Trojan.BAT.GONNACOPE.A

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ただし、情報公開日現在、このWebサイトにはアクセスできません。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• %System Root%\downloader.vbs
• {Malware Path}\msg.vbs
• %Windows%\GonnaCope.bat

(註：%System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.. %Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

マルウェアは、以下のプロセスを追加します。

• net stop Security Center・
• netsh firewall set opmode mode=disable
• tskill /A av*
• tskill /A fire*
• tskill /A anti*
• tskill /A spy*
• tskill /A bullguard
• tskill /A PersFw
• tskill /A KAV*
• tskill /A ZONEALARM
• tskill /A SAFEWEB
• tskill /A OUTPOST
• tskill /A nv*
• tskill /A nav*
• tskill /A F-*
• tskill /A ESAFE
• tskill /A cle
• tskill /A BLACKICE
• tskill /A def*
• tskill /A kav
• tskill /A kav*
• tskill /A avg*
• tskill /A ash*
• tskill /A aswupdsv
• tskill /A ewid*
• tskill /A guard*
• tskill /A guar*
• tskill /A gcasDt*
• tskill /A msmp*
• tskill /A mcafe*
• tskill /A mghtml
• tskill /A msiexec
• tskill /A outpost
• tskill /A isafe
• tskill /A zap*
• tskill /A zauinst
• tskill /A upd*
• tskill /A zlclien*
• tskill /A minilog
• tskill /A cc*
• tskill /A norton*
• tskill /A norton au*
• tskill /A ccc*
• tskill /A npfmn*
• tskill /A loge*
• tskill /A nisum*
• tskill /A issvc
• tskill /A tmp*
• tskill /A mbamgui.exe
• tskill /A tmn*
• tskill /A pcc*
• tskill /A cpd*
• tskill /A pop*
• tskill /A pav*
• tskill /A padmin
• tskill /A panda*
• tskill /A avsch*
• tskill /A sche*
• tskill /A syman*
• tskill /A virus*
• tskill /A realm*
• tskill /A sweep*
• tskill /A scan*
• tskill /A ad-*
• tskill /A safe*
• tskill /A avas*
• tskill /A norm*
• tskill /A offg*
• net stop "WinDefend"
• taskkill /f /t /im "MSASCui.exe"
• net stop "security center"
• net stop sharedaccess
• netsh firewall set opmode mode-disable
• reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_SZ /d 1 /f
• "%System%\WScript.exe" "%System Root%\downloader.vbs"
• ping 127.0.0.1 -n 6
• RUNDLL32 USER32.DLL,SwapMouseButton
• "%System%\WScript.exe" "%System Root%\downloader.vbs"
• %Windows%\GonnaCope.bat
• %Application Data%\GonnaCopeDL.exe

(註：%System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.. %Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.. %Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
AVAADA = %Windows%\GonnaCope.bat

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
AVAADA = %Windows%\GonnaCope.bat

他のシステム変更

マルウェアは、以下のファイルを改変します。

• %Windows%\system.ini
• %Windows%\win.ini

(註：%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

マルウェアは、以下のファイルを削除します。

• %Program Files%\alwils~1\avast4\*.*
• %Program Files%\Lavasoft\Ad-awa~1\*.exe
• %Program Files%\kasper~1\*.exe
• %Program Files%\trojan~1\*.exe
• %Program Files%\f-prot95\*.dll
• %Program Files%\tbav\*.dat
• %Program Files%\avpersonal\*.vdf
• %Program Files%\Norton~1\*.cnt
• %Program Files%\Mcafee\*.*
• %Program Files%\Norton~1\Norton~1\Norton~3\*.*
• %Program Files%\Norton~1\Norton~1\speedd~1\*.*
• %Program Files%\Norton~1\Norton~1\*.*
• %Program Files%\Norton~1\*.*
• %Program Files%\avgamsr\*.exe
• %Program Files%\avgamsvr\*.exe
• %Program Files%\avgemc\*.exe
• %Program Files%\avgcc\*.exe
• %Program Files%\avgupsvc\*.exe
• %Program Files%\grisoft
• %Program Files%\nood32krn\*.exe
• %Program Files%\nood32\*.exe
• %Program Files%\nod32
• %Program Files%\nood32
• %Program Files%\kav\*.exe
• %Program Files%\kavmm\*.exe
• %Program Files%\kaspersky\*.*
• %Program Files%\ewidoctrl\*.exe
• %Program Files%\guard\*.exe
• %Program Files%\ewido\*.exe
• %Program Files%\pavprsrv\*.exe
• %Program Files%\pavprot\*.exe
• %Program Files%\avengine\*.exe
• %Program Files%\apvxdwin\*.exe
• %Program Files%\webproxy\*.exe
• %Program Files%\panda software\*.*

(註：%Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。C:\Program Files in Windows 2000(32-bit)、Server 2003(32-bit)、XP、Vista(64-bit)、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)、8.1(64-bit)、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files（x86）" です。)

ダウンロード活動

マルウェアは、以下のWebサイトにアクセスして自身の環境設定ファイルをダウンロードします。

• https://cdn.{BLOCKED}dapp.com/attachments/962439896386142310/964283398518603836/GonnaCopeDL.exe

マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。

• %Application Data%/GonnaCopeDL.exe

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

アドウェア活動

マルウェアは、保存されている以下のEメール認証情報を収集します。

• Microsoft Outlook → gathers email addresses

その他

マルウェアは、以下を実行します。

• It swaps/reverses the left and right mouse buttons function.
• It sends the following email to the gathered email addresses:
  
  • Subject: Is this you?
  • Body: Man that has got to be embarrassing!
  • Attachment: %System%\mail.vbs
• It displays the following message box:
  
  • Message box title: ---------------------------
  • Message box content: GONNA COPE?"
• It stops the following services:
  
  • SDRSVC
  • security center
  • sharedaccess
  • WinDefend
  • wuauserv

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

ただし、情報公開日現在、このWebサイトにはアクセスできません。