ValleyRATとは?
ValleyRATは 多段階リモートアクセス型トロイの木馬 (ねずみ), 初期に初めて検出された 2023, 攻撃者が侵入したWindowsシステムを秘密裏に制御できるようにする. モジュール式の, ステルスアーキテクチャによりメモリ内で完全に実行可能, 従来のセキュリティツールを回避できるようになる. これは、中国を拠点とするAPTグループによるものとされることが多い。 シルバーフォックス.
ValleyRATマルウェアの概要
名前 | ValleyRATマルウェア |
タイプ | トロイの木馬 / マルウェア感染 |
簡単な説明 | モジュール式で高度に洗練された; 完全にメモリ内で実行される; APTグループSilver Foxによるものとされる. |
配布方法 | フィッシングメッセージやマルウェアに感染したファイルなどの一般的な感染方法. |
除去ツール |
システムがマルウェアの影響を受けているかどうかを確認する
ダウンロード
マルウェア除去ツール
|
コア機能
- システム制御 & 監視: キーロガー, スクリーンショットをキャプチャする, システムプロセスのシャットダウン, イベントログのクリア.
- 回避テクニック: メモリ内シェルコード, Douyinなどの合法的な中国アプリケーションを介したDLLサイドローディング, WeChatやDingTalkのようなアプリのレジストリベースのキルスイッチ.
- 永続性: スケジュールされたタスクの使用, スタートアップフォルダのエントリ, 自動昇格機能の悪用
eventvwr.msc
UACバイパス用. - 配送方法: フィッシングキャンペーン, トロイの木馬化されたソフトウェアインストーラー, 正規のバイナリの悪用, レジストリエントリに隠されたコマンドアンドコントロール通信.
ValleyRAT が関与する最新の攻撃キャンペーン
1. 「自分の脆弱なドライバーを連れてこい」攻撃 (5月~9月 2025)
洗練されたシルバーフォックスキャンペーンは、 Microsoft 署名済みだが脆弱な WatchDog ドライバ. 攻撃者はこれを利用してエンドポイント保護を無効にし、最終的なペイロードとしてValleyRATを密かに配信した。. 攻撃チェーンは分析対策チェックをバンドルしていた, 組み込みドライバー, ウイルス対策キラーロジック, ValleyRAT DLLダウンローダーを単一のローダーに統合. マイクロソフトがドライバーにパッチを当てた後, 攻撃者はブロックリストを回避し、 シングルバイト タイムスタンプフィールド, ハッシュを変更しながら署名を保存する.
2. PNGPlug Loader キャンペーン (1月 2025)
多段階の配送方法と呼ばれる PNGプラグ 中国語圏に広く普及した. それは、正規のソフトウェアを装った悪質なMSIファイルのインストールをユーザーに促すフィッシングページから始まった。. MSIは無害なアプリを展開した, 隠されたアーカイブを解読した, ValleyRATのコンポーネント(DLLや偽装されたPNGファイルなど)を直接メモリにロードし、実行と永続化を実現した。.
3. 偽のGoogle Chromeインストーラー (早い 2025)
攻撃者はGoogle Chromeのダウンロードを装った悪質なインストーラーを配布した. これらの偽インストーラーはDLLインジェクション技術を使用してValleyRATを配信しました。, システムプロセスへの注入など svchost.exe
. Douyinなどの合法的なアプリや特定のゲームバイナリが検出を回避するために悪用された, マルウェアは完全にメモリ内で実行される.
4. 医療および重要なソフトウェアにおけるトロイの木馬 (六月 2025)
シルバーフォックスはターゲットを 公共部門と 健康管理 偽の医療ソフトウェアやビューアなどのトロイの木馬化されたアプリケーションにValleyRATを埋め込むことで. マルウェアはクラウドストレージサービス上にホストされていた, カーネルレベルのドライバーを使用してウイルス対策ツールを無効にします, スケジュールされたタスクとDefenderの除外を通じて永続性を確立. 次の段階では、キーロガーや クリプトマイナー.
これが重要な理由
- 進化するステルス: メモリ常駐実行, 署名されたドライバーの虐待, 信頼できるインストーラーの使用により検出が非常に困難になります.
- 洗練されたインフラ: Silver Foxは、SEOポイズニングやフィッシングからクラウドホスト型ペイロードまで、強力な運用能力を発揮しています。.
- ターゲットの多様性: キャンペーンは現在、金融専門家にまで広がっています, 公共部門, 健康管理, 企業の役割は、範囲と野心の両方において拡大していることを示しています。.
- 適応的な対策が必要: 組織は、事後的な検出から 先制防御, 堅牢なEDR/XDRの実装, ドライバーの許可リスト, 行動分析, メモリ監視.
ValleyRATマルウェアの除去
ValleyRATを削除するには、そのステルス的な持続メカニズムのため、自動化されたセキュリティツールと手動の修復手順の組み合わせが必要です。.
最初のステップは、感染したシステムをネットワークから切断し、コマンドアンドコントロールサーバーとの通信を遮断することです。. 次, メモリ常駐型マルウェアや悪意のあるドライバを検出できる最新のエンドポイント保護またはEDR/XDRソリューションを使用して、システム全体のスキャンを実行します。. ValleyRATはDLLサイドローディングと脆弱なドライバの悪用を頻繁に行うため, 実行中のプロセスを確認することが重要, スケジュールされたタスク, 不正な永続化メカニズムのレジストリエントリ.
どれでも トロイの木馬化されたソフトウェア (偽インストーラーなど) 削除する必要があります, 信頼できるソースから再インストールされた正規のアプリケーション.
掃除後, 最新のWindowsアップデートを適用する, ドライバーパッチ, 脆弱なドライバーの持ち込みをブロックするためのセキュリティ設定 (BYOVD) ベクター. 最も重要なこと, 専門家に確認して, 継続的に更新されるマルウェア対策ソリューションがインストールされ、常にアクティブになっています, 再感染に対する最初の防御線となり、重大な損害を引き起こす前に進化する脅威を検出できるため.
ついに, 横方向の移動を特定するために、完全な脅威ハンティングとフォレンジック調査を実施する, 盗み出されたデータ, または追加のペイロード, 再侵害を防ぐために資格情報をリセットする.
Preparation before removing ValleyRAT Malware.
実際の除去プロセスを開始する前に, 次の準備手順を実行することをお勧めします.
- これらの指示が常に開いていて、目の前にあることを確認してください.
- すべてのファイルのバックアップを作成します, 破損したとしても. クラウドバックアップソリューションを使用してデータをバックアップし、あらゆる種類の損失に対してファイルを保証する必要があります, 最も深刻な脅威からでも.
- これにはしばらく時間がかかる可能性があるため、しばらくお待ちください.
- マルウェアのスキャン
- レジストリを修正する
- ウイルスファイルを削除する
ステップ 1: Scan for ValleyRAT Malware with SpyHunter Anti-Malware Tool
ステップ 2: レジストリをクリーンアップします, created by ValleyRAT Malware on your computer.
通常対象となるWindowsマシンのレジストリは次のとおりです。:
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunOnce
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion RunOnce
これらにアクセスするには、Windowsレジストリエディタを開き、値を削除します。, created by ValleyRAT Malware there. これは、以下の手順に従うことで発生する可能性があります:



ステップ 3: Find virus files created by ValleyRAT Malware on your PC.
1.Windowsの場合 8, 8.1 と 10.
新しいWindowsオペレーティングシステムの場合
1: キーボードで押す + R そして書く explorer.exe の中に 走る テキストボックスをクリックしてから、 Ok ボタン.
2: クリック あなたのPC クイックアクセスバーから. これは通常、モニター付きのアイコンであり、その名前は次のいずれかです。 "私のコンピューター", 「私のPC」 また 「このPC」 またはあなたがそれに名前を付けたものは何でも.
3: PC の画面の右上にある検索ボックスに移動し、次のように入力します。 「fileextension:」 と その後、ファイル拡張子を入力します. 悪意のある実行可能ファイルを探している場合, 例は "fileextension:EXE". それをした後, スペースを残して、マルウェアが作成したと思われるファイル名を入力します. ファイルが見つかった場合の表示方法は次のとおりです:
NB. We recommend to wait for the green loading bar in the navigation box to fill up in case the PC is looking for the file and hasn't found it yet.
2.WindowsXPの場合, ビスタ, と 7.
古いWindowsオペレーティングシステムの場合
古い Windows OS では、従来のアプローチが有効なはずです:
1: クリックしてください スタートメニュー アイコン (通常は左下にあります) 次に、 探す 好み.
2: 検索ウィンドウが表示された後, 選ぶ より高度なオプション 検索アシスタントボックスから. 別の方法は、をクリックすることです すべてのファイルとフォルダ.
3: その後、探しているファイルの名前を入力し、[検索]ボタンをクリックします. これには時間がかかる場合があり、その後結果が表示されます. 悪意のあるファイルを見つけた場合, あなたはその場所をコピーまたは開くことができます 右クリック その上に.
これで、ハードドライブ上にあり、特別なソフトウェアによって隠されていない限り、Windows上の任意のファイルを検出できるはずです。.
ValleyRAT Malware FAQ
What Does ValleyRAT Malware Trojan Do?
The ValleyRAT Malware トロイの木馬 悪意のあるコンピュータプログラムです 破壊するように設計された, ダメージ, または不正アクセスを取得する コンピュータシステムに. 機密データを盗むために使用できます, システムを支配する, または他の悪意のある活動を開始する.
トロイの木馬はパスワードを盗むことができますか?
はい, トロイの木馬, like ValleyRAT Malware, パスワードを盗むことができます. これらの悪意のあるプログラム are designed to gain access to a user's computer, 被害者をスパイ 銀行口座の詳細やパスワードなどの機密情報を盗む.
Can ValleyRAT Malware Trojan Hide Itself?
はい, できる. トロイの木馬は、さまざまな手法を使用して自分自身を隠すことができます, ルートキットを含む, 暗号化, と 難読化, セキュリティスキャナーから隠れて検出を回避するため.
トロイの木馬は工場出荷時設定にリセットすることで削除できますか?
はい, トロイの木馬はデバイスを出荷時設定にリセットすることで削除できます. これは、デバイスを元の状態に復元するためです。, インストールされている可能性のある悪意のあるソフトウェアを排除する. 工場出荷時設定にリセットした後でもバックドアを残して再感染する、より洗練されたトロイの木馬があることに留意してください。.
Can ValleyRAT Malware Trojan Infect WiFi?
はい, トロイの木馬が WiFi ネットワークに感染する可能性があります. ユーザーが感染したネットワークに接続したとき, このトロイの木馬は、接続されている他のデバイスに拡散し、ネットワーク上の機密情報にアクセスできます。.
トロイの木馬は削除できますか?
はい, トロイの木馬は削除可能. これは通常、悪意のあるファイルを検出して削除するように設計された強力なウイルス対策プログラムまたはマルウェア対策プログラムを実行することによって行われます。. ある場合には, トロイの木馬を手動で削除する必要がある場合もあります.
トロイの木馬はファイルを盗むことができますか?
はい, トロイの木馬がコンピュータにインストールされている場合、ファイルを盗むことができます. これは、 マルウェア作成者 またはユーザーがコンピュータにアクセスして、そこに保存されているファイルを盗む.
トロイの木馬を削除できるマルウェア対策?
などのマルウェア対策プログラム スパイハンター トロイの木馬をスキャンしてコンピュータから削除することができます. マルウェア対策を最新の状態に保ち、悪意のあるソフトウェアがないかシステムを定期的にスキャンすることが重要です.
トロイの木馬は USB に感染する可能性があります?
はい, トロイの木馬は感染する可能性があります USB デバイス. USB トロイの木馬 通常、悪意のあるファイルをインターネットからダウンロードしたり、電子メールで共有したりすることで拡散します。, allowing the hacker to gain access to a user's confidential data.
About the ValleyRAT Malware Research
SensorsTechForum.comで公開するコンテンツ, this ValleyRAT Malware how-to removal guide included, 広範な研究の結果です, 特定のトロイの木馬の問題を取り除くためのハードワークと私たちのチームの献身.
How did we conduct the research on ValleyRAT Malware?
私たちの調査は独立した調査に基づいていることに注意してください. 私たちは独立したセキュリティ研究者と連絡を取り合っています, そのおかげで、最新のマルウェア定義に関する最新情報を毎日受け取ることができます, さまざまな種類のトロイの木馬を含む (バックドア, ダウンローダー, infostealer, 身代金, 等)
さらに, the research behind the ValleyRAT Malware threat is backed with VirusTotal.
トロイの木馬によってもたらされる脅威をよりよく理解するため, 知識のある詳細を提供する以下の記事を参照してください.