TrojanSpy.Win32.XWORM.A
UDS:Backdoor.Win32.Agent.myuvwd (KASPERSKY)
Windows
マルウェアタイプ:
スパイウェア/情報窃取型
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
スパイウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。
スパイウェアは、ユーザのキー入力操作情報を記録し、情報を収集します。
詳細
侵入方法
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
スパイウェアは、以下のファイルを作成します。
- %Temporary Internet Files%\{Random Numbers}\RegAsm.exe
- %AppDataLocal%\EcoVision Dynamics\EcoScape.js
- If avastui.exe | avgui.exe | nswscsvc.exe | sophoshealth.exe is found running on the system:
- %Temporary Internet Files%\{Random Numbers}\AutoIt3.exe
- %Temporary Internet Files%\{Random Numbers}\R.au3
- %AppDataLocal%\EcoVision Dynamics\A.a3x
- %AppDataLocal%\EcoVision Dynamics\AutoIt3.exe
- %Temporary Internet Files%\{Random Numbers}\Telecom.pif
- %Temporary Internet Files%\{Random Numbers}\R
- %AppDataLocal%\EcoVision Dynamics\A
- %AppDataLocal%\EcoVision Dynamics\EcoScape.pif
- Sets the attributes to SYSTEM and HIDDEN:
- %Temporary Internet Files%\Commander
- %Temporary Internet Files%\Papers
- %Temporary Internet Files%\Keyboard
- %Temporary Internet Files%\Plugins
- %Temporary Internet Files%\Cameras
- %Temporary Internet Files%\Cutting.bat
- %Temporary Internet Files%\Friends
- %Temporary Internet Files%\Northeast
- %Temporary Internet Files%\Fears
- %Temporary Internet Files%\Tramadol
- %Temporary Internet Files%\Stream
(註:%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。)
スパイウェアは、以下のプロセスを追加します。
- "%System%\cmd.exe" /c move Cutting Cutting.bat & Cutting.bat
- tasklist
- findstr /I "wrsa.exe opssvc.exe"
- findstr /I "avastui.exe avgui.exe nswscsvc.exe sophoshealth.exe"
- cmd /c md {Random Numbers}
- If avastui.exe | avgui.exe | nswscsvc.exe | sophoshealth.exe is found running on the system:
- cmd /c copy /b Northeast + Cameras + Papers + Friends + Fears + Commander + Tramadol + Plugins {Random Numbers}\AutoIt3.exe
- cmd /c copy /b Stream + Keyboard {Random Numbers}\R.au3
- {Random Numbers}\AutoIt3.exe {Random Numbers}\R.au3
- cmd /c copy /b Northeast + Cameras + Papers + Friends + Fears + Commander + Tramadol + Plugins {Random Numbers}\Telecom.pif
- cmd /c copy /b Stream + Keyboard {Random Numbers}\R
- {Random Numbers}\Telecom.pif {Random Numbers}\R
- If wrsa.exe | opssvc.exe is found running on the system:
- ping -n 199 127.0.0.1
- ping -n 5 127.0.0.1
- schtasks.exe /create /tn "Impaired" /tr "wscript //B '%AppDataLocal%\EcoVision Dynamics\EcoScape.js'" /sc minute /mo 3 /F
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。)
スパイウェアは、以下のフォルダを作成します。
- %AppDataLocal%\EcoVision Dynamics
- %Temporary Internet Files%\{Random Numbers}
(註:%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。)
スパイウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- 0vyG14tDobaS6ejo
自動実行方法
スパイウェアは、Windows起動時に自動実行されるよう<User Startup>フォルダ内に以下のファイルを作成します。
- %User Startup%\EcoScape.url
- Which contains the following target URL:
- file:///%AppDataLocal%/EcoVision%20Dynamics/EcoScape.js
- Which contains the following target URL:
(註:%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。)
バックドア活動
スパイウェアは、不正リモートユーザからの以下のコマンドを実行します。
- pong → Sends a "pong" string to the C2
- rec → Restarts the application
- CLOSE → Closes the application
- uninstall → Executes the uninstall commands
