TrojanSpy.Win64.EMOTET.FCA

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェア マルウェアは、自身（コンピュータに侵入して最初に自身のコピーを作成した スパイウェア ）を削除します。

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、以下のフォルダを追加します。

• %System%\{random}
• %AppDataLocal%\{random}

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local" です。)

スパイウェアは、以下のファイルを作成し実行します。

• %System%\{random}\{random characters}.dll
• %AppDataLocal%\{random}\{random characters}.dll

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local" です。)

スパイウェアは、以下のプロセスを追加します。

• %System%\regsvr32.exe "%System%\{random}\{random characters}.dll"
• %System%\regsvr32.exe "%AppDataLocal%\{random}\{random characters}.dll"

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local" です。)

その他

スパイウェアは、以下の不正なWebサイトにアクセスします。

• {BLOCKED}.{BLOCKED}.{BLOCKED}.146:8080
• {BLOCKED}.{BLOCKED}.{BLOCKED}.93:443
• {BLOCKED}.{BLOCKED}.{BLOCKED}.124:443
• {BLOCKED}.{BLOCKED}.{BLOCKED}.120:8080
• {BLOCKED}.{BLOCKED}.{BLOCKED}.198:8080
• {BLOCKED}.{BLOCKED}.{BLOCKED}.27:8080
• {BLOCKED}.{BLOCKED}.{BLOCKED}.56:8080
• {BLOCKED}.{BLOCKED}.{BLOCKED}.3:8080
• {BLOCKED}.{BLOCKED}.{BLOCKED}.162:443
• {BLOCKED}.{BLOCKED}.{BLOCKED}.152:8080
• {BLOCKED}.{BLOCKED}.{BLOCKED}.25:7080
• {BLOCKED}.{BLOCKED}.{BLOCKED}.25:443
• {BLOCKED}.{BLOCKED}.{BLOCKED}.76:8080
• {BLOCKED}.{BLOCKED}.{BLOCKED}.154:8080
• {BLOCKED}.{BLOCKED}.{BLOCKED}.28:8080
• {BLOCKED}.{BLOCKED}.{BLOCKED}.149:8080
• {BLOCKED}.{BLOCKED}.{BLOCKED}.5:443
• {BLOCKED}.{BLOCKED}.{BLOCKED}.244:8080
• {BLOCKED}.{BLOCKED}.{BLOCKED}.199:8080
• {BLOCKED}.{BLOCKED}.{BLOCKED}.50:443
• {BLOCKED}.{BLOCKED}.{BLOCKED}.166:8080
• {BLOCKED}.{BLOCKED}.{BLOCKED}.2:443
• {BLOCKED}.{BLOCKED}.{BLOCKED}.186:8080
• {BLOCKED}.{BLOCKED}.{BLOCKED}.86:4143
• {BLOCKED}.{BLOCKED}.{BLOCKED}.30:8080
• {BLOCKED}.{BLOCKED}.{BLOCKED}.91:8080
• {BLOCKED}.{BLOCKED}.{BLOCKED}.47:8080
• {BLOCKED}.{BLOCKED}.{BLOCKED}.31:7080
• {BLOCKED}.{BLOCKED}.{BLOCKED}.56:443
• {BLOCKED}.{BLOCKED}.{BLOCKED}.88:80
• {BLOCKED}.{BLOCKED}.{BLOCKED}.165:8080
• {BLOCKED}.{BLOCKED}.{BLOCKED}.65:443
• {BLOCKED}.{BLOCKED}.{BLOCKED}.143:8080
• {BLOCKED}.{BLOCKED}.{BLOCKED}.33:8080
• {BLOCKED}.{BLOCKED}.{BLOCKED}.15:8080
• {BLOCKED}.{BLOCKED}.{BLOCKED}.137:8080
• {BLOCKED}.{BLOCKED}.{BLOCKED}.26:8080
• {BLOCKED}.{BLOCKED}.{BLOCKED}.10:8080
• {BLOCKED}.{BLOCKED}.{BLOCKED}.249:8080
• {BLOCKED}.{BLOCKED}.{BLOCKED}.224:8080
• {BLOCKED}.{BLOCKED}.{BLOCKED}.75:8080
• {BLOCKED}.{BLOCKED}.{BLOCKED}.120:443
• {BLOCKED}.{BLOCKED}.{BLOCKED}.162:8080
• {BLOCKED}.{BLOCKED}.{BLOCKED}.232:8080
• {BLOCKED}.{BLOCKED}.{BLOCKED}.34:443
• {BLOCKED}.{BLOCKED}.{BLOCKED}.217:443
• {BLOCKED}.{BLOCKED}.{BLOCKED}.165:8080
• {BLOCKED}.{BLOCKED}.{BLOCKED}.41:443
• {BLOCKED}.{BLOCKED}.{BLOCKED}.3:8080

スパイウェア は、自身（コンピュータに侵入して最初に自身のコピーを作成した スパイウェア ）を削除します。