Trojan.LNK.EMOTET.BB
Trojan:PowerShell/BynocoLNK.BEOE!MTB (MICROSOFT)
Windows
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のフォルダを追加します。
- %AppDataLocal%\BEhFcGmnp
(註:%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。)
マルウェアは、以下のプロセスを追加します。
- "%System%\cmd.exe" /v:on /c {encoded base 64}||goto&p^o^w^e^r^s^h^e^l^l.e^x^e -c "&{$kRMaFO='{encoded base 64}';$hLTAQy='{encoded base 64}';$RY=[System.Convert]::FromBase64String($kRMaFO+$hLTAQy);$vZ=[System.Text.Encoding]::ASCII.GetString($RY); iex ($vZ)}"
- powershell.exe -c "&{$kRMaFO='{encoded base 64}';$hLTAQy='{encoded base 64}';$RY=[System.Convert]::FromBase64String($kRMaFO+$hLTAQy);$vZ=[System.Text.Encoding]::ASCII.GetString($RY); iex ($vZ)}"
- "%System%\regsvr32.exe" %User Temp%\..\BEhFcGmnp\IfcziNlbBL.EnA
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)
ダウンロード活動
マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。
- %AppDataLocal%\BEhFcGmnp\IfcziNlbBL.EnA
(註:%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。)
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- http://{BLOCKED}-shoshi.main.jp/yamada-shoshi/lg1/
- http://{BLOCKED}ign.nl/libraries/c8NvFU14/
- https://{BLOCKED}ation-esisa.fr/css/iU2SYlfYxsk/
- http://{BLOCKED}g.uz/Docs/1kj8refeLdotQee2f/
- http://{BLOCKED}imarlik.com.tr/wp-admin/9IW7L1gKwWOoNQREJ6/
- http://{BLOCKED}lustphtravel.com/cgi-bin/QphfoQq4t/