解析者: Clive Fuentebella   

 別名:

Win32:Trojan-gen (AVAST); W32/GenKryptik.ECNA!tr (FORTINET)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    スパイウェア/情報窃取型

  • 破壊活動の有無:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ただし、情報公開日現在、このWebサイトにはアクセスできません。

  詳細

ファイルサイズ 654,336 bytes
タイプ EXE
メモリ常駐 なし
発見日 2020年2月9日
ペイロード URLまたはIPアドレスに接続

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

その他

スパイウェアは、以下のWebサイトにファイルをアップロードします。

  • {BLOCKED}.{BLOCKED}.108.141
  • {BLOCKED}.{BLOCKED}.1.57

スパイウェアは、以下を実行します。

  • It avoids files with the following strings in its file path:
    • $Recycle.Bin
    • $Windows
    • .ascx
    • .asp
    • .bmp
    • .browser
    • .cab
    • .cat
    • .cdx
    • .chm
    • .config
    • .contact
    • .css
    • .db
    • .ddf
    • .dic
    • .din
    • .dll
    • .exe
    • .gif
    • .h
    • .ibd
    • .icml
    • .inf
    • .ini
    • .iobj
    • .ipdb
    • .js
    • .lib
    • .little
    • .lnk
    • .log
    • .microsoft
    • .mp3
    • .msc
    • .msi
    • .new
    • .oem
    • .pem
    • .png
    • .ps1
    • .pyd
    • .qml
    • .rsm
    • .sdi
    • .search-ms
    • .sqlite
    • .sys
    • .thmx
    • .tif
    • .tmp
    • .ttf
    • .txmx
    • .url
    • .vicache
    • .wbcat
    • .wbverify
    • .wim
    • .wmv
    • .xml
    • .xpi
    • \Users\Public\Pictures
    • cached
    • Firefox
    • Intel
    • log
    • microsoft
    • Microsoft
    • Mozilla
    • MySQL
    • NTUSER
    • Package Cache
    • PerfLogs
    • ppsm
    • ppt
    • Program Files
    • ProgramData
    • PUBLIC
    • readme
    • RyukReadMe.txt
    • Sample Music
    • Sample Pictures
    • Tor Browser
    • UNIQUE_ID_DO_NOT_REMOVE
    • Windows
    • windows
    • wtv
  • It stores files with the following strings in its filename:
    • 10-Q
    • 10-SB
    • 10Q
    • 8K
    • agent
    • bribery
    • bureau
    • censored
    • clandestine
    • confident
    • contraband
    • convictMilitary
    • court
    • CSI
    • csi
    • cyber
    • document
    • drug
    • EDGAR
    • embeddedspy
    • Engeneering
    • explosive
    • FBI
    • fbi
    • federal
    • fraud
    • government
    • gun
    • hack
    • hidden
    • important
    • investigation
    • marketwired
    • military
    • N-CSR
    • NATO
    • Nato
    • newswire
    • NSA
    • operation
    • pass
    • private
    • radar
    • radio
    • scheme
    • Secret
    • SECURITY
    • spy
    • submarine
    • Submarinesecret
    • suspect
    • tactical
    • traitor
    • treasonrestricted
    • undercover
    • victim
    • war
  • It stores files with the following strings in its contents (provided their extensions are doc, docb, docx, jpg, pdf, xls, xlsx, wallet.dat):
    • 10-Q
    • agent
    • agreement
    • attack
    • backdoorundercover
    • balance
    • bribery
    • bureau
    • censored
    • checking
    • clandestine
    • clandestine
    • Clearance
    • Compilation
    • compromate
    • concealed
    • confident
    • confident
    • contraband
    • contract
    • convict
    • court
    • cyber
    • defence
    • document
    • drug
    • embeddedspy
    • Emma
    • Engeneering
    • explosive
    • federal
    • finance
    • fraud
    • government
    • hack
    • hidden
    • IBAN
    • illegal
    • investigation
    • Isabella
    • James
    • letter
    • Liam
    • license
    • Logan
    • mail
    • marketwired
    • military
    • NATO
    • Nato
    • newswire
    • Noah
    • Olivia
    • operation
    • passport
    • personal
    • personal
    • privacy
    • private
    • radar
    • radio
    • report
    • restricted
    • routing
    • saving
    • scans
    • scheme
    • secret
    • secret
    • security
    • securityN-CSR10-SBEDGAR
    • Sophia
    • spy
    • statement
    • submarine
    • suspect
    • SWIFT
    • tactical
    • tank
    • traitor
    • treason
    • unclassified
    • seed
    • victim
    • William

ただし、情報公開日現在、このWebサイトにはアクセスできません。

  対応方法

対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 15.676.04
初回 VSAPI パターンリリース日 2020年2月10日
VSAPI OPR パターンバージョン 15.677.00
VSAPI OPR パターンリリース日 2020年2月11日

手順 1

トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。

     
    • Troj.Win32.TRX.XXPE50FFF033

手順 2

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 3

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TrojanSpy.Win32.RYUK.B」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください