解析者: Raighen Sanchez   
 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    スパイウェア/情報窃取型

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ただし、情報公開日現在、このWebサイトにはアクセスできません。

  詳細

ペイロード URLまたはIPアドレスに接続, 情報収集, システム情報の収集

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、以下のファイルを作成します。

  • %ProgramData%\QLVGJVA2K31qlvghfre_287.xml
  • {malware filepath}\tenaqberveb.cfg

(註:%ProgramData%フォルダは、マルチユーザーシステムにおいて任意のユーザがプログラムに変更を加えることができるプログラムファイルフォルダのバージョンです。これには、すべてのユーザのアプリケーションデータが含まれます。Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData" です。Windows Server 2003(32-bit)、2000(32-bit)、XPの場合、通常 "C:\Documents and Settings\All Users" です。 )

スパイウェアは、感染コンピュータ上のメモリに以下のプロセスを確認すると、自身を終了します。

  • regmon.exe
  • procmon.exe
  • filemon.exe
  • Wireshark.exe
  • procexp.exe
  • ProcessHacker.exe
  • PCHunter32.exe
  • JoeTrace.exe
  • ResourceHacker.exe

情報漏えい

スパイウェアは、以下の情報を収集します。

  • Username
  • System Information
  • OS Name and Version
  • Hostname
  • Geolocation
  • IP Address
  • List of Installed Applications
  • List of Installed Antivirus

その他

スパイウェアは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。

  • http://{BLOCKED}i.com/json

スパイウェアは、以下を実行します。

  • It compares the OS Name of the affected system before proceeding to its original routine to the following:
    • Windows XP
    • Windows Vista
    • Windows 7
    • Windows 8
    • Windows 10
    • Windows 11
  • It compares the Hostname of the affected system before proceeding to its original routine to the following:
    • WIN-VUA6POUV5UP
    • Win-StephyPC3
    • difusor
    • DESTOP2457
    • JOHN-PC
    • WORK
  • It compares its execution path to check for analysis tools:
    • D:\programming
    • D:\script
  • It compares the country code of the affected system before proceeding to its original routine to the following targeted countries:
    • BZ - Belize
    • CR - Costa Rica
    • GT - Guatemala
    • HN - Honduras
    • MX - Mexico
    • NI - Nicaragua
    • PA - Panama
    • SV - El Salvador
    • AR - Argentina
    • BO - Bolivia
    • BR - Brazil
    • CL - Chile
    • CO - Colombia
    • EC - Ecuador
    • PE - Peru
    • UY - Uruguay
    • AG - Antigua and Barbuda
    • BB - Barbados
    • BS - Bahamas
    • DO - Dominican Republic
    • HT - Haiti
    • JM - Jamaica
    • PR - Puerto Rico
    • CU - Cuba
    • CW - Curacao
    • BE - Belgium
    • CH - Switzerland
    • DK - Denmark
    • IT - Italy
    • PL - Poland
    • PT - Portugal
    • FR - France
    • ES - Spain
    • IE - Ireland
  • It uses Domain Genaration Algorithm (DGA) to generate its C2 Server.
  • It has keylogging capabilities.
  • It steals information from the following applications if found in the affected system:
      Mail Client:
      • Microsoft Outlook
      • Software\Clients\Mail
      Banking:
      • ACB Carribean
      • Alliance Bank
      • Allied Bank
      • Atlantic Bank
      • Banco BISA
      • Banco Unión
      • Banco de Crédito
      • Banco Nacional
      • Banco Económico
      • Banco Ganadero
      • BNamericas
      • Banco Los Andes
      • Banco Mercantil
      • Banca por Internet
      • BMSC
      • BancoSol
      • Bank of Valletta
      • BBVA
      • Belize Bank
      • Butterfield Group
      • Caja de Ahorros
      • Choice Bank
      • CIBC
      • CIBC First Carribean
      • Citibank
      • Credit Suisse
      • Davivienda
      • Doral Bank
      • e-Bandes
      • e-Bisa
      • FIMBank
      • HRCU Online Account
      • HSBC Malta
      • IIG Bank
      • Inicio
      • LAFISE
      • MEXC Exchange
      • Orco Bank
      • Provincia Casa Financiera
      • Raiffeisen-Gruppe
      • Republic Bank
      • RepublicOnline Corporate
      • Santander
      • Scotia Bank
      • Synchrony Bank
      • UBS E-Banking
      Stocks:
      • Fortex
      Cryptocurrency Wallet
      • Armory
      • Atomic Wallet
      • Binance
      • Bisq
      • Bitbox
      • Bither
      • Blockstream
      • BTC-CORE
      • Coinomi
      • Daedalus
      • Electrum
      • Hotbit Global
      • Ledger
      • Monero
      • OPOLODesk
      • Trezor
      • Trust Wallet
      • WasabiWallet

    ただし、情報公開日現在、このWebサイトにはアクセスできません。

    •   対応方法

    対応検索エンジン: 9.800
    初回 VSAPI パターンバージョン 18.768.05
    初回 VSAPI パターンリリース日 2023年10月20日
    VSAPI OPR パターンバージョン 18.769.00
    VSAPI OPR パターンリリース日 2023年10月21日

    手順 1

    Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

    手順 2

    このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

    手順 3

    以下のファイルを検索し削除します。

    [ 詳細 ]
    コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
    •  C:\ProgramData\QLVGJVA2K31qlvghfre_287.xml
    • {malware filepath}\tenaqberveb.cfg

    手順 4

    最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TrojanSpy.Win32.GRANDOREIRO.MLMC」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


    ご利用はいかがでしたか? アンケートにご協力ください