Trend Micro Security

TROJ_CRYPWALL.CBQ158C

2015年10月10日
 解析者: Anthony Joe Melgarejo   

 別名:

Ransom:Win32/Crowti.A (Microsoft); Trojan.Cryptodefense (Symantec), Trojan-Ransom.Win32.Cryptodef.xru (Kaspersky),

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェア マルウェアは、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。


  詳細

ファイルサイズ 174,259 bytes
タイプ EXE
メモリ常駐 はい
発見日 2015年10月10日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %System Root%\{random 8 characters}\{random 8 characters}.exe
  • %Application Data%\{random 8 characters}.exe
  • %User Startup%\{random 8 characters}.exe

(註:%System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.. %Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.. %User Startup%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>\Start Menu\Programs\Startup" 、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、" C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。.)

マルウェアは、以下のファイルを作成します。

  • %Desktop%\HELP_DECRYPT.HTML
  • %Desktop%\HELP_DECRYPT.PNG
  • %Desktop%\HELP_DECRYPT.TXT
  • %Desktop%\HELP_DECRYPT.URL
  • %User Startup%\HELP_DECRYPT.HTML
  • %User Startup%\HELP_DECRYPT.PNG
  • %User Startup%\HELP_DECRYPT.TXT
  • %User Startup%\HELP_DECRYPT.URL

(註:%Desktop%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Desktop"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\Desktop" です。.. %User Startup%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>\Start Menu\Programs\Startup" 、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、" C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。.)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random 7 characters} = "%System Root%\{random 8 characters}\{random 8 characters}.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random 8 characters} = "%Application Data%\{random 8 characters}.exe"

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\{UID}

マルウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\{UID}
{random 2 characters} = "{RSA PUBLIC KEY} "

HKEY_CURRENT_USER\Software\{UID}
{random 2 characters} = "{contents of HELP_DECRYPT.TXT}"

HKEY_CURRENT_USER\Software\{UID}
{random 2 characters} = "{contents of HELP_DECRYPT.HTML}"

HKEY_CURRENT_USER\Software\{UID}
{random 2 characters} = "{contents of HELP_DECRYPT.URL}"

HKEY_CURRENT_USER\Software\{UID}\
{random key}
{Path and file of encrypted file} = "{hex values}"

マルウェアは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ERSvc
Start = "4"

(註:変更前の上記レジストリ値は、「2」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
Start = "4"

(註:変更前の上記レジストリ値は、「2」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\BITS
Start = "4"

(註:変更前の上記レジストリ値は、「2」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv
Start = "4"

(註:変更前の上記レジストリ値は、「2」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SystemRestore
DisableSR = "1"

(註:変更前の上記レジストリ値は、「0」となります。)

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

  • http://{BLOCKED}lane.co.id/site/ccccc.php
  • http://{BLOCKED}ansas.com/wp-content/plugins/wp-antibot-standart/rrrr.php
  • http://{BLOCKED}ona.com/plugins/system/plg_system_rewrite/rr.php
  • http://{BLOCKED}ysts.com/wp-content/uploads/rrr.php
  • http://{BLOCKED}ai.net/wp-content/themes/twentytwelve/rr.php
  • http://{BLOCKED}mias.com/wp-content/uploads/r.php
  • http://{BLOCKED}tage.com/wp-content/uploads/rrrr.php
  • http://{BLOCKED}yle1974.com/wp-content/uploads/rrr.php
  • http://{BLOCKED}m.com/wp-content/themes/xinji/rrrr.php
  • http://{BLOCKED}ab.kz/wp-content/uploads/rrr.php
  • http://{BLOCKED}24.de/templates/atomic/rr.php
  • http://{BLOCKED}azonia.com/wp-content/uploads/r.php
  • http://{BLOCKED}hcebakim.com/wp-content/uploads/rrrr.php
  • http://{BLOCKED}eep.com/wp-content/uploads/rrr.php
  • http://{BLOCKED}-jewelry.com/wp-content/uploads/rr.php
  • http://{BLOCKED}d.pl/wp-content/uploads/rrrrr.php
  • http://{BLOCKED}k.cz/wp-content/uploads/rrrr.php
  • http://{BLOCKED}eaguehomerepair.com/wp-content/uploads/rrrr.php
  • http://{BLOCKED}egypt.com/blog/wp-content/themes/twentyfourteen/rrr.php
  • http://{BLOCKED}npeople.com.br/wp-content/themes/mazine/rrrrr.php
  • http://{BLOCKED}nesexboys.com/wp-content/uploads/rrrr.php
  • http://{BLOCKED}okerage.com/wp-content/plugins/wp-antibot-standart/rrr.php
  • http://{BLOCKED}ross.com/wp-content/themes/twentyeleven/ccccc.php
  • http://{BLOCKED}pan.com/wp-content/plugins/bwp-recent-comments/ccc.php
  • http://{BLOCKED}ndermagic.com/wp-content/plugins/wp-quick-contact-us/cc.php
  • http://{BLOCKED}midwifery.com/wp-content/plugins/ultimate-branding/c.php
  • http://{BLOCKED}-x.com/wp-content/plugins/sitepress-multilingual-cms/ccccc.php
  • http://{BLOCKED}zzauruguay.com/wp-content/wp-content/themes/twentythirteen/cccc.php
  • http://{BLOCKED}zzabrasil.com/wp-content/plugins/revision-control/ccc.php
  • http://{BLOCKED}zzacolombia.com/wp-content/plugins/pods/cc.php
  • http://{BLOCKED}zzavenezuela.com/wp-content/plugins/stickyfooter/ccccc.php
  • http://{BLOCKED}ityneuroclinic.com/wp-content/themes/twentytwelve/cccc.php
  • http://{BLOCKED}zzachile.com/wp-content/plugins/gravityforms/ccc.php
  • http://{BLOCKED}tao.com/wp-content/themes/twentyeleven/cc.php
  • http://{BLOCKED}renderamaquillarse.com/wp-content/themes/twentyten/c.php
  • http://{BLOCKED}scrosson.com/wp-content/plugins/woodojo/ccccc.php
  • http://{BLOCKED}yfross.com/wp-content/themes/twentyfourteen/cccc.php
  • http://{BLOCKED}sonakeychain.com/wp-content/plugins/wp-smushit/ccc.php
  • http://{BLOCKED}t-into-cash.com/wp-content/plugins/pretty-link/cc.php
  • http://{BLOCKED}h.com/wp-content/themes/twentytwelve/c.php
  • http://{BLOCKED}comtechnologies.com/wp-content/plugins/jetpack/ccccc.php
  • http://{BLOCKED}up.co.il/wp-content/plugins/revslider/temp/cccc.php
  • http://{BLOCKED}-drivers.com/wp-content/plugins/revslider/temp/cc.php
  • http://{BLOCKED}lnirs.com/wp-content/plugins/revslider/temp/c.php
  • http://{BLOCKED}pranationalthailand.com/wp-content/cccc.php
  • http://{BLOCKED}tofmycamera.com/albums/ccc.php
  • http://{BLOCKED}toyou.com/download/cc.php
  • http://{BLOCKED}aproci.mazury.pl/images/ccccc.php
  • http://{BLOCKED}c.com/board/cccc.php
  • http://{BLOCKED}h.com/ckfinder/cc.php

マルウェア は、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。