Worm.PS1.LEMONDUCK.YPAE-A
Windows
マルウェアタイプ:
ワーム
破壊活動の有無:
なし
暗号化:
はい
感染報告の有無 :
はい
概要
ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。 ワームは、感染ネットワーク共有フォルダを介して、コンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。 ワームは、リモートサイトから他の不正プログラムにダウンロードされ、コンピュータに侵入します。
ワームは、ソフトウェアに存在する脆弱性を利用して、ネットワーク上で感染活動をします。
詳細
侵入方法
ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。
ワームは、感染ネットワーク共有フォルダを介して、コンピュータに侵入します。
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
ワームは、リモートサイトから以下の不正プログラムによりダウンロードされ、コンピュータに侵入します。
インストール
ワームは、以下のファイルを作成します。
- {Removable/Network Drive name}\Dblue3.lnk
- {Removable/Network Drive name}\Eblue3.lnk
- {Removable/Network Drive name}\Fblue3.lnk
- {Removable/Network Drive name}\Gblue3.lnk
- {Removable/Network Drive name}\Hblue3.lnk
- {Removable/Network Drive name}\Iblue3.lnk
- {Removable/Network Drive name}\Jblue3.lnk
- {Removable/Network Drive name}\Dblue6.lnk
- {Removable/Network Drive name}\Eblue6.lnk
- {Removable/Network Drive name}\Fblue6.lnk
- {Removable/Network Drive name}\Gblue6.lnk
- {Removable/Network Drive name}\Hblue6.lnk
- {Removable/Network Drive name}\Iblue6.lnk
- {Removable/Network Drive name}\Jblue6.lnk
- {Removable/Network Drive name}\readme.js -> detected as Trojan.JS.LEMONDUCK.MC
- {Removable/Network Drive name}\UTFsync\inf_data - serves as infection marker
- {Removable/Network Drive name}\Kblue6.lnk – detected as Trojan.Win64.SHELMA.SMB1
- %Temp%\mimi.dat - detected as HackTool.Win64.MIMIKATZ.AL.component
- %Temp%\m6.bin - detected as Trojan.PS1.LEMONDUCK.D
- {Removable/Network Drive name}\Kblue3.lnk – detected as Trojan.Win32.POWLOAD.CMPNPD
ワームは、以下のプロセスを追加します。
- "%System%\NETSTAT.EXE" -anop TCP
- "%System%\ipconfig.exe" /all
- "%System%\ipconfig.exe" /displaydns
- "%System%\NETSTAT.EXE" -ano
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)
ワームは、以下のフォルダを作成します。
- {Removable Drive}:\UTFsync
感染活動
ワームは、以下のソフトウェアに存在する脆弱性を利用して、ネットワーク上で感染活動をします。
プロセスの終了
ワームは、感染コンピュータ上で確認した以下のサービスを終了します。
- .Net CLR
- 360rTys
- \gm
- ALGM
- aspnet_staters
- AxInstSV
- ClipBooks
- CLR
- clr_optimization
- DNS Server
- ExpressVNService
- IPSECS
- lsass
- Microsoft
- Microsoft Telemetry
- MpeSvc
- mssecsvc2.0
- mssecsvc2.1
- Natimmonal
- Nationaaal
- National
- Nationalaie
- Nationalmll
- Nationaloll
- Nationalwpi
- NetMsmqActiv Media NVIDIA
- Oracleupdate
- RpcEptManger
- Samserver
- Serhiez
- Sncryption Media Playeq
- Sougoudl
- SRDSL
- SuperProServer
- SvcNlauser
- SVSHost
- SxS
- sysmgt
- system
- taskmgr1
- WebServers
- WifiService
- Windows Managers
- Windows_Update
- WinHasdadelp32
- WinHasdelp32
- WinHelp32
- WinHelp64
- WinHelpSvcs
- WinSvc
- WinVaultSvc
- WissssssnHelp32
- WmdnPnSN
- wmiApServs
- wmiApSrvs
- WWW.DDOS.CN.COM
- Xtfy
- Xtfya
- Xtfyxxx
- xWinWpdSrv
- Zational
ワームは、感染コンピュータ上でプロセスが常駐されていることを確認した場合、以下のいずれかの文字列を含むプロセスまたはサービスを終了します。
- 360
- 8866
- 9696
- 9797
- 9966
- auto-upgeade
- Avira
- Calligrap
- cara
- Carbon
- carss
- cohernece
- conhoste
- csrsc
- DW20
- explores
- Galligrp
- gxdrv
- Imaging
- javaupd
- lsmosee
- minerd
- MinerGate
- msinfo
- ress
- SC