- update → Executes the uninstall commands and the updated binary
- DW → Executes a powershell script
- FM → Executes a command from the C2 in memory
- LN → Downloads a file from a URL and execute it
- Urlopen → Opens a URL through a browser
- Urlhide → Creates a HTTP GET request
- PCShutdown → Executes a shutdown command
- PCRestart → Executes a restart command
- PCLogoff → Executes a logoff command
- RunShell → Executes a command
- StartDDos → Initiates DDoS activities
- StopDDos → Terminates DDoS activities
- StartReport → Sends a list of running processes
- StopReport → Terminates sending of running proccesses list
- Xchat → Sends a "Xchat" string and the ID generated using system information
- Hosts → Sends the drivers\etc\host file contents
- Shosts → Modifies the contents of a file
- DDos → Sends a "DDos" string to the C2
- plugin → Decompresses and executes a plugin
- savePlugin → Saves the decoded plugin to a registry then decompresses and executes it
- RemovePlugins → Deletes the registry with plugin data
- OfflineGet → Sends the contents of the keylogger file
- $cap → Sends a screen capture
スパイウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。
- {BLOCKED}.{BLOCKED}.{BLOCKED}.142:8989
作成活動
スパイウェアは、以下のファイルを作成します。このファイルは、キー入力操作情報を収集するために利用されます。
- %AppDataLocal%\Temp\Log.tmp
(註:%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。)
情報漏えい
スパイウェアは、以下の情報を収集します。
- MD5 Hash of the following concatenated data:
- Processor count
- Username
- Machine name
- OS version
- Total size of system drive
- Username
- OS Full Name, Version, and Architecture
- Malware's original filename → "ASGARD"
- Malware's last modification date
- True | False → if executed using the filename "USB.exe"
- True | False → if executed with admin rights
- True | False → if camera is present
- CPU Information
- GPU Information
- RAM Information
- Installed Antivirus Information
- Active Window Title
スパイウェアは、ユーザのキー入力操作情報を記録し、情報を収集します。
情報収集
スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。
- {BLOCKED}.{BLOCKED}.{BLOCKED}.142:8989
その他
スパイウェアは、以下のプロセスの存在を確認します。
- wrsa.exe
- opssvc.exe
- avastui.exe
- avgui.exe
- nswscsvc.exe
- sophoshealth.exe
スパイウェアは、以下を実行します。
- It connects to the following URL that contains a text of the C&C server address:
- https://{BLOCKED}in.com/raw/Dh8E7H3R
以下のスケジュールされたタスクを追加します:
- Location: {Scheduled Task Root Directory}
Task Name: Impaired
Trigger: One Time (from creation date, triggers every 3 minutes indefinitely)
Action: Start a program - wscript //B "%AppDataLocal%\EcoVision Dynamics\EcoScape.js"
(註:%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。)
<補足>
インストール
スパイウェアは、以下のファイルを作成します。
- %Temporary Internet Files%\{ランダムな数字}\RegAsm.exe
- %AppDataLocal%\EcoVision Dynamics\EcoScape.js
- avastui.exe | avgui.exe | nswscsvc.exe | sophoshealth.exeが感染コンピュータ上で実行されていることを発見した場合:
- %Temporary Internet Files%\{ランダムな数字}\AutoIt3.exe
- %Temporary Internet Files%\{ランダムな数字}\R.au3
- %AppDataLocal%\EcoVision Dynamics\A.a3x
- %AppDataLocal%\EcoVision Dynamics\AutoIt3.exe
そうでない場合: - %Temporary Internet Files%\{ランダムな数字}\Telecom.pif
- %Temporary Internet Files%\{ランダムな数字}\R
- %AppDataLocal%\EcoVision Dynamics\A
- %AppDataLocal%\EcoVision Dynamics\EcoScape.pif
- 属性をシステムファイル属性および隠しファイル属性に設定します。
- %Temporary Internet Files%\Commander
- %Temporary Internet Files%\Papers
- %Temporary Internet Files%\Keyboard
- %Temporary Internet Files%\Plugins
- %Temporary Internet Files%\Cameras
- %Temporary Internet Files%\Cutting.bat
- %Temporary Internet Files%\Friends
- %Temporary Internet Files%\Northeast
- %Temporary Internet Files%\Fears
- %Temporary Internet Files%\Tramadol
- %Temporary Internet Files%\Stream
スパイウェアは、以下のプロセスを追加します。
- "%System%\cmd.exe" /c move Cutting Cutting.bat & Cutting.bat
- tasklist
- findstr /I "wrsa.exe opssvc.exe"
- findstr /I "avastui.exe avgui.exe nswscsvc.exe sophoshealth.exe"
- cmd /c md {ランダムな数字}
- avastui.exe | avgui.exe | nswscsvc.exe | sophoshealth.exeが感染コンピュータ上で実行されていることを発見した場合:
- cmd /c copy /b Northeast + Cameras + Papers + Friends + Fears + Commander + Tramadol + Plugins {ランダムな数字}\AutoIt3.exe
- cmd /c copy /b Stream + Keyboard {ランダムな数字}\R.au3
- {ランダムな数字}\AutoIt3.exe {ランダムな数字}\R.au3
そうでない場合: - cmd /c copy /b Northeast + Cameras + Papers + Friends + Fears + Commander + Tramadol + Plugins {ランダムな数字}\Telecom.pif
- cmd /c copy /b Stream + Keyboard {ランダムな数字}\R
- {ランダムな数字}\Telecom.pif {ランダムな数字}\R
- wrsa.exe | opssvc.exeが感染コンピュータ上で実行されていることを発見した場合:
- ping -n 199 127.0.0.1
そうでない場合: - ping -n 5 127.0.0.1
- ping -n 199 127.0.0.1
- schtasks.exe /create /tn "Impaired" /tr "wscript //B '%AppDataLocal%\EcoVision Dynamics\EcoScape.js'" /sc minute /mo 3 /F
スパイウェアは、以下のフォルダを作成します。
- %AppDataLocal%\EcoVision Dynamics
- %Temporary Internet Files%\{ランダムな数字}
自動実行方法
スパイウェアは、Windows起動時に自動実行されるよう<User Startup>フォルダ内に以下のファイルを作成します。
- %User Startup%\EcoScape.url
- 上記ファイルには、対象となる以下のURLが含まれています。
- file:///%AppDataLocal%/EcoVision%20Dynamics/EcoScape.js
- 上記ファイルには、対象となる以下のURLが含まれています。
バックドア活動
スパイウェアは、不正リモートユーザからの以下のコマンドを実行します。
- pong → 「pong」文字列をC&Cサーバへ送信
- rec → アプリケーションの再起動
- CLOSE → アプリケーションの終了
- uninstall → アンインストールコマンドの実行
- update → アンインストールコマンドおよび更新されたバイナリの実行
- DW → PowerShell スクリプトの実行
- FM → C&Cサーバからのコマンドをメモリ内で実行
- LN → URLからファイルのダウンロードおよび実行
- Urlopen → ブラウザ経由で URLを開く
- Urlhide → HTTP GETリクエストの作成
- PCShutdown → シャットダウンコマンドの実行
- PCRestart → 再起動コマンドの実行
- PCLogoff → ログオフコマンドの実行
- RunShell → コマンドの実行
- StartDDos → 分散型サービス拒否(Distributed Denial of service)攻撃の開始
- StopDDos → DDoS攻撃の終了
- StartReport → 実行中のプロセス一覧の送信
- StopReport → 実行中のプロセス一覧の送信終了
- Xchat → 「Xchat」文字列およびシステム情報を用いて生成されたIDの送信
- Hosts → drivers\etc\hostファイルの内容の送信
- Shosts → ファイルの内容の改ざん
- DDos → 「DDos」文字列を C&Cサーバへ送信
- plugin → プラグインの解凍および実行
- savePlugin → デコードされたプラグインをレジストリに保存後、解凍および実行
- RemovePlugins → プラグインデータを含むレジストリの削除
- OfflineGet → キー入力操作情報に関するファイルの内容の送信
- $cap → スクリーンキャプチャの送信
情報漏えい
スパイウェアは、以下の情報を収集します。
- 以下の連結されたデータの MD5 ハッシュ:
- プロセッサ数
- ユーザ名
- コンピュータ名
- オペレーティングシステム(OS)のバージョン
- システムドライブの合計サイズ
- ユーザ名
- OSの正式名称、バージョン、アーキテクチャ
- マルウェアの元のファイル名 → 「ASGARD」
- マルウェアの最終変更日
- True | False → ファイル名「USB.exe」を用いて実行された場合
- True | False → 管理者権限を用いて実行された場合
- True | False → カメラが存在する場合
- CPU情報
- GPU 情報
- RAM情報
- インストールされているウイルス対策製品に関する情報
- アクティブウインドウのタイトル
その他
スパイウェアは、以下を実行します。
- C&Cサーバアドレスのテキストを含む、以下の URL に接続します。
- https://{BLOCKED}in.com/raw/Dh8E7H3R
以下のスケジュールされたタスクを追加します:
- 位置: {スケジュールされたタスクのルートディレクトリ}
タスク名: Impaired
トリガ: 1回(作成日から3分毎にトリガ⦅無期限⦆)
アクション: Start a program - wscript //B "%AppDataLocal%\EcoVision Dynamics\EcoScape.js"
対応方法
手順 1
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
Windowsをセーフモードで再起動します。
手順 4
セーフモード時のスケジュールタスクの削除方法
- セーフモードのまま、以下の{タスク名}-{実行するタスク}のリストを使用し、以下のステップで確認する必要があります。
- Task Name: Impaired
- Task to be run: wscript //B "%AppDataLocal%\EcoVision Dynamics\EcoScape.js"
- Windows 7 および Server 2008 (R2) をご使用の場合は、[スタート] > [コンピューター] をクリックします。
- Windows 8、8.1、10、Server 2012をご使用の場合は、画面左下で右クリックし、「ファイルエクスプローラ」をクリックします。
- PCの検索欄に、次のように入力します。
- System%\Tasks\{タスク名}
- ファイルを選択し、SHIFT+DELETEキーを押して削除します。
- レジストリエディタを開き、以下を実行してください。
- Windows 7およびServer 2008(R2)をご使用の場合は、[スタート]ボタンをクリックし、[検索]入力フィールドに「regedit」と入力し、Enterキーを押します。
- Windows 8、8.1、10、およびServer 2012(R2)をご使用の場合は、画面の左下隅を右クリックし、[実行]をクリックして、テキストボックスに「regedit」と入力します。
- レジストリエディタウィンドウの左パネルで、以下をダブルクリックします。
- HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Schedule>TaskCache>Tree>{タスク名}
- 作成されたエントリを探し、レジストリ値のデータをメモする。
- ID={タスクデータ}
- データを記録した後、レジストリキーを削除します。
- HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Schedule>TaskCache>Tree>{タスク名}
- レジストリエディタウィンドウの左パネルで、以下をダブルクリックします。
- HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Schedule>TaskCache>Tasks
- 左側のパネルで、手順6で配置したTask Dataと同じ名前のレジストリキーを探して削除します。
- ={タスクデータ}
- レジストリエディタを閉じます。
手順 5
- コマンドプロンプトを起動します。
- Windows 2000、XP および Server 2003 の場合:
[スタート]-[ファイル名を指定して実行]を選択し、cmd と入力し、Enter を押します。
- Windows Vista、7、Server 2008 の場合:
[スタート]をクリックし、検索入力欄に cmd と入力し、Enter を押します。 - Windows 8、8.1 および Server 2012 の場合:
[スタート]-[プログラムとファイルの検索]に cmd と入力し、Enter を押します。画面の左下隅を右クリックし、[コマンド プロンプト]を選択します。
※cmd は半角英数字で入力する必要があります(大文字/小文字は区別されません)。
- Windows 2000、XP および Server 2003 の場合:
- コンソールウィンドウに以下を入力します。
- ATTRIB -H D:\* /S /D
- 他のドライブやディレクトリ内のフォルダおよびファイルに対して、手順 3.)を繰り返してください。
ATTRIB [+R | -R] [+A | -A ] [+S | -S] [+H | -H] [+I | -I] [ドライブ:][パス][ファイル名] [/S [/D] [/L]]
各コマンドの意味は以下のとおりです。+:属性の設定
-:属性の解除
R:読み取り専用属性
A:アーカイブ属性
S:システムファイル属性
H:隠しファイル属性
I:非インデックス対象ファイル属性
[drive:][path][filename]
[ドライブ:][パス][ファイル名]:attribで処理するファイルの指定
/S:現在のフォルダとすべてのサブフォルダ内で一致するファイルの処理
/D:フォルダも処理
/L:Symbolic Link(シンボリックリンク)のターゲットに対するシンボリックリンク属性での動作
コマンド例:
Dドライブ内のサブフォルダを含むすべてのフォルダおよびファイルの隠しファイル属性を解除する場合。
手順 6
以下のファイルを検索し削除します。
- %User Startup%\EcoScape.url
- %AppDataLocal%\Temp\Log.tmp
- %AppDataLocal%\EcoVision Dynamics\EcoScape.js
- %Temporary Internet Files%\{Random Numbers}\RegAsm.exe
- %Temporary Internet Files%\Commander
- %Temporary Internet Files%\Papers
- %Temporary Internet Files%\Keyboard
- %Temporary Internet Files%\Plugins
- %Temporary Internet Files%\Cameras
- %Temporary Internet Files%\Cutting.bat
- %Temporary Internet Files%\Friends
- %Temporary Internet Files%\Northeast
- %Temporary Internet Files%\Fears
- %Temporary Internet Files%\Tramadol
- %Temporary Internet Files%\Stream
- %Temporary Internet Files%\{Random Numbers}\AutoIt3.exe or %Temporary Internet Files%\{Random Numbers}\Telecom.pif
- %Temporary Internet Files%\{Random Numbers}\R.au3 or %Temporary Internet Files%\{Random Numbers}\R
- %AppDataLocal%\EcoVision Dynamics\A.a3x or %AppDataLocal%\EcoVision Dynamics\A
- %AppDataLocal%\EcoVision Dynamics\AutoIt3.exe or %AppDataLocal%\EcoVision Dynamics\EcoScape.pif
手順 7
以下のフォルダを検索し削除します。
- %AppDataLocal%\EcoVision Dynamics
- %Temporary Internet Files%\{Random Numbers}
手順 8
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TrojanSpy.Win32.XWORM.A」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください