TrojanSpy.Win32.EMOTET.TIABOFFZ
2020年1月22日
プラットフォーム:
Windows
危険度:
ダメージ度:
感染力:
感染確認数:
情報漏えい:
- マルウェアタイプ: スパイウェア/情報窃取型
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
感染経路 インターネットからのダウンロード
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
スパイウェアは、実行後、自身を削除します。
スパイウェアは、ワーム活動の機能を備えていません。
スパイウェアは、バックドア活動の機能を備えていません。
スパイウェアは、特定のWebサイトにアクセスし、情報を送受信します。
詳細
ペイロード URLまたはIPアドレスに接続, 情報収集
侵入方法
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- If sample executed with administrative privileges:
- %System%\{string1}{string2}.exe
- If sample executed without administrative privileges:
- %AppDataLocal%\{string1}{string2}\{string1}{string2}.exe
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。)
スパイウェアは、以下のプロセスを追加します。
- {malware file path}\{malware file name}.exe --{8-random characters}
- If sample executed with administrative privileges:
- %System%\{string1}{string2}.exe
- %System%\{string1}{string2}.exe --{8-random characters}
- If sample executed without administrative privileges:
- %AppDataLocal%\{string1}{string2}\{string1}{string2}.exe
- %AppDataLocal%\{string1}{string2}\{string1}{string2}.exe --{8-random characters}
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。)
スパイウェアは、以下のフォルダを作成します。
- If the sample is executed without administrative privileges:
- %AppDataLocal%\{string1}{string2}
(註:%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。)
スパイウェアは、実行後、自身を削除します。
スパイウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- Global\I{Volume Serial Number}
- Global\M{Volume Serial Number}
- Global\E{Volume Serial Name}
自動実行方法
スパイウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{string1}{string2}
ImagePath = %System%\{string1}{string2}.exe
スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{string1}{string2} = %AppDataLocal%\{string1}{string2}\{string1}{string2}.exe
感染活動
スパイウェアは、ワーム活動の機能を備えていません。
バックドア活動
スパイウェアは、バックドア活動の機能を備えていません。
ルートキット機能
マルウェアは、ルートキット機能を備えていません
情報漏えい
スパイウェアは、以下の情報を収集します。
- Computer Name
- Process SessionId
- OS Version
- Running Processes
- File CRC
- Processor Architecture
その他
スパイウェアは、以下のWebサイトにアクセスし、情報を送受信します。
- 173.{BLOCKED}.{BLOCKED}.238:80/{random characters}
- 174.{BLOCKED}.{BLOCKED}.128:80/{random characters}
- 211.{BLOCKED}.{BLOCKED}.111:80/{random characters}
- 165.{BLOCKED}.{BLOCKED}.155:443/{random characters}
- 167.{BLOCKED}.{BLOCKED}.223:7080/{random characters}
- 67.{BLOCKED}.{BLOCKED}.64:8080/{random characters}
- 176.{BLOCKED}.{BLOCKED}.130:8080/{random characters}
- 104.{BLOCKED}.{BLOCKED}.150:8080/{random characters}
- 68.{BLOCKED}.{BLOCKED}.116:80/{random characters}
- 190.{BLOCKED}.{BLOCKED}.20:21/{random characters}
- 120.{BLOCKED}.{BLOCKED}.241:80/{random characters}
- 92.{BLOCKED}.{BLOCKED}.44:8080/{random characters}
- 73.{BLOCKED}.{BLOCKED}.25:80/{random characters}
- 110.{BLOCKED}.{BLOCKED}.16:80/{random characters}
