe, cpf.exeamsvc.execfpconfg.exe, cylanceui.exe, cylancesvc.exe, cramtray.exe, crssvc.exe, frzstate2k.exe, drwagnui.exe, drweb32.exe, drweb32w.exe, drweb386.exe, drwebcgp.exe, drwebdc.exe, drweb.exeera.exedrwebmng.exe, drwebscd.exe, drwebupw.exe, drwebwcl.exe, drwebwin.exe, drwinst.exe, spiderml.exe, spidernt.exe, spiderui.exe, drwagntd.exe, drwupgrade.exe, drwebcom.exe, eeyeevnt.exe, retinaengine.exea2guard.exe, a2start.exe, usergate.exe, esmagent.exe, vettray.exe, cavtray.exe, inorpc.exe, inort.exe, ca.execaissdt.exe, etagent.exe, etrssfeeds.exe, evtarmgr.exe, evtmgr.exe, etreporter.exe, etconsole3.exe, useranalysis.exeetcorrel.exe, etscheduler.exe, useractivity.exeewidoctrl.exe, ewidoguard.exe, fmon.exefsaa.exefortifw.exe, update_task.exe, fpavserver.exe, fprottray.exe, fameh32.exe, fspex.exe, bwgo0000fspc.exefch32.exe, fih32.exe, fsaua.exe, fsav32.exe, fscuif.exe, fsdfwd.exe, fsgk32.exe, fsgk32st.exe, fsguidll.exe, fsguiexe.exe, fshdll32.exe, fsm32.exe, fsma32.exe, fsmb32.exe, fsorsp.exe, fsqh.exekvxp.kxpfssm32.exe, setupguimngr.exetnbutil.exe, fsavgui.exe, gdscan.exe, avkproxy.exe, avkservice.exe, avktray.exe, avkwctl.exe, gdfwsvc.exe, esecservice.exe, rcsvcmon.exe, dolphincharge.e, loggetor.exe, printdevice.exe, pwdfilthelp.exe, pthosttr.exe, hpqwmiex.exe, ntcaagent.exe, ntcadaemon.exe, ntcaservice.exe, rapuisvc.exe, vpatch.exe, tclproc.exe, isscsf.exe, issdaemon.exe, kvdetech.exe, kvmonxp_2.kxp, kvmonxp.kxp, kvolself.exe, kvsrvxp_1.exe, kvsrvxp.exe, ppppwallrun.exe, avpcc.exe, avpexec.exe, avpm.exeavps.exeavpncc.exe, avpupd.exe, kav.exekavmm.exekavisarv.exe, kavss.exekis.exekavsvc.exe, klnagent.exe, klswd.execpd.exeklwtblfs.exe, kwsprod.exe, up2date.exe, klserver.exe, oespamtest.exe, kavfsgt.exe, kavfsrcn.exe, kavfs.exe, kavfswp.exe, kavshell.exe, klnacserver.exe, avpdtagt.exe, netcfg.exe, kavfsscs.exe, kavtray.exe, persfw.exe, avserver.exe, winroute.exe, wrctrl.exe, kabackreport.exekaccore.exe, kanmcmain.exe, kastray.exe, kislive.exe, kmailmon.exe, knupdatemain.exekswebshield.exe, kxeserv.exe, uplive.exe, kansgui.exe, kansvr.exe, kavstart.exe, kpfwsvc.exe, kwatch.exe, kav32.exe, kissvc.exe, kpfw32.exe, system.exe, wssfcmai.exe, aawservice.exe, engineserver.exeeventparser.exe, log_qtine.exe, mfeann.exe, nailgpip.exe, rpcserv.exe, srvmon.exe, mcagent.exe, mfemactl.exe, macmnsvc.exe, masvc.exe, masalert.exe, msssrv.exe, massrv.exe, msscli.exe, mcshld9x.exe, mgavrtcl.exe, mcappins.exe, mfecanary.exe, macompatsvc.exe, mcvsrte.exe, mfefire.exe, dao_log.exe, firesvc.exe, firetray.exe, mfeesp.exe, naprdmgr.exe, mfefw.exemps.exeframeworkservic, cmgrdian.exe, mcshell.exe, mfehcs.exe, mcinfo.exe, hwapi.exe, mcmscsvc.exe, mcnasvc.exe, mcods.exe, mcpromgr.exe, mcproxy.exe, mcuimgr.exe, mpfsrv.exe, mpsevh.exe, msksrver.exe, redirsvc.exe, saservice.exe, siteadv.exe, mfemms.exe, neotrace.exe, vshwin32.exe, mpfagent.exe, mpfconsole.exe, mpf.exemfetp.exempfservice.exe, mpftray.exe, mscifapp.exe, mfevtps.exe, qclean.exe, mcregwiz.exe, rssensor.exe, safeservice.exe, ncdaemon.exe, mcdash.exe, mcdetect.exe, ssscheduler.exe, sahookmain.exe, mskdetct.exe, msksrvr.exe, mskagent.exe, stinger.exe, mcsysmon.exe, mctskshd.exe, myagttry.exe, mcupdmgr.exe, rulaunch.exe, mcvsshld.exe, tbmon.exe, alogserv.exe, mcmnhdlr.exe, mghtml.exe, edisk.exe, scan32.exe, mcconsol.exe, mctray.exe, mcupdate.exe, shstat.exe, udaterui.exe, updaterui.exe, mcepoc.exe, mcepocfg.exe, mcpalmcfg.exe, mcwcecfg.exe, mcwce.exe, vsmain.exe, oasclnt.exe, vsstat.exe, mcvsftsn.exe, avconsol.exe, kavlotsingleton.exe, mcafeedatabackup.exe, frameworkservice.exe, mcscript_inuse.exe, frameworkservic.exe, giantantispywaremain.exe, giantantispywareupdater.exe, gcasservalert.exe, gcasinstallhelper.exe, gcasswupdater.exe, securitymanager.exe, aesecurityservice.exe, seanalyzertool.exe, spyemergencysrv.exe, omslogmanager.exe, ssecuritymanager.exe, savadminservice.exe, emlibupdateagentnt.exe, managementagentnt.exe, aluschedulersvc.exe, lucallbackproxy.exe, savfmsespamstatsmanager.exe, scanmailoutlook.exe, smoutlookpack.exe, websensecontrolservice.exe


