TrojanSpy.MSIL.NEGASTEAL.LD

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェアは、ユーザのキー入力操作情報を記録し、情報を収集します。

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %Application Data%\vShgEazNgtj.exe

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

スパイウェアは、以下のファイルを作成します。

• %User Temp%\{random temp name}.tmp -> contains XML of the created scheduled task

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

スパイウェアは、以下のプロセスを追加します。

• "{path}"
• "%System%\schtasks.exe" /Create /TN "Updates\vShgEazNgtj" /XML "%User Temp%\{temp name}.tmp"

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

情報漏えい

スパイウェアは、以下の情報を収集します。

• Computer Name
• User Name
• Operating System Version
• Processor Information
• RAM Memory Size
• Credentials from the following applications:
  • Google Chrome
  • Mozilla Firefox
  • Windows Web Password Credential
  • Windows Credential Picker Protector
  • Web Credentials
  • Windows Credentials
  • Windows Domain Certificate Credential
  • Windows Domain Password Credential
  • Windows Extended Credential
  • Microsoft Edge
  • Apple Applications
  • QQ Browser
  • Opera Browser
  • Yandex Browser
  • 360 Browser
  • Iridium Browser
  • Comodo Dragon
  • Cool Novo
  • Chromium
  • Torch Browser
  • 7Star
  • Amigo
  • Brave
  • CentBrowser
  • Chedot
  • Coccoc
  • Elements Browser
  • Epic Privacy
  • Kometa
  • Orbitum
  • Sputnik
  • Uran
  • Vivaldi
  • Citrio
  • Liebao Browser
  • Sleipnir 6
  • QIP Surf
  • Coowon
  • SeaMonkey
  • Flock Browser
  • UC Browser
  • BlackHawk
  • CyberFox
  • K-Meleon
  • IceCat
  • IceDragon
  • PaleMoon
  • WaterFox
  • Falkon Browser
  • Microsoft Outlook
  • Thunderbird
  • FoxMail
  • OperaMail
  • IncrediMail
  • PocoMail
  • Eudora
  • TheBat
  • Postbox
  • ClawsMail
  • Becky!
  • Trillian
  • Open VPN
  • Psi/Psi+
  • WS_FTP
  • WinSCP
  • CoreFTP
  • FTP Navigator
  • FlashFXP
  • SmartFTP
  • Cftp
  • FTPGetter
  • Internet Download Manager
  • JDownloader
• Cookies Stored from the following browsers:
  • Chrome
  • Opera
  • Yandex
  • 360 Browser
  • Comodo Dragon
  • CoolNovo
  • SRWare Iron
  • Torch Browser
  • Brave Browser
  • Iridium Browser
  • 7Star
  • Amigo
  • CentBrowser
  • Chedot
  • CocCoc
  • Elements Browser
  • Epic Privacy Browser
  • Kometa
  • Orbitum
  • Sputnik
  • uCozMedia
  • Vivaldi
  • Sleipnir 6
  • Citrio
  • Coowon
  • Liebao Browser
  • QIP Surf
  • QQ Browser
  • UC Browser
  • Firefox
  • Postbox
  • Thunderbird
  • SeaMonkey
  • Flock
  • BlackHawk
  • CyberFox
  • K-Meleon
  • IceCat
  • PaleMoon
  • IceDragon
  • WaterFox

スパイウェアは、ユーザのキー入力操作情報を記録し、情報を収集します。

情報収集

スパイウェアは、SMTPを用いて、自身が収集した情報を以下のEメールアドレスに送信します。

• {BLOCKED}h@{BLOCKED}orhomes.com

その他

以下のスケジュールされたタスクを追加します：

• Task Name: vShgEazNgtj
• Trigger: At User Logon
• Action: Start Program "%Application Data%\vShgEazNgtj.exe"

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。)