- SearchIndex
- secuams
- service
- Setring
- Setting
- Sqlceqp
- SQLEXPRESS_X64_86
- SQLforwin
- svchosti
- svshost
- SystemIIS
- SystemIISSec
- taskegr
- taskmgr1
- Terms.EXE
- Uninsta
- update
- upgeade
- WerFault
- WerMgr
- win
- WindowsDefender
- WindowsUpdater
- Workstation
- xig
- XMR
- xmrig
- yamm1
作成活動
ワームは、以下のソフトウェアに存在する脆弱性を利用して感染活動をします。この脆弱性が利用されると、ワームは不正なファイルを作成します。
情報漏えい
ワームは、以下の情報を収集します。
- Computer Name
- Computer Uptime
- Computer Username
- Domain Information
- Graphics Card Information
- GUID
- MAC Address
- OS Information
その他
ワームは、以下を実行します。
- It deletes the following scheduled tasks:
- AdobeFlashPlayer
- Bluetooths
- Credentials
- Ddrivers
- DNS
- DNS2
- DnsCore
- DnsCore
- DnsScan
- ECDnsCore
- Flash
- FlashPlayer1
- FlashPlayer2
- FlashPlayer3
- gm
- GooglePingConfigs
- HispDemorn
- HomeGroupProvider
- IIS
- LimeRAT-Admin
- Microsoft Telemetry
- Miscfost
- MiscfostNsi
- my1
- Mysa
- Mysa1
- Mysa2
- Mysa3
- Netframework
- ngm
- ok
- Oracle Java
- Oracle Java Update
- Oracle Products Reporter
- RavTask
- skycmd
- Sorry
- Spooler SubSystem Service
- SYSTEM
- System Log Security Check
- SYSTEMa
- TablteInputout
- Update
- Update service for products
- Update service for Windows Service
- Update1
- Update2
- Update3
- Update4
- Update_windows
- WebServers
- werclpsyport
- Windows_Update
- WindowsLogTasks
- WindowsUpdate1
- WindowsUpdate2
- WindowsUpdate3
- WwANsvc
- It terminates the processes that contain the following strings in its command line:
- --max-cpu-usage
- -donate-level
- -p x
- blazepool
- blockmasters
- blockmasterscoins
- bohemianpool
- cryptmonero
- crypto-pool
- cryptonight
- dwarfpool
- hashrefinery
- hashvault.pro
- iwanttoearn.money
- mine.bz
- minercircle.com
- minergate
- miners.pro
- mineXMR
- mineXMR
- mineXMR
- mineXMR
- miningpoolhubcoins
- mixpools.org
- mixpools.org
- monero
- monero.lindon-pool.win
- moriaxmr.com
- mypool.online
- nanopool.org
- nicehash
- onero
- pool.electroneum.hashvau
- pool.monero.hashvault.pr
- pool.xmr
- poolto.be
- prohash
- prohash.net
- ratchetmining.com
- slushpool
- stratum+
- suprnova.cc
- teracycle.net
- usxmrpool
- viaxmr.com
- xmrpool
- yiimp
- zergpool
- zergpoolcoins
- zpool
- It is capable of propagating in the local network via the following means:
- SMB Exploit (MS17-010)
- MSSQL Brute forcing
- Dumping Windows Domain Credentials using any of the following techniques/tools:
- Mimikatz
- Pass-The-Hash
- It is capable of performing RDP Brute Force Attack using the following credentials:
- Username
- Administrator
- Password
- !@#$%^&*
- 000000
- 1
- 1111
- 111111
- 111111111
- 112233
- 11223344
- 12
- 121212
- 123
- 123
- 123
- 123!@#qwe
- 123.com
- 123123123
- 123321
- 1234
- 12345
- 123456
- 123456
- 1234567
- 12345678
- 123456789
- 1234567890
- 123456789a
- 123456a
- 123@abc
- 123qwe
- 123qwe!@#
- 1q2w3e4r
- 1q2w3e4r5t
- 1qaz!QAZ
- 1qaz2wsx
- 1qaz@WSX
- 21
- 321
- 5201314
- 55
- 5555
- 654321
- 666666
- 7222222
- 888888
- 88888888
- 987654321
- 999999
- A123456
- A123456
- a123456789
- Aa
- aa123456
- Aa123456.
- Aa12345678
- aaaaaa
- Ab123
- abc
- abc123
- abc123
- abc@123
- ABCabc123
- abcd1234
- abcd@1234
- abcdefg
- admin
- Admin123
- admin888
- Admin@123
- Admin@123
- administrator
- administrator
- asdf
- baseball
- charlie
- dragon
- dubsmash
- football
- fuckyou
- g_czechout
- golden
- hello
- homelesspa
- Huawei@123
- iloveyou
- login
- love
- master
- monkey
- P@SSW0RD
- P@SSW0RD
- P@SSW0RD
- P@SSWORD
- P@SSWORD
- P@SSWORD
- P@w0rd
- P@word
- pass
- passw0rd
- passw0rd
- PASSWORD
- PASSWORD
- password1
- princess
- qazwsx
- qwe123
- qwe1234
- qwe1234a
- qwe1234a
- qwer12345
- qwerty
- qwertyuiop
- sa
- sa123
- sa2008
- saadmin
- sapassword
- sasa
- sql2005
- sql2008
- sqlpassword
- sunshine
- superman
- test1
- welcome
- zinch
- zxcvbn
- NTLM Hashes
- 00AFFD88FA323B00D4560BF9FEF0EC2F
- 066DDFD4EF0E9CD7C256FE77191EF43C
- 0D757AD173D2FC249CE19364FD64C8EC
- 0E032B9D51A580AC6CDFABAD8BC97A38
- 13B29964CC2480B4EF454C59562E675C
- 152EFBCFAFEB22EABDA8FC5E68697A41
- 161CFF084477FE596A5DB81874498A24
- 162E829BE112225FEDF856E38E1C65FE
- 1C4ECC8938FB93812779077127E97662
- 209C6174DA490CAEB422F3FA5A7AE634
- 259745CB123A52AA2E693AAACCA2DB52
- 2D20D252A479F485CDF5E171D93985BF
- 2D7F1A5A61D3A96FB5159B5EEF17ADC6
- 2E4DBF83AA056289935DAEA328977B20
- 2F2D544C53B3031F24D63402EA7FB4F9
- 30FCAA8AD9A496B3E17F7FBFACC72993
- 31FC0DC8F7DFAD0E8BD7CCC3842F2CE9
- 320A78179516C385E35A93FFA0B1C4AC
- 328727B81CA05805A68EF26ACB252039
- 32ED87BDB5FDC5E9CBA88547376818D4
- 36AA83BDCAB3C9FDAF321CA42A31C3FC
- 3DBDE697D71690A769204BEB12283678
- 3F9F5F112DA330AC4C20BE279C6ADDFA
- 3FA45A060BD2693AE4C05B601D05CA0C
- 4057B60B514C5402DDE3D29A1845C366
- 41630ABB825CA50DA31CE1FAC1E9F54D
- 47BF8039A8506CD67C524A03FF84BA4E
- 4ED91524CB54EAACC17A185646FB7491
- 570A9A65DB8FBA761C1008A51D4C95AB
- 579110C49145015C47ECD267657D3174
- 579DA618CFBFA85247ACF1F800A280A4
- 5835048CE94AD0564E29A924A03510EF
- 588FEB889288FB953B5F094D47D1565C
- 5AE7B89B3AFEA28D448ED31B5C704289
- 648AFF3A042261BAB4978076DE2C6B8C
- 674E48B68C5CD0EFD8F7E5FAA87B3D1E
- 6920C58D0DF184D829189C44FAFB7ECE
- 69943C5E63B4D2C104DBBCC15138B72B
- 6AA8BC1D5018300D54E51C9860FA961C
- 6D3986E540A63647454A50E26477EF94
- 6F12C0AB327E099821BD938F39FAAB0D
- 71C5391067DE41FAD6F3063162E5EEFF
- 72F5CFA80F07819CCBCFB72FEB9EB9B7
- 73F5D97549F033374FA6D9F9CE247FFD
- 7A21990FCD3D759941E45C490F143D5F
- 7B592E4F8178B4C75788531B2E747687
- 7CE21F17C0AEE7FB9CEBA532D0546AD6
- 81E5F1ADC94DD08B1A072F9C1AE3DD3F
- 85DEEEC2D12F917783B689AE94990716
- 8846F7EAEE8FB117AD06BDD830B7586C
- A4141712F19E9DD5ADF16919BB38A95C
- A80C9CC3F8439ADA25AF064A874EFE2D
- A836EF24F0A529688BE2AF1479A95411
- A87F3A337D73085C45F9416BE5787D86
- AA647B916A1FAD374DF9C30711D58A7A
- AACD12D27C87CAC8FC0B8538AED6F058
- ACB98FD0478427CD18949050C5E87B47
- AD70819C5BC807280974D80F45982011
- AF27EFB60C7B238910EFE2A7E0676A39
- AFFFEBA176210FAD4628F0524BFE1942
- B3EC3E03E2A202CBD54FD104B8504FEF
- B963C57010F218EDC2CC3C229B5E4D0F
- B9ACFD3C52ED0D6988BED8EB9AC636D6
- B9F917853E3DBF6E6831ECCE60725930
- BA07BA35933E5BF42DEA4AF8ADD09D1E
- BC007082D32777855E253FD4DEFE70EE
- BCDF115FD9BA99336C31E176EE34B304
- C1790553DBB8362FA7F16D564585B4D1
- C22B315C040AE6E0EFEE3518D830362B
- D144986C6122B1B1654BA39932465528
- D30C2EF8389AC9E8516BAACB29463B7B
- DE26CCE0356891A4A020E7C4957AFC72
- DF54DE3F3438343202C1DD523D0265BE
- E19CCF75EE54E06B06A5907AF13CEF42
- E1A692BD23BDE99B327756E59308B4F8
- E45A314C664D40A227F9540121D1A29D
- E5810F3C99AE2ABB2232ED8458A61309
- E5AE562DDFAA6B446C32764AB1EBF3ED
- E6BD4CDB1E447131B60418F31D0B81D6
- E7380AE8EF85AE55BDCEAA59E418BD06
- E84D037613721532E6B6D84D215854B6
- E8CD0E4A9E89EAB931DC5338FCBEC54A
- F1351AC828428D74F6DA2968089FC91F
- F2477A144DFF4F216AB81F2AC3E3207D
- F4BB18C1165A89248F9E853B269A8995
- F56A8399599F1BE040128B1DD9623C29
- F67F5E3F66EFD7298BE6ACD32EEEB27C
- F9E37E83B83C47A93C2F09F66408631B
- Username
- It terminates any process found to be connected to the following ports:
- 1111
- 13333
- 14433
- 14444
- 16633
- 16666
- 2222
- 3333
- 4444
- 45560
- 55335
- 5555
- 65333
- 6633
- 6666
- 7777
- 8888
- 9980
- 9999
対応方法
手順 1
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
Windowsをセーフモードで再起動します。
手順 4
以下のフォルダを検索し削除します。
- {Removable/Network Drive name}\UTFsync
手順 5
以下のファイルを検索し削除します。
- {Removable/Network Drive name}\Dblue3.lnk
- {Removable/Network Drive name}\Eblue3.lnk
- {Removable/Network Drive name}\Fblue3.lnk
- {Removable/Network Drive name}\Gblue3.lnk
- {Removable/Network Drive name}\Hblue3.lnk
- {Removable/Network Drive name}\Iblue3.lnk
- {Removable/Network Drive name}\Jblue3.lnk
- {Removable/Network Drive name}\Kblue3.lnk
- {Removable/Network Drive name}\Dblue6.lnk
- {Removable/Network Drive name}\Eblue6.lnk
- {Removable/Network Drive name}\Fblue6.lnk
- {Removable/Network Drive name}\Gblue6.lnk
- {Removable/Network Drive name}\Hblue6.lnk
- {Removable/Network Drive name}\Iblue6.lnk
- {Removable/Network Drive name}\Jblue6.lnk
- {Removable/Network Drive name}\Kblue6.lnk
- {Removable/Network Drive name}\readme.js
- {Removable/Network Drive name}\UTFsync\inf_data
手順 6
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「Worm.PS1.LEMONDUCK.YPAE-A」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください