Trend Micro Security

Trojan.X97M.EMOTET.UIOIBEOB

2023年4月27日
 解析者: Francesca Villasanta   

 別名:

HEUR:Trojan.Script.Generic (KASPERSKY); TrojanDownloader:O97M/Emotet.RKC!MTB (MICROSOFT)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要

感染経路 他のマルウェアからの作成

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ただし、情報公開日現在、このWebサイトにはアクセスできません。


  詳細

ファイルサイズ 47,616 bytes
タイプ XLS
メモリ常駐 なし
発見日 2022年6月10日
ペイロード URLまたはIPアドレスに接続

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のプロセスを追加します。

  • %System%\regsvr32.exe /S {Parent of default Excel save path}\wdusx1.ocx
  • %System%\regsvr32.exe /S {Parent of default Excel save path}\wdusx2.ocx
  • %System%\regsvr32.exe /S {Parent of default Excel save path}\wdusx3.ocx

(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

  • http://{BLOCKED}.{BLOCKED}.{BLOCKED}.55/2021/z/
  • http://{BLOCKED}.{BLOCKED}.{BLOCKED}.243/dealspot/SvebxVmFucz/
  • https://{BLOCKED}me.gr/test/SSzbOkk633/

ただし、情報公開日現在、このWebサイトにはアクセスできません。