TROJ_EMOTET.XXRW

2015年6月26日

解析者: Cris Nowell Pantanilla

別名:

Trojan:Win32/Emotet.G (Microsoft); Backdoor.Win32.Androm.hfkr (Fortinet)

プラットフォーム:

Windows

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ: スパイウェア
破壊活動の有無: なし
暗号化: はい
感染報告の有無: はい

概要

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ただし、情報公開日現在、このWebサイトにはアクセスできません。

詳細

ファイルサイズ 151,552 bytes

タイプ EXE

メモリ常駐はい

発見日 2015年6月10日

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

%AppDataLocal%\{random}.exe

(註：%AppDataLocal%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local" です。)

スパイウェアは、以下の通常のプロセスにスレッドを組み込みます。

explorer.exe

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random} = = "%AppDataLocal%\{random}.exe"

他のシステム変更

スパイウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
GlobalUserOffline = "0"

その他

スパイウェアは、以下の不正なWebサイトにアクセスします。

http://{BLOCKED}.{BLOCKED}.148.38:8080/{random}/{random}.php
http://{BLOCKED}.{BLOCKED}.38.36:8080/{random}/{random}.php
http://{BLOCKED}.{BLOCKED}.17.211:8080/{random}/{random}.php
http://{BLOCKED}.{BLOCKED}.133.96:8080/{random}/{random}.php
http://{BLOCKED}.{BLOCKED}.201.56:8080/{random}/{random}.php
http://{BLOCKED}.{BLOCKED}.209.150:8080/{random}/{random}.php
http://{BLOCKED}.{BLOCKED}.244.17:8080/{random}/{random}.php
http://{BLOCKED}.{BLOCKED}.96:8080/{random}/{random}.php

ただし、情報公開日現在、このWebサイトにはアクセスできません。