TrojanSpy.PS1.NEGASTEAL.FBV
Trojan.PS.Agent (IKARUS); PowerShell/TrojanDownloader.Agent.HGV trojan (NOD32)
Windows
- マルウェアタイプ: スパイウェア/情報窃取型
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
スパイウェアは、実行後、自身を削除します。
詳細
侵入方法
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
スパイウェアは、以下のファイルを作成します。
- %ProgramData%\TUKHAMTASSER\Sexology.~!!!!!!!!!!!!!!!!~ ← deleted afterwards
- %ProgramData%\TUKHAMTASSER\NIKKIL_LORY.vbs ← later moved to %User Startup%\NIKKIL_LORY.vbs
- %System Root%\drivers\etc\hosts
(註:%ProgramData%フォルダは、マルチユーザーシステムにおいて任意のユーザがプログラムに変更を加えることができるプログラムファイルフォルダのバージョンです。これには、すべてのユーザのアプリケーションデータが含まれます。Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData" です。Windows Server 2003(32-bit)、2000(32-bit)、XPの場合、通常 "C:\Documents and Settings\All Users" です。 . %User Startup%フォルダは、現在ログオンしているユーザのスタートアップフォルダです。Windows 98およびMEの場合、通常 "C:\Windows\Profiles\<ユーザ名>\Start Menu\Programs\Startup" です。Windows NTの場合、通常 "C:\WINNT\Profiles\<ユーザ名>\Start Menu\Programs\Startup" です。Windows 2003(32-bit)、XP、2000(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Start Menu\Programs\Startup" です。Windows Vista、7、8、 8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。. %System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)
スパイウェアは、以下のプロセスを追加します。
- "%System%\net.exe" user {Malware Created User} /add
- "%System%\net.exe" user {Malware Created User} {Password}
- "%System%\net.exe" localgroup administrators {Malware Created User} /add
- "%System%\net.exe" localgroup "Remote Desktop Users" {Malware Created User} /add
- "%System%\net.exe" stop WdNisSvc
- "%System%\netsh.exe" advfirewall set allprofiles state off
- "%System%\schtasks.exe" /create /sc MINUTE /mo 187 /tn clomepe /F /tr "wscript /nologo %ProgramData%\TUKHAMTASSER\NIKKIL_LORY.vbs"
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %ProgramData%フォルダは、マルチユーザーシステムにおいて任意のユーザがプログラムに変更を加えることができるプログラムファイルフォルダのバージョンです。これには、すべてのユーザのアプリケーションデータが含まれます。Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData" です。Windows Server 2003(32-bit)、2000(32-bit)、XPの場合、通常 "C:\Documents and Settings\All Users" です。 )
スパイウェアは、以下のフォルダを作成します。
- %ProgramData%\TUKHAMTASSER
(註:%ProgramData%フォルダは、マルチユーザーシステムにおいて任意のユーザがプログラムに変更を加えることができるプログラムファイルフォルダのバージョンです。これには、すべてのユーザのアプリケーションデータが含まれます。Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData" です。Windows Server 2003(32-bit)、2000(32-bit)、XPの場合、通常 "C:\Documents and Settings\All Users" です。 )
スパイウェアは、実行後、自身を削除します。
他のシステム変更
スパイウェアは、インストールの過程で、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Classes\
CLSID\{fdb00e52-a214-4aa1-8fba-4357bb0072ec}\InProcServer32
