TrojanSpy.MSIL.AZORULT.BV

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェアは、フォルダを作成し、このフォルダ内に自身のファイルを作成します。

スパイウェアは、特定のレジストリ値を変更し、セキュリティセンター機能を無効にします。これにより、スパイウェアは自身を検出されることなく不正活動を実行することが可能になります。

スパイウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。

ただし、情報公開日現在、このWebサイトにはアクセスできません。

スパイウェアは、仮想環境内で実行されると、自身の活動を終了します。

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、以下のフォルダを追加します。

• %User Temp%\{random characters}
• %User Temp%\{randomly generated unique id}

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

スパイウェアは、以下のファイルを作成します。

• %User Temp%\{randomly generated unique id}\test.bat → detected as Trojan.BAT.AZORULT.BVV

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

スパイウェアは、以下のプロセスを追加します。

• powershell.exe Add-MpPreference -ExclusionPath "{Malware path and name}" -Force
• "{Malware path and name}"
• If download is successful:
  • "%User Temp%\{random characters}\AdvancedRun.exe" "/EXEFilename \"%User Temp%\{random characters}\test.bat\" /WindowState \"\"0\"\" /PriorityClass \"\"32\"\" /CommandLine \"\" /StartDirectory \"\" /RunAs 8 /Run"

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

スパイウェアは、フォルダを作成し、このフォルダ内に自身のファイルを作成します。

スパイウェアは、以下のプロセスにコードを組み込みます。

• "{Malware path and name}"

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{Malware name} = {Malware path and name}

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon
shell = explorer.exe,"{Malware path and name}"

スパイウェアは、Windows起動時に自動実行されるよう＜User Startup＞フォルダ内に以下のファイルを作成します。

• %User Startup%\{Malware path and name}

(註：%User Startup%フォルダは、現在ログオンしているユーザのスタートアップフォルダです。Windows 98およびMEの場合、通常 "C:\Windows\Profiles\＜ユーザ名＞\Start Menu\Programs\Startup" です。Windows NTの場合、通常 "C:\WINNT\Profiles\＜ユーザ名＞\Start Menu\Programs\Startup" です。Windows 2003(32-bit)、XP、2000(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Start Menu\Programs\Startup" です。Windows Vista、7、8、 8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。)

他のシステム変更

スパイウェアは、以下のレジストリ値を変更し、セキュリティセンター機能を無効にします。

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows Defender
DisableAntiSpyware = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows Defender\Real-Time Protection
DisableBehaviorMonitoring = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows Defender\Real-Time Protection
DisableOnAccessProtection = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows Defender\Real-Time Protection
DisableScanOnRealtimeEnable = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender\Features
SpyNetReporting = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender\Features
SubmitSamplesConsent = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows Defender\Features
TamperProtection = 0

バックドア活動

スパイウェアは、不正リモートユーザからの以下のコマンドを実行します。

• Terminate self
• Delete self
• Enable information theft options
• Collect IP and location
• Download and load modules
• Download and execute a file

スパイウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

• https://{BLOCKED}stv.net/wp-admin/js/ct/index.php

ダウンロード活動

スパイウェアは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。

• https://pastebin.com/raw/{BLOCKED}v

スパイウェアは、以下のWebサイトにアクセスして自身の環境設定ファイルをダウンロードします。

• https://{BLOCKED}stv.net/wp-admin/js/ct/index.php

スパイウェアは、以下のファイル名でダウンロードしたファイルを保存します。

• %User Temp%\{randomly generated unique id}\AdvancedRun.exe

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

ただし、情報公開日現在、このWebサイトにはアクセスできません。

情報漏えい

スパイウェアは、以下の情報を収集します。

• Machine GUID
• Product Name
• User Name
• Computer Name
• User Privilege
• System Architecture
• Screenshots
• Time Zone and Current Local Time
• Browser cookies
• Browser credentials
• FTP Credentials
• Email Crdentials
• Crypto wallets
• Skype session database
• Telegram data
• Steam data
• IP Address and Location
• CPU Information
• Keyboard Layout
• Screen Resolution
• System Language
• Running Processes
• Installed Programs and version

その他

スパイウェアは、仮想環境内で実行されると、自身の活動を終了します。

マルウェアは、以下の仮想環境やサンドボックスに関連したレジストリキーが感染コンピュータ内に存在していないかを確認します。

HKEY_LOCAL_MACHINE\SOFTWARE\Oracle\
VirtualBox Guest Additions

HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\
VMware Tools

マルウェアは、以下の仮想環境やサンドボックスに関連したレジストリ値が感染コンピュータ内に存在していないかを確認します。

HKEY_LOCAL_MACHINE\HARDWARE\Description\
System
SystemBiosVersion = {If contains VBOX or QEMU}

HKEY_LOCAL_MACHINE\HARDWARE\Description\
System
VideoBiosVersion = {If contains VIRTUALBOX}

HKEY_LOCAL_MACHINE\HARDWARE\DEVICEMAP\
Scsi\Scsi Port {#}\Scsi Bus 0\
Target Id 0\Logical Unit Id 0
Identifier = {If contains VBOX, VMWARE or QEMU}

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Disk\Enum
0 = {if contains VMWARE}

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\Class\{4D36E968-E325-11CE-BFC1-08002BE10318}\
0000
DriverDesc = {if contains VMWARE}

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\Class\{4D36E968-E325-11CE-BFC1-08002BE10318}\
0000\Settings
Device Description = {if contains VMWARE}

HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\
VMware Tools
InstallPath = C:\PROGRAM FILES\VMWARE\VMWARE TOOLS\

マルウェアは、以下の仮想環境やサンドボックスに関連したフォルダやファイルが感染コンピュータ内に存在していないかを確認します。

• C:\WINDOWS\system32\drivers\VBoxMouse.sys
• C:\WINDOWS\system32\drivers\vmmouse.sys
• C:\WINDOWS\system32\drivers\vmhgfs.sys

マルウェアは、自身がデバッグされていることを確認した場合、不正活動を実行しません。

スパイウェアは、以下を実行します。

• 以下を確認した場合、不正活動を実行しません。
  • ロードされたカーネルライブラリに以下の関数が存在する場合：
    • wine_get_unix_file_name
  • Video Controllerが以下のいずれかに該当する場合：
    • VM Additions S3 Trio32/64
    • S3 Trio32/64
    • VirtualBox Graphics Adapter
    • VMware SVGA II
    • VMWARE
    • VBox
  • 感染コンピュータシステムの製造元が "microsoft corporation "で、機種名に以下の文字列のいずれかが含まれる場合：
    • VIRTUAL
    • vmware
    • VirtualBox
• 環境変数PATHに以下のディレクトリを追加します。
  • %User Temp%\{ランダムな文字}

＜補足＞
インストール

スパイウェアは、以下のフォルダを追加します。

• %User Temp%\{ランダムな文字}
• %User Temp%\{ランダムに生成された固有ID}

スパイウェアは、以下のファイルを作成します。

• %User Temp%\{ランダムに生成された固有ID}\test.bat→Trojan.BAT.AZORULT.BVVとして検出される

スパイウェアは、以下のプロセスを追加します。

• powershell.exe Add-MpPreference -ExclusionPath "{スパイウェアのパスおよび名前}" -Force
• "{スパイウェアのパスおよび名前}"
• ダウンロードに成功した場合、以下のプロセス
  • "%User Temp%\{ランダムな文字列}\AdvancedRun.exe" "/EXEFilename \"%User Temp%\{ランダムな文字列}\test.bat\" /WindowState \"\"0\"\" /PriorityClass \"\"32\"\" /CommandLine \"\" /StartDirectory \"\" /RunAs 8 /Run"

スパイウェアは、以下のプロセスにコードを組み込みます。

• "{スパイウェアのパスおよび名前}"

バックドア活動

スパイウェアは、不正リモートユーザからの以下のコマンドを実行します。

• 自身の終了
• 自身の削除
• 情報収集オプションの有効化
• IPと位置情報の収集
• モジュールのダウンロードとロード
• ファイルのダウンロードと実行

ダウンロード活動

スパイウェアは、以下のファイル名でダウンロードしたファイルを保存します。

• %User Temp%\{ランダムに生成された固有ID}\AdvancedRun.exe

情報漏えい

スパイウェアは、以下の情報を収集します。

• コンピュータのGUID
• 製品名
• ユーザ名
• コンピュータ名
• ユーザ権限
• システム構成
• スクリーンショット
• タイムゾーンと現在の現地時間
• ブラウザのクッキー
• ブラウザの認証情報
• FTP認証情報
• 電子メールの認証情報
• 暗号化ウォレット
• Skypeセッションデータベース
• Telegramのデータ
• Steamのデータ
• IPアドレスと位置情報
• CPU情報
• キーボードレイアウト
• 画面解像度
• システム言語
• 実行中のプロセス
• インストールされているプログラムとバージョン