Trend Micro Security

TROJ_PHULLI.A

2018年8月7日
 解析者: Kiyoshi Obuchi   
 別名:

Trojan.Luminrat (Symantec) ; Mal/MSIL-TH (Sophos); VirTool:MSIL/Subti.N (Microsoft)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: ワーム
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 2,154,008 bytes
タイプ EXE
発見日 2017年3月21日

侵入方法

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、以下のファイルを作成します。

  • %Application Data%\conhost\Guard\1
  • %Application Data%\conhost\Screenshots\{DATE}\{TIME}
  • %Application Data%\rat.exe
  • %Application Data%\svchost.exe
  • %Application Data%\Windows Update.exe
  • %Program Files%\Client\svchost.exe
  • %System%\clientmonitor.exe
  • %System%\Tasks\adorbe
  • %User Startup%\BGInfo.lnk

(註:%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。. %Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。Windows 2000、Server 2003、XP(32-bit),Vista(32-bit)、7(32-bit)、8(32-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)の場合、通常 "C:\Program Files(x86)" です。. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %User Startup%フォルダは、現在ログオンしているユーザのスタートアップフォルダです。Windows 98およびMEの場合、通常 "C:\Windows\Profiles\<ユーザ名>\Start Menu\Programs\Startup" です。Windows NTの場合、通常 "C:\WINNT\Profiles\<ユーザ名>\Start Menu\Programs\Startup" です。Windows XPの場合、通常 "C:\Documents and Settings\<ユーザ名>\Start Menu\Programs\Startup" です。Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。)

ワームは、以下のフォルダを作成します。

  • %Application Data%\conhost\Logs
  • %Application Data%\conhost\Files
  • %Application Data%\conhost\Screenshot
  • %Application Data%\conhost\Guard

(註:%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)

他のシステム変更

ワームは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\s
sgrbBHDMOetyRkExVphQ== = RFTOim3TdAczhLTaDSizdxjwt336geGUtGenylg+am0=

HKEY_CURRENT_USER\Software\ZGDbZx4E
XnSXF8mqincQA== = 4fbtXk5r4LkQK0vi0v2OsQZ10pFACK4j4YqRkpj7sEs=

HKEY_CURRENT_USER\Software
MTX = 0bcf24549a8536869fa6e8c81d24506f35b5fbb1

HKEY_CURRENT_USER\Software
PTH = "%Program Files%\Client\svchost.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon
shell = "explorer.exe,"%System%\clientmonitor.exe""

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Schedule\
TaskCache\Tree\adorbe
Index = "3"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunOnce
adorbe = "cmd /c "start "adorbe" "%Program Files%\Client\svchost.exe""

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Update = %Application Data%\svehost.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Update = %Application Data%\svehost.exe

その他

ワームは、以下の不正なWebサイトにアクセスします。

  • enugu0421.{BLOCKED}s.net
  • s.{BLOCKED}d.com
  • sw.{BLOCKED}d.com
  • s.{BLOCKED}b.com
  • sw.{BLOCKED}b.com
  • s2.{BLOCKED}b.com
  • s1.{BLOCKED}b.com
  • sv.{BLOCKED}d.com
  • sv.{BLOCKED}b.com
  • ss.{BLOCKED}d.com
  • gn.{BLOCKED}d.com