TROJ_EMOTET.AA
VirTool:Win32/CeeInject.gen!KK (Microsoft), W32/Agent.CQEP!tr.bdr (Fortinet)
Windows
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。
- %Application Data%\Identities\{random filename}.exe
(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.)
マルウェアは、以下のファイルを作成します。
- %Application Data%\ms{random number}.bat
(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.)
自動実行方法
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random filename}.exe = "%Application Data%\Identities\{random filename}.exe"
他のシステム変更
マルウェアは、以下のレジストリキーを追加します。
HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications
HKEY_CURRENT_USER\Software\Netscape\
5.0\682a6c2d\{character}682a6c2d
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- http://{BLOCKED}6.{BLOCKED}4.164.25/682a6c2d/2f59ea79
- http://{BLOCKED}9.{BLOCKED}5.129.70/682a6c2d/2f59ea79
- http://{BLOCKED}6.{BLOCKED}8.144.80/682a6c2d/2f59ea79
- {pseudorandom domain}.eu