解析者: Khristian Joseph Morales   
 別名:

Trojan:PowerShell/BynocoLNK.BEOE!MTB (MICROSOFT)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 2,638 bytes
タイプ LNK
メモリ常駐 なし
発見日 2022年5月19日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のフォルダを追加します。

  • %AppDataLocal%\BEhFcGmnp

(註:%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。)

マルウェアは、以下のプロセスを追加します。

  • "%System%\cmd.exe" /v:on /c {encoded base 64}||goto&p^o^w^e^r^s^h^e^l^l.e^x^e -c "&{$kRMaFO='{encoded base 64}';$hLTAQy='{encoded base 64}';$RY=[System.Convert]::FromBase64String($kRMaFO+$hLTAQy);$vZ=[System.Text.Encoding]::ASCII.GetString($RY); iex ($vZ)}"
  • powershell.exe -c "&{$kRMaFO='{encoded base 64}';$hLTAQy='{encoded base 64}';$RY=[System.Convert]::FromBase64String($kRMaFO+$hLTAQy);$vZ=[System.Text.Encoding]::ASCII.GetString($RY); iex ($vZ)}"
  • "%System%\regsvr32.exe" %User Temp%\..\BEhFcGmnp\IfcziNlbBL.EnA

(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)

ダウンロード活動

マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。

  • %AppDataLocal%\BEhFcGmnp\IfcziNlbBL.EnA

(註:%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。)

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

  • http://{BLOCKED}-shoshi.main.jp/yamada-shoshi/lg1/
  • http://{BLOCKED}ign.nl/libraries/c8NvFU14/
  • https://{BLOCKED}ation-esisa.fr/css/iU2SYlfYxsk/
  • http://{BLOCKED}g.uz/Docs/1kj8refeLdotQee2f/
  • http://{BLOCKED}imarlik.com.tr/wp-admin/9IW7L1gKwWOoNQREJ6/
  • http://{BLOCKED}lustphtravel.com/cgi-bin/QphfoQq4t/