添付資料C:標的となる拡張子

両方の亜種

.docx, .accdb, .accde, .accdr, .accdt, .asp, .aspx, .back, .backup, .backupdb, .bak, .mdb, .mdc, .mdf, .war, .xls, .xlsx, .xlsm, .xlr, .zip, .rar, .sqlitedb, .sql, .py, .ppam, .pps, .ppsm, .ppsx, .ppt, pptm, .pptx, .hpp, .java, .jsp, .php, .doc, .docm, .pst, .psd, .dot, dotm, .cpp, .cs, .csv, .bkp, .db, .db-journal, .csproj, .sln, .md, .pl, .js, .html, .htm, .dbf, .rdo, .arc, .vhd, .vmdk, .vdi, .vhdx, .edb, .c, .h


FortiGuard Labsは、この調査で明らかになった結果をCyber Threat Allianceの他のメンバーにも共有しました。CTAメンバーは顧客への迅速な保護機能の導入とサイバー攻撃の組織的妨害のためにこのインテリジェンスを活用しています。Cyber Threat Allianceの詳細については、cyberthreatalliance.orgをご覧ください。

FortiGuard Labsの脅威リサーチ、およびFortiGuardセキュリティサブスクリプション / サービスのポートフォリオについて、詳細をご覧ください。FortiGuard Labs Weekly Threat Brief(英文)の購読は、こちらからお申込みいただけます。