(Default) = C:\IDontExist.dll
スパイウェアは、インストールの過程で、以下のレジストリキーを追加します。
HKEY_CURRENT_USER\Software\Classes\
CLSID\{fdb00e52-a214-4aa1-8fba-4357bb0072ec}
HKEY_CURRENT_USER\Software\Classes\
CLSID\{fdb00e52-a214-4aa1-8fba-4357bb0072ec}\InProcServer32
プロセスの終了
スパイウェアは、感染コンピュータ上で確認した以下のサービスを終了します。
- WdNisSvc
- WinDefend
情報漏えい
スパイウェアは、以下の情報を収集します。
- Computer Name
- User Name
- CPU Information
- RAM Information
- Network Adapter Configuration
- IP Address
- Current time
- It gathers credentials from the following:
- Browsers (User Data):
- 360 Browser
- 7Star
- Amigo
- BlackHawk
- Brave
- CentBrowser
- Chedot
- Chrome
- Chromium
- Citrio
- Coccoc
- Comodo Dragon
- Cool Novo
- Coowon
- CyberFox
- Edge Chromium
- Elements Browser
- Epic Privacy
- Falkon Browser
- Firefox
- Flock
- Flock Browser
- IceCat
- IceDragon
- IE/Edge
- Iridium Browser
- K-Meleon
- Kometa
- Liebao Browser
- Opera Browser
- Orbitum
- PaleMoon
- QIP Surf
- QQ Browser
- Safari for Windows
- SeaMonkey
- Sleipnir 6
- Sputnik
- Torch Browser
- UC Browser
- Uran
- Vivaldi
- WaterFox
- Yandex
- Email Clients:
- Becky!
- Claws Mail
- eM client
- Eudora
- Foxmail
- IncrediMail
- Mailbird
- Opera Mail
- Outlook
- Pocomail
- Postbox
- The Bat!
- Thunderbird
- Windows Mail App
- FTPs:
- cftp
- CoreFTP
- FileZilla
- FlashFXP
- FTP Commander
- FTP Getter
- FTP Navigator
- SmartFTP
- WinSCP
- WS_FTP
- VPNs:
- NordVPN
- OpenVPN
- Private Internet Access
- Instant Messaging Applications:
- Discord
- Psi/Psi+
- Trillian
- Other Applications:
- Internet Download Manager
- Jdownloader 2.0
- MySQL Workbench
- Apple Keychain
- VNCs:
- RealVNC 4.x
- RealVNC 3.x
- TightVNC
- TigerVNC
- UltraVNC
- Vault:
- Web Credentials
- Windows Credential Picker Protector
- Windows Credentials
- Windows Domain Certificate Credential
- Windows Domain Password Credential
- Windows Extended Credential
- Windows Secure Note
- Windows Web Password Credential
- Browsers (User Data):
情報収集
スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。
- https://{BLOCKED}d.com/api/webhooks/1147617604740075550/qMN4dDXG-qUd5FVw6gluS-KM8pkIs8V5dUDV8yLhHwfqs5x6Q7TeJE-qmCsn9sgTZSpX
その他
スパイウェアは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。
- https://{BLOCKED}ify.org
スパイウェアは、以下を実行します。
- It bypasses Antimalware Scan Interface (AMSI).
- It terminates, disables, and deletes the Windows Defender service if found running.
- It utilizes net.exe to create a user and add this to two local groups:
- administrators
- Remote Desktop Users
- It turns off the Windows Firewall for all network profiles.
- It modifies Windows Defender's settings:
- Adds the following to the exclusion preference:
- File Extensions:
- .bat
- .ppam
- .xls
- .docx
- .bat
- .exe
- .vbs
- .js
- Paths:
- C:\
- D:\
- E:\
- Processes:
- explorer.exe
- kernel32.dll
- aspnet_compiler.exe
- cvtres.exe
- CasPol.exe
- csc.exe
- Msbuild.exe
- ilasm.exe
- InstallUtil.exe
- jsc.exe
- Calc.exe
- powershell.exe
- rundll32.exe
- conhost.exe
- Cscript.exe
- mshta.exe
- cmd.exe
- DefenderisasuckingAntivirus
- wscript.exe
- IP Address:
- 127.0.0.1
- File Extensions:
- Configures the following:
- Threat ID Default Action
- Attack Surface Reduction (ASR) rules
- Default action for high-threat items
- Default action for moderate-threat items
- Default action for low-threat items
- Default action for severe-threat items
- Disables:
- Intrusion Prevention System
- Information Protection feature
- Real-time monitoring
- Scanning of scripts for malware or malicious content
- Controlled folder access
- Reporting to the Microsoft Active Protection Service (MAPS)
- Sample submissions to Microsoft
- Protection against Potentially Unwanted Applications (PUAs)
- Scheduled scans
- Enables:
- Audit mode for Network Protection
- Adds the following to the exclusion preference:
以下のスケジュールされたタスクを追加します:
- Task Name: clomepe
Trigger: every 187 minutes
Task Action: %ProgramData%\TUKHAMTASSER\NIKKIL_LORY.vbs
(註:%ProgramData%フォルダは、マルチユーザーシステムにおいて任意のユーザがプログラムに変更を加えることができるプログラムファイルフォルダのバージョンです。これには、すべてのユーザのアプリケーションデータが含まれます。Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData" です。Windows Server 2003(32-bit)、2000(32-bit)、XPの場合、通常 "C:\Documents and Settings\All Users" です。 )
対応方法
手順 1
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
Windowsをセーフモードで再起動します。
手順 4
「TrojanSpy.PS1.NEGASTEAL.FBV」で検出したファイル名を確認し、そのファイルを終了します。
- すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
- 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、こちらをご参照下さい。 - 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。
手順 5
セーフモード時のスケジュールタスクの削除方法
- セーフモードのまま、以下の{タスク名}-{実行するタスク}のリストを使用し、以下のステップで確認する必要があります。
- Task Name: clomepe
- Task to be run: %ProgramData%\TUKHAMTASSER\NIKKIL_LORY.vbs
- Windows 7 および Server 2008 (R2) をご使用の場合は、[スタート] > [コンピューター] をクリックします。
- Windows 8、8.1、10、Server 2012をご使用の場合は、画面左下で右クリックし、「ファイルエクスプローラ」をクリックします。
- PCの検索欄に、次のように入力します。
- System%\Tasks\{タスク名}
- ファイルを選択し、SHIFT+DELETEキーを押して削除します。
- レジストリエディタを開き、以下を実行してください。
- Windows 7およびServer 2008(R2)をご使用の場合は、[スタート]ボタンをクリックし、[検索]入力フィールドに「regedit」と入力し、Enterキーを押します。
- Windows 8、8.1、10、およびServer 2012(R2)をご使用の場合は、画面の左下隅を右クリックし、[実行]をクリックして、テキストボックスに「regedit」と入力します。
- レジストリエディタウィンドウの左パネルで、以下をダブルクリックします。
- HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Schedule>TaskCache>Tree>{タスク名}
- 作成されたエントリを探し、レジストリ値のデータをメモする。
- ID={タスクデータ}
- データを記録した後、レジストリキーを削除します。
- HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Schedule>TaskCache>Tree>{タスク名}
- レジストリエディタウィンドウの左パネルで、以下をダブルクリックします。
- HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Schedule>TaskCache>Tasks
- 左側のパネルで、手順6で配置したTask Dataと同じ名前のレジストリキーを探して削除します。
- ={タスクデータ}
- レジストリエディタを閉じます。
手順 6
このレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Classes\CLSID\{fdb00e52-a214-4aa1-8fba-4357bb0072ec}
手順 7
以下のファイルを検索し削除します。
- %ProgramData%\TUKHAMTASSER\Sexology.~!!!!!!!!!!!!!!!!~
- %ProgramData%\TUKHAMTASSER\NIKKIL_LORY.vbs
- %User Startup%\NIKKIL_LORY.vbs
- %System Root%\drivers\etc\hosts
手順 8
以下のフォルダを検索し削除します。
- %ProgramData%\TUKHAMTASSER
手順 9
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TrojanSpy.PS1.NEGASTEAL.FBV」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください