セントボットマルウェアを削除する方法

Saint Bot Malwareは小さなマルウェアであり、COVID-19統計の人気に便乗した電子メールスパムキャンペーンで最初に発見されました。このキャンペーンは2020年の終わり近くに行われ、悪意のあるドキュメントが配布され、マクロスクリプトを悪用してSaint BotMalwareを展開および実行しました。ただし、最近のキャンペーンはより広く普及しているようで、今回は別のトピックを取り上げています。今回、Saint Bot Malwareの背後にいる犯罪者は、ビットコインウォレットへのアクセスが許可されていることを受信者に伝えることを選択しました。詐欺メールによると、ウォレットに保存されているビットコインにアクセスするには、ユーザーはアーカイブをダウンロードして解凍する必要があります。ただし、アーカイブには難読化されたPowerShellスクリプトが含まれています。このスクリプトは、Windowsにリモートの場所から実行可能ファイルをダウンロードして起動するように指示します。このアクションの結果、％TEMP％フォルダーに保存されている悪意のある「WindowsUpdate.exe」ファイルが作成されます。

しかし、インストールされた後のSaint Bot Malwareは何をしますか？この脅威は、侵害されたシステムに追加のマルウェアを展開するという目的を果たします。これは、休止状態を維持し、コマンドアンドコントロールサーバーからさらに命令が来るのを待つことができる第1段階のペイロードとして使用される可能性があります。 Saint Bot Malwareの構成によっては、悪意のあるプロセスを別の名前で偽装する可能性があります。通常、偽のプロセス「EhStorAurhn.exe」を使用しているようです。

Saint Bot Malwareがサポートするコマンドのリストは非常に少ないですが、他の危険な脅威をインストールする機能をオペレーターに提供するには十分です。彼らは、Saint Bot Malwareのすべてのアクティブなインスタンスに、事前定義されたURLからファイルをダウンロードして実行するように、またペイロードを更新するか、ダウンローダーをアンインストールするように命令できます。

Saint Bot Malwareは最も洗練されたプロジェクトではありませんが、サイバーセキュリティの専門家は、特定の種類のターゲットを回避する機能があると述べています。まず、感染したシステムのデフォルトの言語構成をチェックします。ロシア、ウクライナ、ベラルーシ、アルメニア、カザフスタン、ルーマニア、またはモルドバに属している場合、攻撃は続行されません。他のトロイの木馬ダウンローダーと同様に、仮想環境で一般的な文字列がないかレジストリエントリとシステムドライバもチェックします。このように、Saint Bot Malwareのような脅威は、マルウェア分析に使用される制御された環境を回避しようとします。

Saint Bot Malwareがどれほど洗練されていても、停止するのは難しくありませんのでご安心ください。あなたがする必要があるのは、常に評判の良いマルウェア対策ソフトウェアスイートを使用することです。