- 24.{BLOCKED}.{BLOCKED}.32:80/{random characters}
- 190.{BLOCKED}.{BLOCKED}.159:21/{random characters}
- 66.{BLOCKED}.{BLOCKED}.122:8080/{random characters}
- 173.{BLOCKED}.{BLOCKED}.142:80/{random characters}
- 100.{BLOCKED}.{BLOCKED}.137:80/{random characters}
- 2.{BLOCKED}.{BLOCKED}.249:80/{random characters}
- 104.{BLOCKED}.{BLOCKED}.186:80/{random characters}
- 47.{BLOCKED}.{BLOCKED}.79:80/{random characters}
- 62.{BLOCKED}.{BLOCKED}.192:8080/{random characters}
- 47.{BLOCKED}.{BLOCKED}.145:80/{random characters}
- 201.{BLOCKED}.{BLOCKED}.124:443/{random characters}
- 104.{BLOCKED}.{BLOCKED}.150:8080/{random characters}
- 186.{BLOCKED}.{BLOCKED}.230:80/{random characters}
- 31.{BLOCKED}.{BLOCKED}.30:80/{random characters}
- 107.{BLOCKED}.{BLOCKED}.125:8080/{random characters}
- 110.{BLOCKED}.{BLOCKED}.202:80/{random characters}
- 75.{BLOCKED}.{BLOCKED}.244:80/{random characters}
- 186.{BLOCKED}.{BLOCKED}.78:8080/{random characters}
- 104.{BLOCKED}.{BLOCKED}.93:8080/{random characters}
- 45.{BLOCKED}.{BLOCKED}.140:80/{random characters}
- 45.{BLOCKED}.{BLOCKED}.124:443/{random characters}
- 74.{BLOCKED}.{BLOCKED}.97:8080/{random characters}
- 70.{BLOCKED}.{BLOCKED}.81:80/{random characters}
- 59.{BLOCKED}.{BLOCKED}.174:80/{random characters}
- 110.{BLOCKED}.{BLOCKED}.109:80/{random characters}
- 31.{BLOCKED}.{BLOCKED}.83:443/{random characters}
- 192.{BLOCKED}.{BLOCKED}.77:8080/{random characters}
- 195.{BLOCKED}.{BLOCKED}.206:80/{random characters}
- 144.{BLOCKED}.{BLOCKED}.220:80/{random characters}
- 103.{BLOCKED}.{BLOCKED}.11:8080/{random characters}
- 61.{BLOCKED}.{BLOCKED}.214:80/{random characters}
- 91.{BLOCKED}.{BLOCKED}.5:443/{random characters}
- 101.{BLOCKED}.{BLOCKED}.207:443/{random characters}
- 73.{BLOCKED}.{BLOCKED}.178:8080/{random characters}
- 190.{BLOCKED}.{BLOCKED}.180:443/{random characters}
- 5.{BLOCKED}.{BLOCKED}.210:8080/{random characters}
- 209.{BLOCKED}.{BLOCKED}.221:8080/{random characters}
- 169.{BLOCKED}.{BLOCKED}.217:8080/{random characters}
- 2.{BLOCKED}.{BLOCKED}.79:80/{random characters}
- 197.{BLOCKED}.{BLOCKED}.174:80/{random characters}
- 85.{BLOCKED}.{BLOCKED}.68:80/{random characters}
- 179.{BLOCKED}.{BLOCKED}.19:80/{random characters}
- 183.{BLOCKED}.{BLOCKED}.69:465/{random characters}
- 149.{BLOCKED}.{BLOCKED}.252:8080/{random characters}
- 64.{BLOCKED}.{BLOCKED}.181:8080/{random characters}
- 2.{BLOCKED}.{BLOCKED}.23:8080/{random characters}
- 174.{BLOCKED}.{BLOCKED}.137:8080/{random characters}
- 182.{BLOCKED}.{BLOCKED}.213:8090/{random characters}
- 167.{BLOCKED}.{BLOCKED}.37:8080/{random characters}
- 138.{BLOCKED}.{BLOCKED}.106:443/{random characters}
- 218.{BLOCKED}.{BLOCKED}.114:80/{random characters}
- 46.{BLOCKED}.{BLOCKED}.87:80/{random characters}
- 87.{BLOCKED}.{BLOCKED}.21:8080/{random characters}
- 37.{BLOCKED}.{BLOCKED}.134:443/{random characters}
- 83.{BLOCKED}.{BLOCKED}.190:8080/{random characters}
- 178.{BLOCKED}.{BLOCKED}.222:8080/{random characters}
- 108.{BLOCKED}.{BLOCKED}.219:8080/{random characters}
- 93.{BLOCKED}.{BLOCKED}.5:80/{random characters}
- 178.{BLOCKED}.{BLOCKED}.63:8080/{random characters}
- 64.{BLOCKED}.{BLOCKED}.138:80/{random characters}
- 12.{BLOCKED}.{BLOCKED}.218:80/{random characters}
- 128.{BLOCKED}.{BLOCKED}.183:443/{random characters}
- 108.{BLOCKED}.{BLOCKED}.72:80/{random characters}
- 217.{BLOCKED}.{BLOCKED}.191:8080/{random characters}
- 37.{BLOCKED}.{BLOCKED}.177:8080/{random characters}
- 78.{BLOCKED}.{BLOCKED}.147:8080/{random characters}
- 212.{BLOCKED}.{BLOCKED}.206:80/{random characters}
- 87.{BLOCKED}.{BLOCKED}.232:8080/{random characters}
- 211.{BLOCKED}.{BLOCKED}.72:8080/{random characters}
- 81.{BLOCKED}.{BLOCKED}.86:8080/{random characters}
- 80.{BLOCKED}.{BLOCKED}.46:80/{random characters}
- 210.{BLOCKED}.{BLOCKED}.121:80/{random characters}
- 188.{BLOCKED}.{BLOCKED}.140:80/{random characters}
- 206.{BLOCKED}.{BLOCKED}.148:8080/{random characters}
- 70.{BLOCKED}.{BLOCKED}.251:80/{random characters}
- 190.{BLOCKED}.{BLOCKED}.53:22/{random characters}
- 212.{BLOCKED}.{BLOCKED}.79:8080/{random characters}
- 98.{BLOCKED}.{BLOCKED}.64:80/{random characters}
- 189.{BLOCKED}.{BLOCKED}.49:80/{random characters}
- 91.{BLOCKED}.{BLOCKED}.90:80/{random characters}
- 116.{BLOCKED}.{BLOCKED}.21:443/{random characters}
- 209.{BLOCKED}.{BLOCKED}.52:8080/{random characters}
- 181.{BLOCKED}.{BLOCKED}.14:80/{random characters}
- 73.{BLOCKED}.{BLOCKED}.255:80/{random characters}
- 173.{BLOCKED}.{BLOCKED}.133:8080/{random characters}
- 139.{BLOCKED}.{BLOCKED}.252:443/{random characters}
- 200.{BLOCKED}.{BLOCKED}.108:443/{random characters}
- 85.{BLOCKED}.{BLOCKED}.56:80/{random characters}
- 165.{BLOCKED}.{BLOCKED}.197:80/{random characters}
- 159.{BLOCKED}.{BLOCKED}.128:8080/{random characters}
- 176.{BLOCKED}.{BLOCKED}.253:8080/{random characters}
- 5.{BLOCKED}.{BLOCKED}.250:80/{random characters}
- 59.{BLOCKED}.{BLOCKED}.190:80/{random characters}
- 31.{BLOCKED}.{BLOCKED}.91:8080/{random characters}
- 58.{BLOCKED}.{BLOCKED}.66:8080/{random characters}
- 91.{BLOCKED}.{BLOCKED}.66:443/{random characters}
- 1.{BLOCKED}.{BLOCKED}.137:80/{random characters}
- 82.{BLOCKED}.{BLOCKED}.203:80/{random characters}
- 95.{BLOCKED}.{BLOCKED}.213:8080/{random characters}
- 47.{BLOCKED}.{BLOCKED}.79:443/{random characters}
- 201.{BLOCKED}.{BLOCKED}.242:443/{random characters}
- 86.{BLOCKED}.{BLOCKED}.239:443/{random characters}
- 190.{BLOCKED}.{BLOCKED}.82:443/{random characters}
- 66.{BLOCKED}.{BLOCKED}.20:7080/{random characters}
- 87.{BLOCKED}.{BLOCKED}.101:8080/{random characters}
- 50.{BLOCKED}.{BLOCKED}.205:8080/{random characters}
- 5.{BLOCKED}.{BLOCKED}.24:80/{random characters}
- 201.{BLOCKED}.{BLOCKED}.92:443/{random characters}
- 101.{BLOCKED}.{BLOCKED}.29:80/{random characters}
- 206.{BLOCKED}.{BLOCKED}.215:8080/{random characters}
- 60.{BLOCKED}.{BLOCKED}.197:80/{random characters}
- 173.{BLOCKED}.{BLOCKED}.238:80/{random characters}
- 174.{BLOCKED}.{BLOCKED}.128:80/{random characters}
- 211.{BLOCKED}.{BLOCKED}.111:80/{random characters}
- 165.{BLOCKED}.{BLOCKED}.155:443/{random characters}
- 167.{BLOCKED}.{BLOCKED}.223:7080/{random characters}
- 67.{BLOCKED}.{BLOCKED}.64:8080/{random characters}
- 176.{BLOCKED}.{BLOCKED}.130:8080/{random characters}
- 104.{BLOCKED}.{BLOCKED}.150:8080/{random characters}
- 68.{BLOCKED}.{BLOCKED}.116:80/{random characters}
- 190.{BLOCKED}.{BLOCKED}.20:21/{random characters}
- 120.{BLOCKED}.{BLOCKED}.241:80/{random characters}
- 92.{BLOCKED}.{BLOCKED}.44:8080/{random characters}
- 73.{BLOCKED}.{BLOCKED}.25:80/{random characters}
- 110.{BLOCKED}.{BLOCKED}.16:80/{random characters}
- 24.{BLOCKED}.{BLOCKED}.32:80/{random characters}
- 190.{BLOCKED}.{BLOCKED}.159:21/{random characters}
- 66.{BLOCKED}.{BLOCKED}.122:8080/{random characters}
- 173.{BLOCKED}.{BLOCKED}.142:80/{random characters}
- 100.{BLOCKED}.{BLOCKED}.137:80/{random characters}
- 2.{BLOCKED}.{BLOCKED}.249:80/{random characters}
- 104.{BLOCKED}.{BLOCKED}.186:80/{random characters}
- 47.{BLOCKED}.{BLOCKED}.79:80/{random characters}
- 62.{BLOCKED}.{BLOCKED}.192:8080/{random characters}
- 47.{BLOCKED}.{BLOCKED}.145:80/{random characters}
- 201.{BLOCKED}.{BLOCKED}.124:443/{random characters}
- 104.{BLOCKED}.{BLOCKED}.150:8080/{random characters}
- 186.{BLOCKED}.{BLOCKED}.230:80/{random characters}
- 31.{BLOCKED}.{BLOCKED}.30:80/{random characters}
- 107.{BLOCKED}.{BLOCKED}.125:8080/{random characters}
- 110.{BLOCKED}.{BLOCKED}.202:80/{random characters}
- 75.{BLOCKED}.{BLOCKED}.244:80/{random characters}
- 186.{BLOCKED}.{BLOCKED}.78:8080/{random characters}
- 104.{BLOCKED}.{BLOCKED}.93:8080/{random characters}
- 45.{BLOCKED}.{BLOCKED}.140:80/{random characters}
- 45.{BLOCKED}.{BLOCKED}.124:443/{random characters}
- 74.{BLOCKED}.{BLOCKED}.97:8080/{random characters}
- 70.{BLOCKED}.{BLOCKED}.81:80/{random characters}
- 59.{BLOCKED}.{BLOCKED}.174:80/{random characters}
- 110.{BLOCKED}.{BLOCKED}.109:80/{random characters}
- 31.{BLOCKED}.{BLOCKED}.83:443/{random characters}
- 192.{BLOCKED}.{BLOCKED}.77:8080/{random characters}
- 195.{BLOCKED}.{BLOCKED}.206:80/{random characters}
- 144.{BLOCKED}.{BLOCKED}.220:80/{random characters}
- 103.{BLOCKED}.{BLOCKED}.11:8080/{random characters}
- 61.{BLOCKED}.{BLOCKED}.214:80/{random characters}
- 91.{BLOCKED}.{BLOCKED}.5:443/{random characters}
- 101.{BLOCKED}.{BLOCKED}.207:443/{random characters}
- 73.{BLOCKED}.{BLOCKED}.178:8080/{random characters}
- 190.{BLOCKED}.{BLOCKED}.180:443/{random characters}
- 5.{BLOCKED}.{BLOCKED}.210:8080/{random characters}
- 209.{BLOCKED}.{BLOCKED}.221:8080/{random characters}
- 169.{BLOCKED}.{BLOCKED}.217:8080/{random characters}
- 2.{BLOCKED}.{BLOCKED}.79:80/{random characters}
- 197.{BLOCKED}.{BLOCKED}.174:80/{random characters}
- 85.{BLOCKED}.{BLOCKED}.68:80/{random characters}
- 179.{BLOCKED}.{BLOCKED}.19:80/{random characters}
- 183.{BLOCKED}.{BLOCKED}.69:465/{random characters}
- 149.{BLOCKED}.{BLOCKED}.252:8080/{random characters}
- 64.{BLOCKED}.{BLOCKED}.181:8080/{random characters}
- 2.{BLOCKED}.{BLOCKED}.23:8080/{random characters}
- 174.{BLOCKED}.{BLOCKED}.137:8080/{random characters}
- 182.{BLOCKED}.{BLOCKED}.213:8090/{random characters}
- 167.{BLOCKED}.{BLOCKED}.37:8080/{random characters}
- 138.{BLOCKED}.{BLOCKED}.106:443/{random characters}
- 218.{BLOCKED}.{BLOCKED}.114:80/{random characters}
- 46.{BLOCKED}.{BLOCKED}.87:80/{random characters}
- 87.{BLOCKED}.{BLOCKED}.21:8080/{random characters}
- 37.{BLOCKED}.{BLOCKED}.134:443/{random characters}
- 83.{BLOCKED}.{BLOCKED}.190:8080/{random characters}
- 178.{BLOCKED}.{BLOCKED}.222:8080/{random characters}
- 108.{BLOCKED}.{BLOCKED}.219:8080/{random characters}
- 93.{BLOCKED}.{BLOCKED}.5:80/{random characters}
- 178.{BLOCKED}.{BLOCKED}.63:8080/{random characters}
- 64.{BLOCKED}.{BLOCKED}.138:80/{random characters}
- 12.{BLOCKED}.{BLOCKED}.218:80/{random characters}
- 128.{BLOCKED}.{BLOCKED}.183:443/{random characters}
- 108.{BLOCKED}.{BLOCKED}.72:80/{random characters}
- 217.{BLOCKED}.{BLOCKED}.191:8080/{random characters}
- 37.{BLOCKED}.{BLOCKED}.177:8080/{random characters}
- 78.{BLOCKED}.{BLOCKED}.147:8080/{random characters}
- 212.{BLOCKED}.{BLOCKED}.206:80/{random characters}
- 87.{BLOCKED}.{BLOCKED}.232:8080/{random characters}
- 211.{BLOCKED}.{BLOCKED}.72:8080/{random characters}
- 81.{BLOCKED}.{BLOCKED}.86:8080/{random characters}
- 80.{BLOCKED}.{BLOCKED}.46:80/{random characters}
- 210.{BLOCKED}.{BLOCKED}.121:80/{random characters}
- 188.{BLOCKED}.{BLOCKED}.140:80/{random characters}
- 206.{BLOCKED}.{BLOCKED}.148:8080/{random characters}
- 70.{BLOCKED}.{BLOCKED}.251:80/{random characters}
- 190.{BLOCKED}.{BLOCKED}.53:22/{random characters}
- 212.{BLOCKED}.{BLOCKED}.79:8080/{random characters}
- 98.{BLOCKED}.{BLOCKED}.64:80/{random characters}
- 189.{BLOCKED}.{BLOCKED}.49:80/{random characters}
- 91.{BLOCKED}.{BLOCKED}.90:80/{random characters}
- 116.{BLOCKED}.{BLOCKED}.21:443/{random characters}
- 209.{BLOCKED}.{BLOCKED}.52:8080/{random characters}
- 181.{BLOCKED}.{BLOCKED}.14:80/{random characters}
- 73.{BLOCKED}.{BLOCKED}.255:80/{random characters}
- 173.{BLOCKED}.{BLOCKED}.133:8080/{random characters}
- 139.{BLOCKED}.{BLOCKED}.252:443/{random characters}
- 200.{BLOCKED}.{BLOCKED}.108:443/{random characters}
- 85.{BLOCKED}.{BLOCKED}.56:80/{random characters}
- 165.{BLOCKED}.{BLOCKED}.197:80/{random characters}
- 159.{BLOCKED}.{BLOCKED}.128:8080/{random characters}
- 176.{BLOCKED}.{BLOCKED}.253:8080/{random characters}
- 5.{BLOCKED}.{BLOCKED}.250:80/{random characters}
- 59.{BLOCKED}.{BLOCKED}.190:80/{random characters}
- 31.{BLOCKED}.{BLOCKED}.91:8080/{random characters}
- 58.{BLOCKED}.{BLOCKED}.66:8080/{random characters}
- 91.{BLOCKED}.{BLOCKED}.66:443/{random characters}
- 1.{BLOCKED}.{BLOCKED}.137:80/{random characters}
- 82.{BLOCKED}.{BLOCKED}.203:80/{random characters}
- 95.{BLOCKED}.{BLOCKED}.213:8080/{random characters}
- 47.{BLOCKED}.{BLOCKED}.79:443/{random characters}
- 201.{BLOCKED}.{BLOCKED}.242:443/{random characters}
- 86.{BLOCKED}.{BLOCKED}.239:443/{random characters}
- 190.{BLOCKED}.{BLOCKED}.82:443/{random characters}
- 66.{BLOCKED}.{BLOCKED}.20:7080/{random characters}
- 87.{BLOCKED}.{BLOCKED}.101:8080/{random characters}
- 50.{BLOCKED}.{BLOCKED}.205:8080/{random characters}
- 5.{BLOCKED}.{BLOCKED}.24:80/{random characters}
- 201.{BLOCKED}.{BLOCKED}.92:443/{random characters}
- 101.{BLOCKED}.{BLOCKED}.29:80/{random characters}
- 206.{BLOCKED}.{BLOCKED}.215:8080/{random characters}
- 60.{BLOCKED}.{BLOCKED}.197:80/{random characters}
スパイウェアは、以下を実行します。
- It creates the service for persistence if the sample is executed with administrative privileges, otherwise it uses an autorun registry.
- It combines any two of the following strings and uses it as its file name:
- texas
- func
- deploy
- run
- leel
- stuck
- def
- hal
- monthly
- char
- netsh
- memo
- trns
- rds
- maker
- more
- textto
- chunker
- mailbox
- compon
- shades
- scan
- non
- wsat
- speed
- publish
- manual
- hant
- inbox
- malert
- zap
- fill
- angle
- wrap
- boost
- cors
- iplk
- sitka
- wow
- prints
- acquire
- wiz
- smo
- footer
- attrib
- group
- appid
- xcl
- sensor
- methods
- ipmi
- raw
- title
- nic
- ias
- lua
- dispid
- special
- serial
- wsa
- tcg
- msp
- It deletes outdated copies of itself with a combination of any two of the following strings as its file name:
- delete
- band
- ipsm
- sspi
- div
- rdp
- whole
- dir
- privacy
- make
- watched
- pano
- which
- goto
- wnd
- rep
- ceip
- date
- render
- bag
- vsc
- vsa
- mouse
- counter
- tech
- wheel
- ranker
- iterate
- store
- sum
- package
- timeout
- idebug
- junos
- site
- trc
- url
- coffee
- poller
- remote
- gapa
- changes
- duck
- ppl
- tlogcm
- tlb
- cube
- hexa
- vol
- paint
- star
- nav
- grp
- avatar
- center
- cipher
- brm
- resize
- markup
- pausea
- loan
- emboss
- vsperf
- teal
スパイウェアは、以下を実行します。
- スパイウェアは、管理者権限ありで実行された場合、パーシステンス(持続化)のためのサービスを作成します。管理者権限なしで実行された場合、自動実行レジストリを使用します。
- スパイウェアは以下の文字列のいずれか2つを組み合わせて、ファイル名として使用します。
- texas
- func
- deploy
- run
- leel
- stuck
- def
- hal
- monthly
- char
- netsh
- memo
- trns
- rds
- maker
- more
- textto
- chunker
- mailbox
- compon
- shades
- scan
- non
- wsat
- speed
- publish
- manual
- hant
- inbox
- malert
- zap
- fill
- angle
- wrap
- boost
- cors
- iplk
- sitka
- wow
- prints
- acquire
- wiz
- smo
- footer
- attrib
- group
- appid
- xcl
- sensor
- methods
- ipmi
- raw
- title
- nic
- ias
- lua
- dispid
- special
- serial
- wsa
- tcg
- msp
- スパイウェアは、以下の文字列のいずれか2つを組み合わせてファイル名として使用し、自身の古いコピーを削除します。
- delete
- band
- ipsm
- sspi
- div
- rdp
- whole
- dir
- privacy
- make
- watched
- pano
- which
- goto
- wnd
- rep
- ceip
- date
- render
- bag
- vsc
- vsa
- mouse
- counter
- tech
- wheel
- ranker
- iterate
- store
- sum
- package
- timeout
- idebug
- junos
- site
- trc
- url
- coffee
- poller
- remote
- gapa
- changes
- duck
- ppl
- tlogcm
- tlb
- cube
- hexa
- vol
- paint
- star
- nav
- grp
- avatar
- center
- cipher
- brm
- resize
- markup
- pausea
- loan
- emboss
- vsperf
- teal
<補足>
インストール
スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- スパイウェアが管理者権限ありで実行された場合:
- %System%\{文字列1}{文字列2}.exe
- スパイウェアが管理者権限なしで実行された場合:
- %AppDataLocal%\{文字列1}{文字列2}\{文字列1}{文字列2}.exe
スパイウェアは、以下のプロセスを追加します。
- {マルウェアのファイルパス}\{マルウェアのファイル名}.exe --{ランダムな8文字}
- スパイウェアが管理者権限ありで実行された場合:
- %System%\{文字列1}{文字列2}.exe
- %System%\{文字列1}{文字列2}.exe --{ランダムな8文字}
- スパイウェアが管理者権限なしで実行された場合:
- %AppDataLocal%\{文字列1}{文字列2}\{文字列1}{文字列2}.exe
- %AppDataLocal%\{文字列1}{文字列2}\{文字列1}{文字列2}.exe --{ランダムな8文字}
スパイウェアは、以下のフォルダを作成します。
- スパイウェアが管理者権限なしで実行された場合:
- %AppDataLocal%\{文字列1}{文字列2}
スパイウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- Global\I{ボリュームシリアル番号}
- Global\M{ボリュームシリアル番号}
- Global\E{ボリュームシリアル名}
情報漏えい
スパイウェアは、以下の情報を収集します。
- コンピュータ名
- プロセスセッションID
- オペレーティングシステム(OS)のバージョン
- 実行中のプロセス
- CRCファイル
- プロセッサ・アーキテクチャ
注意:
スパイウェアは、脆弱性を利用した感染活動を行いません。
対応方法
対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 15.578.02
初回 VSAPI パターンリリース日 2019年12月24日
VSAPI OPR パターンバージョン 15.579.00
VSAPI OPR パターンリリース日 2019年12月25日
手順 1
トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。
- TROJ.Win32.TRX.XXPE50FFF033E0002
手順 2
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 3
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 4
「TrojanSpy.Win32.EMOTET.TIABOFFZ」で検出したファイル名を確認し、そのファイルを終了します。
[ 詳細 ]
- すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
- 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、こちらをご参照下さい。 - 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。
手順 5
このレジストリキーを削除します。
[ 詳細 ]
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- {string1}{string2}
- {string1}{string2}
手順 6
このレジストリ値を削除します。
[ 詳細 ]
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- {string1}{string2} = %AppDataLocal%\{string1}{string2}\{string1}{string2}.exe
- {string1}{string2} = %AppDataLocal%\{string1}{string2}\{string1}{string2}.exe
手順 7
以下のフォルダを検索し削除します。
[ 詳細 ]
フォルダが隠しフォルダ属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。 - %AppDataLocal%\{string1}{string2}
手順 8
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TrojanSpy.Win32.EMOTET.TIABOFFZ」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください