• Email
• Facebook
• Twitter
• Google+
• Linkedin

TrojanSpy.Win32.EMOTET.JSHTNY

---

• マルウェアタイプ: スパイウェア/情報窃取型
• 破壊活動の有無: なし
• 暗号化: はい
• 感染報告の有無: はい

---

  概要

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェアは、実行後、自身を削除します。

スパイウェアは、ワーム活動の機能を備えていません。

スパイウェアは、特定のWebサイトにアクセスし、情報を送受信します。 スパイウェアは、バックドア活動の機能を備えていません。

ただし、情報公開日現在、このWebサイトにはアクセスできません。

---

  詳細

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• If sample executed with administrative privileges:
  • %System%\{String1}{String2}.exe
• If sample executed without administrative privileges:
  • %AppDataLocal%\{String1}{String2}\{String1}{String2}.exe

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local" です。)

スパイウェアは、以下のプロセスを追加します。

• {Malware file path}\{Malware file name}.exe --{8 random characters}
• If sample executed with administrative privileges:
  • %System%\{String1}{String2}.exe
  • %System%\{String1}{String2}.exe --{8 random characters}
• If sample executed without administrative privileges:
  • %AppDataLocal%\{String1}{String2}\{String1}{String2}.exe
  • %AppDataLocal%\{String1}{String2}\{String1}{String2}.exe --{8 random characters}

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local" です。)

スパイウェアは、以下のフォルダを作成します。

• If the sample is executed without administrative privileges:
  • %AppDataLocal%\{String1}{String2}

(註：%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local" です。)

スパイウェアは、実行後、自身を削除します。

スパイウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• Global\I{Volume serial number}
• Global\M{Volume serial number}
• Global\E{Volume serial name}

自動実行方法

スパイウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{String1}{String2}
ImagePath = %System%\{String1}{String2}.exe

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{String1}{String2} = %AppDataLocal%\{String1}{String2}\{String1}{String2}.exe

感染活動

スパイウェアは、ワーム活動の機能を備えていません。

バックドア活動

スパイウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• {BLOCKED}.{BLOCKED}.28.101:8080/{Random characters}
• {BLOCKED}.{BLOCKED}.99.79:80/{Random characters}
• {BLOCKED}.{BLOCKED}.190.23:8080/{Random characters}
• {BLOCKED}.{BLOCKED}.76.249:80/{Random characters}
• {BLOCKED}.{BLOCKED}.58.24:80/{Random characters}
• {BLOCKED}.{BLOCKED}.74.210:8080/{Random characters}
• {BLOCKED}.{BLOCKED}.19.218:80/{Random characters}
• {BLOCKED}.{BLOCKED}.237.248:80/{Random characters}
• {BLOCKED}.{BLOCKED}.202.216:443/{Random characters}
• {BLOCKED}.{BLOCKED}.125.62:80/{Random characters}
• {BLOCKED}.{BLOCKED}.77.83:443/{Random characters}
• {BLOCKED}.{BLOCKED}.240.91:8080/{Random characters}
• {BLOCKED}.{BLOCKED}.54.196:443/{Random characters}
• {BLOCKED}.{BLOCKED}.24.177:8080/{Random characters}
• {BLOCKED}.{BLOCKED}.194.134:443/{Random characters}
• {BLOCKED}.{BLOCKED}.49.124:443/{Random characters}
• {BLOCKED}.{BLOCKED}.40.140:80/{Random characters}
• {BLOCKED}.{BLOCKED}.131.87:80/{Random characters}
• {BLOCKED}.{BLOCKED}.60.138:80/{Random characters}
• {BLOCKED}.{BLOCKED}.15.79:80/{Random characters}
• {BLOCKED}.{BLOCKED}.15.79:443/{Random characters}
• {BLOCKED}.{BLOCKED}.28.234:80/{Random characters}
• {BLOCKED}.{BLOCKED}.183.211:80/{Random characters}
• {BLOCKED}.{BLOCKED}.70.145:80/{Random characters}
• {BLOCKED}.{BLOCKED}.86.205:8080/{Random characters}
• {BLOCKED}.{BLOCKED}.42.66:8080/{Random characters}
• {BLOCKED}.{BLOCKED}.197.241:80/{Random characters}
• {BLOCKED}.{BLOCKED}.164.174:80/{Random characters}
• {BLOCKED}.{BLOCKED}.227.190:80/{Random characters}
• {BLOCKED}.{BLOCKED}.242.181:8080/{Random characters}
• {BLOCKED}.{BLOCKED}.15.138:80/{Random characters}
• {BLOCKED}.{BLOCKED}.34.20:80/{Random characters}
• {BLOCKED}.{BLOCKED}.201.20:7080/{Random characters}
• {BLOCKED}.{BLOCKED}.97.122:8080/{Random characters}
• {BLOCKED}.{BLOCKED}.179.64:8080/{Random characters}
• {BLOCKED}.{BLOCKED}.26.116:80/{Random characters}
• {BLOCKED}.{BLOCKED}.247.81:80/{Random characters}
• {BLOCKED}.{BLOCKED}.53.234:80/{Random characters}
• {BLOCKED}.{BLOCKED}.171.251:80/{Random characters}
• {BLOCKED}.{BLOCKED}.82.123:8080/{Random characters}
• {BLOCKED}.{BLOCKED}.99.25:80/{Random characters}
• {BLOCKED}.{BLOCKED}.102.97:8080/{Random characters}
• {BLOCKED}.{BLOCKED}.99.46:80/{Random characters}
• {BLOCKED}.{BLOCKED}.219.147:8080/{Random characters}
• {BLOCKED}.{BLOCKED}.181.93:80/{Random characters}
• {BLOCKED}.{BLOCKED}.10.190:80/{Random characters}
• {BLOCKED}.{BLOCKED}.174.56:80/{Random characters}
• {BLOCKED}.{BLOCKED}.156.239:443/{Random characters}
• {BLOCKED}.{BLOCKED}.136.232:8080/{Random characters}
• {BLOCKED}.{BLOCKED}.139.101:8080/{Random characters}
• {BLOCKED}.{BLOCKED}.19.21:8080/{Random characters}
• {BLOCKED}.{BLOCKED}.197.90:80/{Random characters}
• {BLOCKED}.{BLOCKED}.215.66:443/{Random characters}
• {BLOCKED}.{BLOCKED}.216.44:8080/{Random characters}
• {BLOCKED}.{BLOCKED}.141.5:80/{Random characters}
• {BLOCKED}.{BLOCKED}.43.213:8080/{Random characters}
• {BLOCKED}.{BLOCKED}.206.153:80/{Random characters}
• {BLOCKED}.{BLOCKED}.117.137:80/{Random characters}
• {BLOCKED}.{BLOCKED}.134.207:443/{Random characters}
• {BLOCKED}.{BLOCKED}.247.29:80/{Random characters}
• {BLOCKED}.{BLOCKED}.49.11:8080/{Random characters}
• {BLOCKED}.{BLOCKED}.11.150:8080/{Random characters}
• {BLOCKED}.{BLOCKED}.44.150:8080/{Random characters}
• {BLOCKED}.{BLOCKED}.176.186:80/{Random characters}
• {BLOCKED}.{BLOCKED}.246.93:8080/{Random characters}
• {BLOCKED}.{BLOCKED}.24.125:8080/{Random characters}
• {BLOCKED}.{BLOCKED}.69.44:80/{Random characters}
• {BLOCKED}.{BLOCKED}.206.219:8080/{Random characters}
• {BLOCKED}.{BLOCKED}.2.72:80/{Random characters}
• {BLOCKED}.{BLOCKED}.38.16:80/{Random characters}
• {BLOCKED}.{BLOCKED}.142.21:443/{Random characters}
• {BLOCKED}.{BLOCKED}.246.241:80/{Random characters}
• {BLOCKED}.{BLOCKED}.135.224:80/{Random characters}
• {BLOCKED}.{BLOCKED}.5.176:443/{Random characters}
• {BLOCKED}.{BLOCKED}.154.183:443/{Random characters}
• {BLOCKED}.{BLOCKED}.250.34:8080/{Random characters}
• {BLOCKED}.{BLOCKED}.177.106:443/{Random characters}
• {BLOCKED}.{BLOCKED}.5.214:8080/{Random characters}
• {BLOCKED}.{BLOCKED}.241.252:443/{Random characters}
• {BLOCKED}.{BLOCKED}.247.220:80/{Random characters}
• {BLOCKED}.{BLOCKED}.153.252:8080/{Random characters}
• {BLOCKED}.{BLOCKED}.25.128:8080/{Random characters}
• {BLOCKED}.{BLOCKED}.89.130:8080/{Random characters}
• {BLOCKED}.{BLOCKED}.215.66:8080/{Random characters}
• {BLOCKED}.{BLOCKED}.156.155:443/{Random characters}
• {BLOCKED}.{BLOCKED}.10.37:8080/{Random characters}
• {BLOCKED}.{BLOCKED}.105.223:7080/{Random characters}
• {BLOCKED}.{BLOCKED}.182.217:8080/{Random characters}
• {BLOCKED}.{BLOCKED}.14.133:8080/{Random characters}
• {BLOCKED}.{BLOCKED}.26.90:80/{Random characters}
• {BLOCKED}.{BLOCKED}.19.238:80/{Random characters}
• {BLOCKED}.{BLOCKED}.132.128:80/{Random characters}
• {BLOCKED}.{BLOCKED}.200.130:8080/{Random characters}
• {BLOCKED}.{BLOCKED}.183.253:8080/{Random characters}
• {BLOCKED}.{BLOCKED}.51.222:8080/{Random characters}
• {BLOCKED}.{BLOCKED}.139.83:8080/{Random characters}
• {BLOCKED}.{BLOCKED}.185.19:80/{Random characters}
• {BLOCKED}.{BLOCKED}.239.110:8080/{Random characters}
• {BLOCKED}.{BLOCKED}.132.213:8090/{Random characters}
• {BLOCKED}.{BLOCKED}.148.162:80/{Random characters}
• {BLOCKED}.{BLOCKED}.172.5:8080/{Random characters}
• {BLOCKED}.{BLOCKED}.208.78:8080/{Random characters}
• {BLOCKED}.{BLOCKED}.241.230:80/{Random characters}
• {BLOCKED}.{BLOCKED}.135.237:80/{Random characters}
• {BLOCKED}.{BLOCKED}.7.140:80/{Random characters}
• {BLOCKED}.{BLOCKED}.115.178:8080/{Random characters}
• {BLOCKED}.{BLOCKED}.119.180:443/{Random characters}
• {BLOCKED}.{BLOCKED}.135.159:21/{Random characters}
• {BLOCKED}.{BLOCKED}.226.104:80/{Random characters}
• {BLOCKED}.{BLOCKED}.159.212:80/{Random characters}
• {BLOCKED}.{BLOCKED}.224.117:443/{Random characters}
• {BLOCKED}.{BLOCKED}.19.82:443/{Random characters}
• {BLOCKED}.{BLOCKED}.255.77:8080/{Random characters}
• {BLOCKED}.{BLOCKED}.215.206:80/{Random characters}
• {BLOCKED}.{BLOCKED}.90.5:443/{Random characters}
• {BLOCKED}.{BLOCKED}.167.85:80/{Random characters}
• {BLOCKED}.{BLOCKED}.145.225:443/{Random characters}
• {BLOCKED}.{BLOCKED}.217.124:443/{Random characters}
• {BLOCKED}.{BLOCKED}.10.215:8080/{Random characters}
• {BLOCKED}.{BLOCKED}.112.148:8080/{Random characters}
• {BLOCKED}.{BLOCKED}.168.52:8080/{Random characters}
• {BLOCKED}.{BLOCKED}.54.221:8080/{Random characters}
• {BLOCKED}.{BLOCKED}.22.34:443/{Random characters}
• {BLOCKED}.{BLOCKED}.85.121:80/{Random characters}
• {BLOCKED}.{BLOCKED}.71.72:8080/{Random characters}
• {BLOCKED}.{BLOCKED}.182.191:8080/{Random characters}
• {BLOCKED}.{BLOCKED}.255.48:80/{Random characters}

