• Email
• Facebook
• Twitter
• Google+
• Linkedin

TrojanSpy.Win32.EMOTET.TIABOFHI

---

• マルウェアタイプ: スパイウェア/情報窃取型
• 破壊活動の有無: なし
• 暗号化:  
• 感染報告の有無: はい

---

  概要

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェアは、実行後、自身を削除します。

ただし、情報公開日現在、このWebサイトにはアクセスできません。

---

  詳細

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• If sample executed with administrative privileges:
  
  • %System%\{String1}{String2}.exe
• If sample executed without administrative privileges:
  
  • %AppDataLocal%\{String1}{String2}\{String1}{String2}.exe

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local" です。)

スパイウェアは、以下のプロセスを追加します。

• {Malware file path}\{Malware file name}.exe --{8 random characters}
• If sample executed with administrative privileges:
  
  • %System%\{String1}{String2}.exe
  • %System%\{String1}{String2}.exe --{8 random characters}
• If sample executed without administrative privileges:
  
  • %AppDataLocal%\{String1}{String2}\{String1}{String2}.exe
  • %AppDataLocal%\{String1}{String2}\{String1}{String2}.exe --{8 random characters}

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local" です。)

スパイウェアは、以下のフォルダを作成します。

• If the sample is executed without administrative privileges:
  
  • %AppDataLocal%\{String1}{String2}

(註：%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local" です。)

スパイウェアは、実行後、自身を削除します。

スパイウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• Global\I{Volume Serial Number}
• Global\M{Volume Serial Number}

自動実行方法

スパイウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{String1}{String2}
ImagePath = %System%\{String1}{String2}.exe

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{String1}{String2} = %AppDataLocal%\{String1}{String2}\{String1}{String2}.exe

バックドア活動

スパイウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

• {BLOCKED}.{BLOCKED}.173.240:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.158.102:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.27.67:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.35.138:7080/{Random Characters}
• {BLOCKED}.{BLOCKED}.84.2:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.202.68:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.122.146:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.195.72:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.185.153:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.6.63:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.51.143:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.218.151:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.38.26:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.5.154:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.160.178:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.15.223:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.170.114:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.33.84:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.69.146:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.112.55:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.197.100:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.55.174:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.11.159:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.225.121:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.211.77:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.114.1:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.158.208:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.158.65:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.1.45:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.78.151:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.232.51:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.15.205:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.46.107:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.20.202:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.150.160:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.179.214:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.93.124:7080/{Random Characters}
• {BLOCKED}.{BLOCKED}.215.57:7080/{Random Characters}
• {BLOCKED}.{BLOCKED}.136.103:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.226.57:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.247.61:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.234.118:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.114.162:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.126.42:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.121.180:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.27.6:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.41.185:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.89.91:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.124.178:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.65.146:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.179.60:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.47.120:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.247.164:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.61.162:7080/{Random Characters}
• {BLOCKED}.{BLOCKED}.201.163:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.106.4:7080/{Random Characters}
• {BLOCKED}.{BLOCKED}.135.215:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.118.88:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.56.105:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.91.187:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.228.113:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.228.113:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.173.247:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.36.220:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.89.226:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.169.32:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.178.83:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.209.3:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.157.126:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.159.44:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.121.26:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.21.126:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.163.131:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.204.106:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.101.13:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.61.163:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.42.205:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.244.48:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.220.232:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.27.82:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.252.12:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.252.13:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.92.42:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.52.123:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.83.52:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.48.204:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.186.74:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.165.196:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.205.170:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.225.76:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.248.237:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.15.49:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.24.204:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.104.226:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.81.181:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.156.8:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.197.98:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.193.152:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.44.48:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.243.186:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.1.69:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.153.162:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.144.224:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.164.23:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.82.216:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.129.227:8090/{Random Characters}
• {BLOCKED}.{BLOCKED}.184.138:995/{Random Characters}
• {BLOCKED}.{BLOCKED}.236.139:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.149.236:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.76.34:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.143.52:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.146.84:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.215.190:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.187.90:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.170.231:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.183.137:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.32.59:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.100.141:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.39.111:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.161.179:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.249.100:7080/{Random Characters}
• {BLOCKED}.{BLOCKED}.204.40:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.237.140:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.19.245:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.168.93:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.83.79:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.160.224:8080/{Random Characters}

情報漏えい

スパイウェアは、以下の情報を収集します。

• Computer Name
• Process SessionId
• OS Version
• Running Processes
• File CRC
• Processor Architecture

その他

スパイウェアは、以下を実行します。

• It creates the service for persistence if the sample is executed with administrative privileges, otherwise it uses an autorun registry.
• It combines any two of the following strings and uses it as its filename "{String1}{String2}":
  
  • acc 
  • avi 
  • basic 
  • bid 
  • blb 
  • bta 
  • cards 
  • channel 
  • clr 
  • cors 
  • createa 
  • ctl 
  • cyan 
  • dbt 
  • devices 
  • digital 
  • driver 
  • duck 
  • dvb 
  • edge 
  • elem 
  • ellipse 
  • etw 
  • exce 
  • format 
  • guid 
  • inet 
  • khmer 
  • metrics 
  • mexico 
  • mfidl 
  • msg 
  • msra 
  • mult 
  • pal 
  • pdeft 
  • pfx 
  • ptr 
  • purge 
  • query 
  • radio 
  • restore 
  • roam 
  • rtp 
  • send 
  • ses 
  • shext 
  • shlp 
  • sidebar 
  • space 
  • symbol 
  • targets 
  • taskmgr 
  • thrd 
  • thunk 
  • timeout 
  • url 
  • violet 
  • vmd 
  • vol 
  • volume 
  • wce 
  • wmistr 
  • wmp
• It deletes outdated copies of itself with a combination of any two of the following strings as its file name:
  
  • acquire 
  • angle 
  • appid 
  • attrib 
  • boost 
  • char 
  • chunker 
  • compon 
  • cors 
  • def 
  • deploy 
  • dispid 
  • fill 
  • footer 
  • func 
  • group 
  • hal 
  • hant 
  • ias 
  • inbox 
  • iplk 
  • ipmi 
  • leel 
  • lua 
  • mailbox 
  • maker 
  • malert 
  • manual 
  • memo 
  • methods 
  • monthly 
  • more 
  • msp 
  • netsh 
  • nic 
  • non 
  • pdf 
  • print 
  • prints 
  • publish 
  • raw 
  • rds 
  • run 
  • scan 
  • sensor 
  • serial 
  • shades 
  • sitka 
  • smo 
  • special 
  • speed 
  • stuck 
  • tcg 
  • texas 
  • textto 
  • title 
  • trns 
  • wiz 
  • wow 
  • wrap 
  • wsa 
  • wsat 
  • xcl 
  • zap

ただし、情報公開日現在、このWebサイトにはアクセスできません。

---

  対応方法

ご利用はいかがでしたか？　アンケートにご協力ください