TrojanSpy.Win32.EMOTET.UWAOIBENK
Trojan:Win32/Emotet.AD (MICROSOFT)
Windows
- マルウェアタイプ: スパイウェア/情報窃取型
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
スパイウェアは、実行後、自身を削除します。
ただし、情報公開日現在、このWebサイトにはアクセスできません。
詳細
侵入方法
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- When executed with administrative privileges:
- %System%\{String1}{String2}.exe
- When executed without administrative privileges:
- %AppDataLocal%\{String1}{String2}\{String1}{String2}.exe
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。)
スパイウェアは、以下のプロセスを追加します。
- {Malware File Path}\{Malware File Name} --{8 random characters}
- When executed without administrative privileges:
- %AppDataLocal%\{String1}{String2}\{String1}{String2}.exe
- %AppDataLocal%\{String1}{String2}\{String1}{String2}.exe --{8 random characters}
- When executed with administrative privileges:
- %System%\{String1}{String2}.exe
- %System%\{String1}{String2}.exe --{8 random characters}
(註:%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)
スパイウェアは、以下のフォルダを作成します。
- %AppDataLocal%\{String1}{String2}
(註:%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。)
スパイウェアは、実行後、自身を削除します。
スパイウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- Global\I{Volume Serial Number}
- Global\M{Volume Serial Number}
自動実行方法
スパイウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{String1}{String2}
ImagePath = %System%\{String1}{String2}.exe
情報漏えい
スパイウェアは、以下の情報を収集します。
- Computer Name
- File CRC
- Volume Serial Number
- OS Version
- Processor Architecture
- Running Processes
- Process SessionId
情報収集
スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。
- {BLOCKED}.{BLOCKED}.171.51:80/{Random Strings}
- {BLOCKED}.{BLOCKED}.222.145:443/{Random Strings}
- {BLOCKED}.{BLOCKED}.206.228:80/{Random Strings}
- {BLOCKED}.{BLOCKED}.12.221:8080/{Random Strings}
- {BLOCKED}.{BLOCKED}.19.157:80/{Random Strings}
- {BLOCKED}.{BLOCKED}.94.183:8080/{Random Strings}
- {BLOCKED}.{BLOCKED}.44.53:80/{Random Strings}
- {BLOCKED}.{BLOCKED}.160.193:8080/{Random Strings}
- {BLOCKED}.{BLOCKED}.151.19:80/{Random Strings}
- {BLOCKED}.{BLOCKED}.50.164:8080/{Random Strings}
- {BLOCKED}.{BLOCKED}.90.90:7080/{Random Strings}
- {BLOCKED}.{BLOCKED}.79.48:8080/{Random Strings}
- {BLOCKED}.{BLOCKED}.85.35:8080/{Random Strings}
- {BLOCKED}.{BLOCKED}.117.247:8080/{Random Strings}
- {BLOCKED}.{BLOCKED}.99.129:8080/{Random Strings}
- {BLOCKED}.{BLOCKED}.62.186:8080/{Random Strings}
- {BLOCKED}.{BLOCKED}.126.2:80/{Random Strings}
- {BLOCKED}.{BLOCKED}.101.13:80/{Random Strings}
- {BLOCKED}.{BLOCKED}.163.9:80/{Random Strings}
- {BLOCKED}.{BLOCKED}.88.13:80/{Random Strings}
- {BLOCKED}.{BLOCKED}.150.209:80/{Random Strings}
- {BLOCKED}.{BLOCKED}.105.16:465/{Random Strings}
- {BLOCKED}.{BLOCKED}.6.78:7080/{Random Strings}
- {BLOCKED}.{BLOCKED}.33.82:8080/{Random Strings}
- {BLOCKED}.{BLOCKED}.1.74:8080/{Random Strings}
- {BLOCKED}.{BLOCKED}.116.32:21/{Random Strings}
- {BLOCKED}.{BLOCKED}.215.57:7080/{Random Strings}
- {BLOCKED}.{BLOCKED}.254.93:8080/{Random Strings}
- {BLOCKED}.{BLOCKED}.200.27:443/{Random Strings}
- {BLOCKED}.{BLOCKED}.140.187:80/{Random Strings}
- {BLOCKED}.{BLOCKED}.227.247:443/{Random Strings}
- {BLOCKED}.{BLOCKED}.148.136:4143/{Random Strings}
- {BLOCKED}.{BLOCKED}.252.27:443/{Random Strings}
- {BLOCKED}.{BLOCKED}.211.211:8080/{Random Strings}
- {BLOCKED}.{BLOCKED}.248.48:8080/{Random Strings}
- {BLOCKED}.{BLOCKED}.93.123:8080/{Random Strings}
- {BLOCKED}.{BLOCKED}.175.216:8080/{Random Strings}
- {BLOCKED}.{BLOCKED}.96.242:80/{Random Strings}
- {BLOCKED}.{BLOCKED}.212.42:443/{Random Strings}
- {BLOCKED}.{BLOCKED}.69.165:443/{Random Strings}
- {BLOCKED}.{BLOCKED}.29.90:80/{Random Strings}
- {BLOCKED}.{BLOCKED}.230.41:80/{Random Strings}
- {BLOCKED}.{BLOCKED}.166.192:80/{Random Strings}
- {BLOCKED}.{BLOCKED}.142.40:8080/{Random Strings}
- {BLOCKED}.{BLOCKED}.208.168:21/{Random Strings}
- {BLOCKED}.{BLOCKED}.52.242:8080/{Random Strings}
- {BLOCKED}.{BLOCKED}.52.146:20/{Random Strings}
- {BLOCKED}.{BLOCKED}.131.215:443/{Random Strings}
- {BLOCKED}.{BLOCKED}.148.222:8080/{Random Strings}
- {BLOCKED}.{BLOCKED}.199.254:8080/{Random Strings}
- {BLOCKED}.{BLOCKED}.126.66:80/{Random Strings}
- {BLOCKED}.{BLOCKED}.213.173:8080/{Random Strings}
- {BLOCKED}.{BLOCKED}.128.163:8080/{Random Strings}
- {BLOCKED}.{BLOCKED}.112.70:443/{Random Strings}
- {BLOCKED}.{BLOCKED}.203.51:8080/{Random Strings}
- {BLOCKED}.{BLOCKED}.57.96:143/{Random Strings}
- {BLOCKED}.{BLOCKED}.185.71:465/{Random Strings}
- {BLOCKED}.{BLOCKED}.54.77:20/{Random Strings}
- {BLOCKED}.{BLOCKED}.45.129:8080/{Random Strings}
- {BLOCKED}.{BLOCKED}.143.100:7080/{Random Strings}
- where the {Random Strings} are as follows:
- teapot
- pnp
- tpt
- splash
- site
- codec
- health
- balloon
- cab
- odbc
- badge
- dma
- psec
- cookies
- iplk
- devices
- enable
- mult
- prov
- vermont
- attrib
- schema
- iab
- chunk
- publish
- prep
- srvc
- sess
- ringin
- nsip
- stubs
- img
- add
- xian
- jit
- free
- loadan
- arizona
- tlb
- forced
- results
- symbols
- report
- guids
- taskbar
- child
- cone
- glitch
- entries
- between
- bml
- usbccid
- sym
- enabled
- merge
- window
- scripts
- raster
- acquire
- json
- rtm
- walk
- banteapot
- pnp
- tpt
- splash
- site
- codec
- health
- balloon
- cab
- odbc
- badge
- dma
- psec
- cookies
- iplk
- devices
- enable
- mult
- prov
- vermont
- attrib
- schema
- iab
- chunk
- publish
- prep
- srvc
- sess
- ringin
- nsip
- stubs
- img
- add
- xian
- jit
- free
- loadan
- arizona
- tlb
- forced
- results
- symbols
- report
- guids
- taskbar
- child
- cone
- glitch
- entries
- between
- bml
- usbccid
- sym
- enabled
- merge
- window
- scripts
- raster
- acquire
- json
- rtm
- walk
- ban
その他
スパイウェアは、以下を実行します。
- It creates the service for persistence if the sample is executed with administrative privileges, otherwise it does not have any persistence.
- It combines any two of the following strings and uses it as its filename "{String1}{String2}":
- rel
- tables
- glue
- impl
- texture
- related
- key
- nis
- langs
- iprop
- exec
- wrap
- matrix
- dump
- phoenix
- ribbon
- sorting
- pinned
- lics
- bit
- unpack
- adt
- rep
- jobs
- acl
- title
- sound
- events
- targets
- scrn
- mheg
- lines
- prompt
- adjust
- xian
- ser
- cycle
- redist
- its
- boxes
- dma
- small
- cloud
- flow
- guiddef
- whole
- parent
- bears
- random
- bulk
- idebug
- viewer
- starta
- comment
- sel
- source
- hotspot
- pnf
- portal
- sitka
- iell
- slide
- typ
- sonic
- It deletes outdated copies of itself with a combination of any two of the following strings as its file name:
- not
- ripple
- svcs
- serv
- wab
- shader
- single
- without
- wcs
- define
- eap
- culture
- slide
- zip
- tmpl
- mini
- polic
- panes
- earcon
- menus
- detect
- form
- uuidgen
- pnp
- admin
- tuip
- avatar
- started
- dasmrc
- alaska
- guids
- wfp
- adam
- wgx
- lime
- indexer
- repl
- dev
- mapi
- resw
- daf
- diag
- iss
- vsc
- turned
- neutral
- sat
- source
- enroll
- mfidl
- idl
- based
- right
- cbs
- radar
- avg
- wordpad
- metagen
- mouse
- iprop
- mdmmcd
- jersey
- thunk
- subs
ただし、情報公開日現在、このWebサイトにはアクセスできません。
対応方法
手順 1
トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。
- Troj.Win32.TRX.XXPE50FFF055
手順 2
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 3
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 4
Windowsをセーフモードで再起動します。
手順 5
不明なレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{String1}{String2}
- ImagePath=%System%\{String1}{String2}.exe
- ImagePath=%System%\{String1}{String2}.exe
手順 6
以下のファイルを検索し削除します。
- %System%\{String1}{String2}.exe
- %AppDataLocal%\{String1}{String2}\{String1}{String2}.exe
手順 7
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TrojanSpy.Win32.EMOTET.UWAOIBENK」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください