TrojanSpy.MSIL.LUMMAC.C
Trojan:MSIL/LummaStealer.B!MTB (MICROSOFT)
Windows
- マルウェアタイプ: スパイウェア/情報窃取型
- 破壊活動の有無: なし
- 暗号化: はい
- 感染報告の有無: はい
概要
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
スパイウェアは、特定のWebサイトにアクセスし、情報を送受信します。
詳細
侵入方法
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
スパイウェアは、以下のプロセスを追加します。
- "%Windows%\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"
(註:%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)
スパイウェアは、以下のプロセスにコードを組み込みます。
- RegAsm.exe
ダウンロード活動
スパイウェアは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。
- http:/{BLOCKED}techs.com/Amdaygo.exe → Detected as Trojan.Win32.AMADEY.YXDHDZ
情報漏えい
スパイウェアは、以下の情報を収集します。
- Computer Name
- OS Information
- CPU Information
- Screen Resolution
- System Language
- Physical Memory Installed
情報収集
スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。
- http://{BLOCKED}c-node.io/c2sock
- http://{BLOCKED}fe.xyz/c2sock
その他
スパイウェアは、以下のWebサイトにアクセスし、情報を送受信します。
- http://{BLOCKED|c-node.io/c2conf
- http://{BLOCKED}fe.xyz/c2conf
スパイウェアは、以下を実行します。
- It has the following capabilities:
- Loader function (Execute/Load downloaded executables or DLL files)
- Execute PowerShell script
- Manage files (Upload/Download files from server)
- Manage processes (Create list)
- Delete itself after execution
- It exfiltrates the following data from Google Chrome.
- History
- Login Data
- Login Data For Account
- Web Data
- Network\Cookies
- Local Storage\leveldb
- Local Storage\leveldb
- It exfiltrates the following data from Mozilla Firefox.
- %appdata%\Mozilla\Firefox\Profiles
- key4.db
- cert9.db
- formhistory.sqlite
- cookies.sqlite
- logins.json
- places.sqlite
- It exfiltrates data from the following appilication.
- AnyDesk
- .conf
- %appdata%\AnyDesk
- FileZilla
- recentservers.xml
- sitemanager.xml
- KeePass
- .kbdx
- Steam
- ssfn*
- %programfiles%\Steam\config
- Telegram
- s*
- AnyDesk
- It exfiltrates User Data found on the following Browsers.
- Chrome
- Chromium
- Edge
- Kometa
- Opera Stable
- Opera GX Stable
- Opera Neon
- Brave Software
- Comodo
- CocCoc
- It exfiltrates data on the following crypto wallets.
- Binance
- Electrum
- Ethereum
- Exodus
- Ledger Live
- Atomic
- Coinomi
- Authy Desktop
- Bitcoin core
- JAXX New Version
- It exfiltrates data found on the following mail client applications.
- Windows Mail
- %localappdata%\Microsoft\Windows Mail\Local Folders
- .eml
- The Bat!
- %localappdata%\The Bat!
- Mail Clients\The Bat\Local
- .TBB
- .TBN
- .MSG
- .EML
- .MSB
- .mbox
- .ABD
- .FLX
- .TBK
- .HBI
- Thunderbird
- %appdata%\Thunderbird\Profiles
- PMAIL
- .CNM
- .PMF
- .PMN
- .PML
- CACHE.PM
- .WPM
- .PM
- .USR
- Mailbird
- Mail Clients\Mailbird
- \MessageIndex
- .db
- eM Client
- .dat
- .dat-shm
- .dat-wal
- Windows Mail
- It exfiltrates crypto currency browser wallet extensions and 2FA applications.
対応方法
手順 1
トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。
- TROJ.Win32.TRX.XXPE50FFF072
手順 2
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 3
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TrojanSpy.MSIL.LUMMAC.C」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください