解析者: Arvin Roi Macaraeg   
 別名:

Trojan-Banker.Win32.Emotet.bunn(KASPERSKY)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    スパイウェア/情報窃取型

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 111,535 bytes
タイプ EXE
メモリ常駐 はい
発見日 2018年12月12日

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

  • %System%\{random file name}.exe -> Drop when file is run with admin rights
  • %AppDataLocal%\{Random Filename}\{random file name}.exe -> Drop when file is run without admin rights

(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。)

スパイウェアは、以下のプロセスを追加します。

  • %AppDataLocal%\{Random Filename}\{random file name}.exe
  • %System%\{random file name}.exe

(註:%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
CurrentVersion\Run
{random file name} = %AppDataLocal%\{Random Filename}\{random file name}.exe

スパイウェアは、以下のサービスを開始します。

    • Service Name: {random file name}
    • Image Path: %System%\{Random Filename}.exe
    • DisplayName: {Random Filename}
    • Description: Manages audio devices for the Windows Audio service. If this service is stopped, audio devices and effects will not function properly. If this service is disabled, any services that explicitly depend on it will fail to start

(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

その他

スパイウェアは、以下の不正なWebサイトにアクセスします。

  • {BLOCKED}.{BLOCKED}.27.238
  • {BLOCKED}.{BLOCKED}.219.114
  • {BLOCKED}.{BLOCKED}.241.2
  • {BLOCKED}.{BLOCKED}.153.90
  • {BLOCKED}.{BLOCKED}.64.181
  • {BLOCKED}.{BLOCKED}.45.201
  • {BLOCKED}.{BLOCKED}.209.106
  • {BLOCKED}.{BLOCKED}.1.15
  • {BLOCKED}.{BLOCKED}.19.5
  • {BLOCKED}.{BLOCKED}.185.25
  • {BLOCKED}.{BLOCKED}.212.150
  • {BLOCKED}.{BLOCKED}.254.93;
  • {BLOCKED}.{BLOCKED}.117.247
  • {BLOCKED}.{BLOCKED}.143.148
  • {BLOCKED}.{BLOCKED}.213.173
  • {BLOCKED}.{BLOCKED}.79.48
  • {BLOCKED}.{BLOCKED}.145.106
  • {BLOCKED}.{BLOCKED}.90.90
  • {BLOCKED}.{BLOCKED}.139.199
  • {BLOCKED}.{BLOCKED}.134.60
  • {BLOCKED}.{BLOCKED}.86.72
  • {BLOCKED}.{BLOCKED}.73.135
  • {BLOCKED}.{BLOCKED}.128.163