Trend Micro Security

Trojan.Win64.BUMBLELOADER.YXDIBZ

2023年9月28日
 解析者: Jayvee Mark Villaroman   
 別名:

Trojan:Win64/BumbleBee.ZB!MTB (MICROSOFT), Trojan-Downloader.Win64.BumbleBee.afv (KASPERSKY)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化: はい
  • 感染報告の有無: はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、仮想環境内で実行されると、自身の活動を終了します。 ただし、情報公開日現在、このWebサイトにはアクセスできません。

  詳細

ファイルサイズ 1,181,184 bytes
タイプ EXE
メモリ常駐 なし
発見日 2023年9月14日
ペイロード URLまたはIPアドレスに接続, プロセスの強制終了

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染コンピュータ上のメモリに以下のプロセスを確認すると、自身を終了します。

  • vmtoolsd.exe
  • vmwaretray.exe
  • vmwareuser.exe
  • VGAuthService.exe
  • vmacthlp.exe
  • VMSrvc.exe
  • VMUSrvc.exe
  • qemu-ga.exe
  • vdagent.exe
  • vdservice.exe

その他

マルウェアは、仮想環境内で実行されると、自身の活動を終了します。

マルウェアは、以下を実行します。

  • It terminates itself if the system's MAC address starts in the following:
    • 00:05:69
    • 00:0C:29
    • 00:1C:14
    • 00:50:56
  • It terminates itself if the malware name matches the following:
    • sample.exe
    • bot.exe
    • sandbox.exe
    • malware.exe
    • test.exe
    • klvme.exe
    • myapp.exe
    • testapp.exe
    • It terminates itself if the following directories are found in the system:
      • qemu-ga
      • SPICE Guest Tools
    • It uses Domain Generation Algorithm (DGA) with ".life" TLD to connect and receive data from the following URLs:
      • https://{BLOCKED}1zeiu.life
      • https://{BLOCKED}2ot5u.life
      • https://{BLOCKED}i5kwx.life
      • https://{BLOCKED}1xnl9.life
      • https://{BLOCKED}wt1ao.life

    ただし、情報公開日現在、このWebサイトにはアクセスできません。

    マルウェアは、以下のいずれかのユーザ名が感染コンピュータで確認される場合、自身を終了します。

    • CurrentUser
    • Sandbox
    • Emily
    • HAPUBWS
    • Hong Lee
    • IT-ADMIN
    • Johnson
    • Miller
    • milozs
    • Peter Wilson
    • timmy
    • sand box
    • malware
    • maltest
    • test user
    • virus
    • John Doe

    マルウェアは、以下の仮想環境やサンドボックスに関連したモジュールが感染コンピュータ内に存在していないかを確認します。

    • VMWare
    • VirtualBox
    • qemu

      対応方法

    対応検索エンジン: 9.800
    初回 VSAPI パターンバージョン 18.671.00
    初回 VSAPI パターンリリース日 2023年9月1日
    VSAPI OPR パターンバージョン 18.671.00
    VSAPI OPR パターンリリース日 2023年9月1日

    手順 1

    トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。

      •  Ransom.Win32.TRX.XXPE50FFF072

    手順 2

    Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

    手順 3

    最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Trojan.Win64.BUMBLELOADER.YXDIBZ」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


    ご利用はいかがでしたか? アンケートにご協力ください