TrojanSpy.Win32.EMOTET.THBABAI

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、異なるファイル名を用いて以下のフォルダ内に自身のコピーを作成します。

• %System%\{random string}{random string}.exe - if run with admin rights
• %AppDataLocal%\{random string}{random string}\{random string}{random string}.exe - if run without admin rights

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local" です。)

自動実行方法

スパイウェアは、以下のサービスを追加し、実行します。

• Service Name: {random string}{random string}
  Description: Maintains an updated list of computers on the network and supplies this list to computers designated as browsers. If this service is stopped, this list will not be updated or maintained. If this service is disabled, any services that explicitly depend on it will fail to start.
  ImagePath: %System%\{random string}{random string}.exe
  DisplayName: {random string}{random string}

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

スパイウェアは、作成されたコンポーネントがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random string}{random string} = %AppDataLocal%\{random string}{random string}.exe (Note: if run without admin rights)

その他

スパイウェアは、以下の不正なWebサイトにアクセスします。

• http://{BLOCKED}.{BLOCKED}.164.31:7080/
• http://{BLOCKED}.{BLOCKED}.233.127:443/
• http://{BLOCKED}.{BLOCKED}.36.202:7080/
• http://{BLOCKED}.{BLOCKED}.0.160:8080/
• http://{BLOCKED}.{BLOCKED}.17.206:8080/
• http://{BLOCKED}.{BLOCKED}.100.202:8080/
• http://{BLOCKED}.{BLOCKED}.191.231:8080/
• http://{BLOCKED}.{BLOCKED}.210.108:443/
• http://{BLOCKED}.{BLOCKED}.135.40:443/
• http://{BLOCKED}.{BLOCKED}.153.50/
• http://{BLOCKED}.{BLOCKED}.139.138:8090/
• http://{BLOCKED}.{BLOCKED}.84.35:443/
• http://{BLOCKED}.{BLOCKED}.199.181:8080/
• http://{BLOCKED}.{BLOCKED}.216.247:53/
• http://{BLOCKED}.{BLOCKED}.81.243/
• http://{BLOCKED}.{BLOCKED}.58.47:443/
• http://{BLOCKED}.{BLOCKED}.87.18:443/
• http://{BLOCKED}.{BLOCKED}.195.97:443/
• http://{BLOCKED}.{BLOCKED}.219.98/
• http://{BLOCKED}.{BLOCKED}.111.19:443/
• http://{BLOCKED}.{BLOCKED}.17.7:8080/
• http://{BLOCKED}.{BLOCKED}.187.192:8080/
• http://{BLOCKED}.{BLOCKED}.175.91:7080/
• http://{BLOCKED}.{BLOCKED}.58.13/
• http://{BLOCKED}.{BLOCKED}.243.43:8080/
• http://{BLOCKED}.{BLOCKED}.223.154:7080/
• http://{BLOCKED}.{BLOCKED}.44.240:8090/
• http://{BLOCKED}.{BLOCKED}.208.27:443/
• http://{BLOCKED}.{BLOCKED}.3.54:443/
• http://{BLOCKED}.{BLOCKED}.129.30:443/
• http://{BLOCKED}.{BLOCKED}.147.179:8080/
• http://{BLOCKED}.{BLOCKED}.5.242:8080/
• http://{BLOCKED}.{BLOCKED}.143.75:7080/
• http://{BLOCKED}.{BLOCKED}.83.146/
• http://{BLOCKED}.{BLOCKED}.31.162:8080/
• http://{BLOCKED}.{BLOCKED}.196.209:8080/
• http://{BLOCKED}.{BLOCKED}.68.123/
• http://{BLOCKED}.{BLOCKED}.149.117:443/
• http://{BLOCKED}.{BLOCKED}.246.130:7080/
• http://{BLOCKED}.{BLOCKED}.68.21:995/
• http://{BLOCKED}.{BLOCKED}.69.193/
• http://{BLOCKED}.{BLOCKED}.37.188:443/
• http://{BLOCKED}.{BLOCKED}.23.252:443/
• http://{BLOCKED}.{BLOCKED}.13.124:7080/
• http://{BLOCKED}.{BLOCKED}.106.160:7080/
• http://{BLOCKED}.{BLOCKED}.210.108:443/
• http://{BLOCKED}.{BLOCKED}.28.126:8080/
• http://{BLOCKED}.{BLOCKED}.87.227:443/
• http://{BLOCKED}.{BLOCKED}.36.129:8080/
• http://{BLOCKED}.{BLOCKED}.124.62:8080/
• http://{BLOCKED}.{BLOCKED}.200.114:8080/
• http://{BLOCKED}.{BLOCKED}.208.50/
• http://{BLOCKED}.{BLOCKED}.171.26/
• http://{BLOCKED}.{BLOCKED}.216.125:53/
• http://{BLOCKED}.{BLOCKED}.6.2:8080/
• http://{BLOCKED}.{BLOCKED}.108.93/
• www7017uj.sakura.{BLOCKED}e.jp:7080