スパイウェアは、バックドア活動の機能を備えていません。

ルートキット機能

マルウェアは、ルートキット機能を備えていません

情報漏えい

スパイウェアは、以下の情報を収集します。

• Computer Name
• Process SessionId
• OS Version
• Running Processes
• File CRC
• Processor Architecture

その他

スパイウェアは、以下を実行します。

• It creates the service for persistence if the sample is executed with administrative privileges, otherwise it uses an autorun registry.
• It combines any two of the following strings and uses it as its file name:
  • texas
  • func
  • deploy
  • run
  • leel
  • stuck
  • def
  • print
  • hal
  • monthly
  • pdf
  • char
  • netsh
  • memo
  • trns
  • rds
  • maker
  • more
  • textto
  • chunker
  • mailbox
  • compon
  • shades
  • scan
  • non
  • wsat
  • speed
  • publish
  • manual
  • hant
  • inbox
  • malert
  • zap
  • fill
  • angle
  • wrap
  • boost
  • cors
  • iplk
  • sitka
  • wow
  • prints
  • acquire
  • wiz
  • smo
  • footer
  • attrib
  • group
  • appid
  • xcl
  • sensor
  • methods
  • ipmi
  • raw
  • title
  • nic
  • ias
  • lua
  • dispid
  • special
  • serial
  • wsa
  • tcg
  • msp
• It deletes outdated copies of itself with a combination of any two of the following strings as its file name:
  • delete
  • band
  • ipsm
  • sspi
  • div
  • rdp
  • whole
  • dir
  • privacy
  • make
  • watched
  • pano
  • which
  • goto
  • wnd
  • rep
  • ceip
  • date
  • render
  • bag
  • vsc
  • vsa
  • mouse
  • counter
  • tech
  • wheel
  • ranker
  • iterate
  • store
  • sum
  • package
  • timeout
  • idebug
  • junos
  • site
  • trc
  • url
  • coffee
  • poller
  • remote
  • gapa
  • changes
  • duck
  • ppl
  • tlogcm
  • tlb
  • cube
  • hexa
  • vol
  • paint
  • star
  • nav
  • grp
  • avatar
  • center
  • cipher
  • brm
  • resize
  • markup
  • pausea
  • loan
  • emboss
  • vsperf
  • teal

ただし、情報公開日現在、このWebサイトにはアクセスできません。

マルウェアは、脆弱性を利用した感染活動を行いません。

＜補足＞
インストール

スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• スパイウェアが、管理者権限ありで実行された場合：
  • %System%\{文字列1}{文字列2}.exe
• スパイウェアが、管理者権限なしで実行された場合：
  • %AppDataLocal%\{文字列1}{文字列2}\{文字列1}{文字列2}.exe

スパイウェアは、以下のプロセスを追加します。

• {マルウェアのファイルパス}\{マルウェアのファイル名}.exe --{ランダムな8文字}
• スパイウェアが、管理者権限ありで実行された場合：
  • %System%\{文字列1}{文字列2}.exe
  • %System%\{文字列1}{文字列2}.exe --{ランダムな8文字}
• スパイウェアが、管理者権限なしで実行された場合：
  • %AppDataLocal%\{文字列1}{文字列2}\{文字列1}{文字列2}.exe
  • %AppDataLocal%\{文字列1}{文字列2}\{文字列1}{文字列2}.exe --{ランダムな8文字}

スパイウェアは、以下のフォルダを作成します。

• スパイウェアが、管理者権限なしで実行された場合：
  • %AppDataLocal%\{文字列1}{文字列2}

スパイウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• Global\I{ボリュームシリアルナンバー}
• Global\M{ボリュームシリアルナンバー}
• Global\E{ボリュームシリアル名}

バックドア活動

スパイウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• {BLOCKED}.{BLOCKED}.28.101:8080/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.99.79:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.190.23:8080/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.76.249:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.58.24:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.74.210:8080/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.19.218:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.237.248:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.202.216:443/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.125.62:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.77.83:443/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.240.91:8080/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.54.196:443/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.24.177:8080/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.194.134:443/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.49.124:443/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.40.140:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.131.87:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.60.138:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.15.79:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.15.79:443/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.28.234:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.183.211:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.70.145:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.86.205:8080/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.42.66:8080/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.197.241:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.164.174:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.227.190:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.242.181:8080/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.15.138:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.34.20:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.201.20:7080/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.97.122:8080/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.179.64:8080/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.26.116:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.247.81:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.53.234:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.171.251:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.82.123:8080/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.99.25:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.102.97:8080/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.99.46:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.219.147:8080/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.181.93:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.10.190:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.174.56:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.156.239:443/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.136.232:8080/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.139.101:8080/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.19.21:8080/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.197.90:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.215.66:443/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.216.44:8080/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.141.5:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.43.213:8080/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.206.153:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.117.137:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.134.207:443/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.247.29:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.49.11:8080/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.11.150:8080/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.44.150:8080/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.176.186:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.246.93:8080/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.24.125:8080/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.69.44:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.206.219:8080/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.2.72:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.38.16:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.142.21:443/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.246.241:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.135.224:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.5.176:443/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.154.183:443/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.250.34:8080/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.177.106:443/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.5.214:8080/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.241.252:443/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.247.220:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.153.252:8080/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.25.128:8080/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.89.130:8080/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.215.66:8080/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.156.155:443/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.10.37:8080/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.105.223:7080/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.182.217:8080/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.14.133:8080/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.26.90:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.19.238:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.132.128:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.200.130:8080/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.183.253:8080/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.51.222:8080/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.139.83:8080/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.185.19:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.239.110:8080/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.132.213:8090/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.148.162:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.172.5:8080/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.208.78:8080/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.241.230:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.135.237:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.7.140:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.115.178:8080/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.119.180:443/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.135.159:21/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.226.104:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.159.212:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.224.117:443/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.19.82:443/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.255.77:8080/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.215.206:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.90.5:443/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.167.85:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.145.225:443/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.217.124:443/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.10.215:8080/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.112.148:8080/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.168.52:8080/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.54.221:8080/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.22.34:443/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.85.121:80/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.71.72:8080/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.182.191:8080/{ランダムな文字}
• {BLOCKED}.{BLOCKED}.255.48:80/{ランダムな文字}

情報漏えい

スパイウェアは、以下の情報を収集します。

• コンピュータ名
• プロセスセッションID
• オペレーティングシステム（OS）のバージョン
• 実行中のプロセス
• ファイルのCRC
• プロセッサアーキテクチャ

その他

スパイウェアは、以下を実行します。

• スパイウェアは、管理者権限ありで実行された場合、パーシステンス(持続化)のためのサービスを作成します。管理者権限なしで実行された場合は、自動実行レジストリを使用します。
• スパイウェアは、以下の文字列のいずれかの2つを組み合わせて、ファイル名として使用します。
  • texas
  • func
  • deploy
  • run
  • leel
  • stuck
  • def
  • print
  • hal
  • monthly
  • pdf
  • char
  • netsh
  • memo
  • trns
  • rds
  • maker
  • more
  • textto
  • chunker
  • mailbox
  • compon
  • shades
  • scan
  • non
  • wsat
  • speed
  • publish
  • manual
  • hant
  • inbox
  • malert
  • zap
  • fill
  • angle
  • wrap
  • boost
  • cors
  • iplk
  • sitka
  • wow
  • prints
  • acquire
  • wiz
  • smo
  • footer
  • attrib
  • group
  • appid
  • xcl
  • sensor
  • methods
  • ipmi
  • raw
  • title
  • nic
  • ias
  • lua
  • dispid
  • special
  • serial
  • wsa
  • tcg
  • msp
• スパイウェアは、以下の文字列のいずれか2つを組み合わせてファイル名として使用し、自身の古いコピーを削除します。
  • delete
  • band
  • ipsm
  • sspi
  • div
  • rdp
  • whole
  • dir
  • privacy
  • make
  • watched
  • pano
  • which
  • goto
  • wnd
  • rep
  • ceip
  • date
  • render
  • bag
  • vsc
  • vsa
  • mouse
  • counter
  • tech
  • wheel
  • ranker
  • iterate
  • store
  • sum
  • package
  • timeout
  • idebug
  • junos
  • site
  • trc
  • url
  • coffee
  • poller
  • remote
  • gapa
  • changes
  • duck
  • ppl
  • tlogcm
  • tlb
  • cube
  • hexa
  • vol
  • paint
  • star
  • nav
  • grp
  • avatar
  • center
  • cipher
  • brm
  • resize
  • markup
  • pausea
  • loan
  • emboss
  • vsperf
  • teal

---

  対応方法

ご利用はいかがでしたか？　アンケートにご協力ください