• Email
• Facebook
• Twitter
• Google+
• Linkedin

TrojanSpy.Win32.EMOTET.TIABOFHK

---

• マルウェアタイプ: スパイウェア/情報窃取型
• 破壊活動の有無: なし
• 暗号化: はい
• 感染報告の有無: はい

---

  概要

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェアは、実行後、自身を削除します。

ただし、情報公開日現在、このWebサイトにはアクセスできません。

---

  詳細

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• If sample executed with administrative privileges:
  
  • %System%\{String1}{String2}.exe
• If sample executed without administrative privileges:
  
  • %AppDataLocal%\{String1}{String2}\{String1}{String2}.exe

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local" です。)

スパイウェアは、以下のプロセスを追加します。

• {Malware file path}\{Malware file name}.exe --{8 Random Characters}
• If sample executed with administrative privileges:
  
  • %System%\{String1}{String2}.exe
  • %System%\{String1}{String2}.exe --{8 Random Characters}
• If sample executed without administrative privileges:
  
  • %AppDataLocal%\{String1}{String2}\{String1}{String2}.exe
  • %AppDataLocal%\{String1}{String2}\{String1}{String2}.exe --{8 Random Characters}

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local" です。)

スパイウェアは、以下のフォルダを作成します。

• If the sample is executed without administrative privileges:
  
  • %AppDataLocal%\{String1}{String2}

(註：%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local" です。)

スパイウェアは、実行後、自身を削除します。

スパイウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• Global\I{Volume Serial Number}
• Global\M{Volume Serial Number}

自動実行方法

スパイウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{String1}{String2}
ImagePath = %System%\{String1}{String2}.exe

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{String1}{String2} = %AppDataLocal%\{String1}{String2}\{String1}{String2}.exe

バックドア活動

スパイウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

• {BLOCKED}.{BLOCKED}.76.249:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.55.214:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.130.105:7080/{Random Characters}
• {BLOCKED}.{BLOCKED}.237.248:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.202.216:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.49.98:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.77.83:443/{Random Characters}
• {BLOCKED}.{BLOCKED].194.134:443/{Random Characters}
• {BLOCKED}.{BLOCKED].226.58:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.49.124:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.65.123:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.131.69:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.131.87:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.15.79:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.15.79:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.183.211:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.70.145:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.91.213:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.86.205:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.42.66:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.164.174:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.217.199:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.78.22:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.31.243:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.187.192:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.250.5:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.242.181:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.6.71:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.242.50:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.201.20:7080/{Random Characters}
• {BLOCKED}.{BLOCKED}.229.171:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.243.146:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.53.234:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.171.251:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.57.105:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.225.121:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.83.133:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.235.105:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.80.47:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.80.47:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.219.147:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.70.199:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.114.69:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.5.109:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.180.107:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.10.190:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.205.77:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.174.56:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.51.125:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.136.232:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.139.101:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.19.21:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.120.205:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.145.210:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.197.90:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.215.66:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.216.44:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.141.5:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.236.64:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.113.161:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.206.153:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.23.40:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.134.207:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.197.33:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.49.11:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.95.218:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.11.150:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.44.150:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.246.93:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.155.182:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.123.133:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.206.219:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.2.72:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.217.66:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.111.148:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.6.218:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.7.132:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.246.241:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.5.176:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.241.252:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.242.43:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.153.252:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.248.128:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.25.128:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.215.66:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.10.37:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.26.90:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.43.37:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.160.121:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.139.83:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.185.19:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.24.82:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.70.117:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.126.170:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.132.213:8090/{Random Characters}
• {BLOCKED}.{BLOCKED}.238.69:465/{Random Characters}
• {BLOCKED}.{BLOCKED}.247.171:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.135.237:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.112.237:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.119.180:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.181.54:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.244.182:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.126.169:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.226.104:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.39.231:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.19.82:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.255.77:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.215.206:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.90.5:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.200.4:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.145.225:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.217.124:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.105.242:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.121.202:8090/{Random Characters}
• {BLOCKED}.{BLOCKED}.117.108:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.10.215:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.112.148:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.168.52:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.54.221:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.22.34:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.85.121:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.71.72:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.153.224:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.19.232:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.182.191:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.123.72:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.185.60:80/{Random Characters}

情報漏えい

スパイウェアは、以下の情報を収集します。

• Computer Name
• Process SessionId
• OS Version
• Running Processes
• File CRC
• Processor Architecture

その他

スパイウェアは、以下を実行します。

• It creates the service for persistence if the sample is executed with administrative privileges, otherwise it uses an autorun registry.
• It combines any two of the following strings and uses it as its filename "{String1}{String2}":
  
  • acc
  • avi
  • basic
  • bid
  • blb
  • bta
  • cards
  • channel
  • clr
  • cors
  • createa
  • ctl
  • cyan
  • dbt
  • devices
  • digital
  • driver
  • duck
  • dvb
  • edge
  • elem
  • ellipse
  • etw
  • exce
  • format
  • guid
  • inet
  • khmer
  • metrics
  • mexico
  • mfidl
  • msg
  • msra
  • mult
  • pal
  • pdeft
  • pfx
  • ptr
  • purge
  • query
  • radio
  • restore
  • roam
  • rtp
  • send
  • ses
  • shext
  • shlp
  • sidebar
  • space
  • symbol
  • targets
  • taskmgr
  • thrd
  • thunk
  • timeout
  • url
  • violet
  • vmd
  • vol
  • volume
  • wce
  • wmistr
  • wmp
• It deletes outdated copies of itself with a combination of any two of the following strings as its file name:
  
  • acquire
  • angle
  • appid
  • attrib
  • boost
  • char
  • chunker
  • compon
  • cors
  • def
  • deploy
  • dispid
  • fill
  • footer
  • func
  • group
  • hal
  • hant
  • ias
  • inbox
  • iplk
  • ipmi
  • leel
  • lua
  • mailbox
  • maker
  • malert
  • manual
  • memo
  • methods
  • monthly
  • more
  • msp
  • netsh
  • nic
  • non
  • pdf
  • print
  • prints
  • publish
  • raw
  • rds
  • run
  • scan
  • sensor
  • serial
  • shades
  • sitka
  • smo
  • special
  • speed
  • stuck
  • tcg
  • texas
  • textto
  • title
  • trns
  • wiz
  • wow
  • wrap
  • wsa
  • wsat
  • xcl
  • zap

ただし、情報公開日現在、このWebサイトにはアクセスできません。

---

  対応方法

ご利用はいかがでしたか？　アンケートにご協力ください