TrojanSpy.PS1.DATASPY.C
別名:
Generic.Ransom.PWS.72C48FF4 (BITDEFENDER)
プラットフォーム:
Windows
危険度:
ダメージ度:
感染力:
感染確認数:
情報漏えい:
マルウェアタイプ:
スパイウェア/情報窃取型
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
感染経路 インターネットからのダウンロード, 他のマルウェアからの作成
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
スパイウェアは、感染コンピュータ上の特定の情報を収集します。
ただし、情報公開日現在、このWebサイトにはアクセスできません。
詳細
ファイルサイズ 10,271 bytes
タイプ PS1
メモリ常駐 なし
発見日 2023年2月1日
ペイロード システム情報の収集, URLまたはIPアドレスに接続
侵入方法
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
情報漏えい
スパイウェアは、感染コンピュータ上の以下の情報を収集します。
- Fixed Drives
- Machine Name
情報収集
スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。
- http://(BLOCKED}.{BLOCKED}.100.46:443/upload/?dir={id}/{token}/{Machine Name}/{Drive Letter}{Full Path}
その他
スパイウェアは、以下を実行します。
- It searches for files to exfiltrate in Fixed Drives.
- It uploads files from folders without the following strings in its path:
- *.cargo*
- *.gradle*
- *{*
- *}*
- *apache-ant*
- *Backup*
- *Backup*
- *Boot*
- *Chrome*
- *Delete*
- *ESET*
- *inetpub*
- *libarchive*
- *Logs*
- *Microsoft*
- *MinGW*
- *Mozilla*
- *msys64*
- *mysql-connector*
- *old*
- *Package Cache*
- *Packages*
- *PerfLogs*
- *pris_temp*
- *Program Files*
- *ProgramData*
- *Recovery*
- *Request*
- *Ruby*
- *Snap*
- *Sophos*
- *svm-map*
- *Symantec*
- *System Volume Information*
- *System*
- *TDM-GCC*
- *VMMShare*
- *VMWare*
- *Windows*
- *WindowsAzure*
- It uploads files with the following strings:
- *abuse*
- *Addres*
- *agreem*
- *Agreemen*Disclosur*
- *assault*
- *Assignment*
- *attack*
- *Audit*
- *balanc*
- *bank*
- *Bank*Statement*
- *budget*
- *card*
- *cash*
- *compromate*
- *confid*
- *Confidential*Disclosure*
- *contact*
- *contract*
- *Crime*
- *crit*
- *critical*
- *dead*
- *death*
- *director*
- *employment*
- *Enrol*
- *federal*
- *federal*
- *Finan*
- *Forbidden*
- *fraud*
- *government*
- *harassment*
- *humiliation*
- *identi*
- *illegal*
- *important*
- *Incident*
- *individual*
- *injury*
- *Insurance*
- *intima*
- *investigation*
- *kill*
- *Legal*
- *Login*
- *Medic*
- *pasaporte*
- *paspoort*
- *pasport*
- *passaporto*
- *passeport*
- *passport*
- *password*
- *patient*
- *pay*
- *payment*
- *payroll*
- *Personal*
- *Private*
- *Recruitment*
- *Reisepass*
- *report*
- *Resour*
- *Resources*Human*
- *resurses*human*
- *Revenue*
- *scan*
- *secret*
- *security*
- *sex*
- *sexual*
- *Social*Number*
- *statement*
- *Statement*Bank*
- *Stealing*
- *SWIFT*
- *Terror*
- *Theft*
- *Transact*
- *violence*
- It does not send files with the following strings:
- *. rpt
- *.accdb
- *.ai
- *.aiff
- *.ap_
- *.apk
- *.application
- *.asc
- *.ascx
- *.aspx
- *.ass
- *.au
- *.avi
- *.axd
- *.bac
- *.bak
- *.bat
- *.bkf
- *.bkp
- *.bkp
- *.blog
- *.bmp
- *.bundled
- *.c
- *.cab
- *.cab
- *.cat
- *.cch
- *.cdf-ms
- *.cdpresource
- *.cdpresource
- *.cdxml
- *.cfm
- *.checksum
- *.chg
- *.chm
- *.chw
- *.class
- *.cls
- *.cmd
- *.config
- *.contact
- *.cpi
- *.cr2
- *.cs
- *.cshtml
- *.csproj
- *.css
- *.cvs
- *.dat
- *.dbf
- *.deploy
- *.DIC
- *.dif
- *.diz
- *.dll
- *.dotm
- *.dtd
- *.ed1
- *.efi
- *.emf
- *.eps
- *.epub
- *.etl
- *.evtx
- *.exe
- *.fm3
- *.form
- *.fp5
- *.frm
- *.function
- *.function
- *.gif
- *.glox
- *.gm
- *.gz
- *.h
- *.hlp
- *.hqx
- *.hro
- *.htm*
- *.htm*
- *.html
- *.ico
- *.idml*
- *.IDX
- *.indd
- *.inf
- *.info
- *.ini
- *.ipa
- *.jar
- *.java
- *.jfm
- *.js
- *.jsm
- *.json
- *.jsonlz4
- *.jsp
- *.jss
- *.kit*
- *.ldf
- *.leveldb
- *.lnk
- *.log
- *.log
- *.lua
- *.m4a
- *.man
- *.manifest
- *.map
- *.md
- *.md5
- *.mdb
- *.mid
- *.midi
- *.modd
- *.mof
- *.mov
- *.mp3
- *.mp3
- *.mp4
- *.msc
- *.msg
- *.msi
- *.msm
- *.msp
- *.mst
- *.mui
- *.NEF
- *.nib
- *.node
- *.nse
- *.nupkg
- *.nupkg
- *.oab
- *.obj
- *.osxp
- *.pbk
- *.pdb
- *.pfl
- *.pfx
- *.php
- *.Pid
- *.pkf
- *.pls
- *.potx
- *.pp
- *.ppt
- *.pptx
- *.procedure
- *.properties
- *.ps1
- *.ps1xml
- *.psd
- *.psd1
- *.psp
- *.py
- *.pyc
- *.qm
- *.qxd
- *.ra
- *.rb
- *.rdp
- *.resources
- *.rll
- *.sch
- *.security
- *.sit
- *.so
- *.soc
- *.sqlite
- *.su
- *.suo
- *.svc
- *.swf
- *.sys
- *.table
- *.tar
- *.template
- *.thmx
- *.tif
- *.tiff
- *.tmp
- *.tpl
- *.trn
- *.tt
- *.txt
- *.url
- *.vb
- *.vbs
- *.vbs
- *.vcf
- *.vcf
- *.VDI
- *.vsdx
- *.vsix
- *.wav
- *.wer
- *.wk3
- *.wmf
- *.wsdl
- *.x32
- *.xml
- *.xrm-ms
- *.xsd
- *_metadata
- *{*
- *}*
- *acrodata
- *AppData/Roaming*
- *Boot*
- *cache
- *download
- *ESET*
- *Microsoft*
- *Mozilla*
- *Package Cache*
- *Program Files*
- *ProgramData*
- *recicle*
- *Recovery*
- *Sophos*
- *Symantec*
- *System Volume Information*
- *temp
- *VMWare*
- *Windows*
ただし、情報公開日現在、このWebサイトにはアクセスできません。
対応方法
対応検索エンジン: 9.800
初回 VSAPI パターンバージョン 18.232.08
初回 VSAPI パターンリリース日 2023年2月2日
VSAPI OPR パターンバージョン 18.233.00
VSAPI OPR パターンリリース日 2023年2月3日
手順 1
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
「TrojanSpy.PS1.DATASPY.C」で検出したファイル名を確認し、そのファイルを終了します。
[ 詳細 ]
- すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
- 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、こちらをご参照下さい。 - 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。
手順 3
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TrojanSpy.PS1.DATASPY.C」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください