TrojanSpy.Win32.EMOTET.VRN
Trojan-Banker.Win32.Emotet.ehml(KASPERSKY); Trojan:Win32/Emotet!rfn(MICROSOFT);
Windows
- マルウェアタイプ: スパイウェア/情報窃取型
- 破壊活動の有無: なし
- 暗号化: はい
- 感染報告の有無: はい
概要
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
スパイウェアは、特定のWebサイトにアクセスし、情報を送受信します。 スパイウェアは、実行後、自身を削除します。
詳細
侵入方法
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
スパイウェアは、以下のフォルダを追加します。
- %AppDataLocal%\{string1}{string2} → if run without admin privileges
(註:%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。)
スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %System%\{string1}{string2}.exe → if run with admin privileges
- %AppDataLocal%\{string1}{string2}\{string1}{string2}.exe → if run without admin privileges
where {string1} and {string2} can be any of the following strings:- texas
- func
- deploy
- run
- leel
- stuck
- def
- hal
- monthly
- char
- netsh
- memo
- trns
- rds
- maker
- more
- textto
- chunker
- mailbox
- compon
- shades
- scan
- non
- wsat
- speed
- publish
- manual
- hant
- inbox
- malert
- zap
- fill
- angle
- wrap
- boost
- cors
- iplk
- sitka
- wow
- prints
- acquire
- wiz
- smo
- footer
- attrib
- group
- appid
- xcl
- sensor
- methods
- ipmi
- raw
- title
- nic
- ias
- lua
- dispid
- special
- serial
- wsa
- tcg
- msp
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。)
スパイウェアは、以下のプロセスを追加します。
- {Malware File Path}\{Malware File Name}.exe --{8 Random Characters}
- %System%\{string1}{string2}.exe → if run with admin privileges
- %System%\{string1}{string2}.exe --{8 Random Characters} → if run with admin privileges
- %AppDataLocal%\{string1}{string2}\{string1}{string2}.exe → if run without admin privileges
- %AppDataLocal%\{string1}{string2}\{string1}{string2}.exe --{8 Random Characters} → if run without admin privileges
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。)
スパイウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- Global\I{Volume Serial Number}
- Global\M{Volume Serial Number}
- Global\E{Volume Serial Name}
自動実行方法
スパイウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\{string1}{string2}
ImagePath = %System%\{string1}{string2}.exe
スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{string1}{string2} = "%AppDataLocal%\{string1}{string2}\{string1}{string2}.exe"
他のシステム変更
スパイウェアは、以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{string1}{string2}
スパイウェアは、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{string1}{string2}
Type = 16
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{string1}{string2}
Start = 2
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{string1}{string2}
ErrorControl = 0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{string1}{string2}
DisplayName = {string1}{string2}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{string1}{string2}
ObjectName = {string1}{string2}
情報漏えい
スパイウェアは、以下の情報を収集します。
- Computer Name
- Process SessionId
- OS Version
- Running Processes
- File CRC
- Processor Architecture
その他
スパイウェアは、以下のWebサイトにアクセスし、情報を送受信します。
- {BLOCKED}.{BLOCKED}.131.88:80\{String}
- {BLOCKED}.{BLOCKED}.11.150:8080\{String}
- {BLOCKED}.{BLOCKED}.44.150:8080\{String}
- {BLOCKED}.{BLOCKED}.246.93:8080\{String}
- {BLOCKED}.{BLOCKED}.175.211:8080\{String}
- {BLOCKED}.{BLOCKED}.24.125:8080\{String}
- {BLOCKED}.{BLOCKED}.95.230:443\{String}
- {BLOCKED}.{BLOCKED}.140.110:8080\{String}
- {BLOCKED}.{BLOCKED}.247.220:80\{String}
- {BLOCKED}.{BLOCKED}.153.252:8080\{String}
- {BLOCKED}.{BLOCKED}.197.94:8080\{String}
- {BLOCKED}.{BLOCKED}.25.128:8080\{String}
- {BLOCKED}.{BLOCKED}.156.155:443\{String}
- {BLOCKED}.{BLOCKED}.10.37:8080\{String}
- {BLOCKED}.{BLOCKED}.105.223:7080\{String}
- {BLOCKED}.{BLOCKED}.182.217:8080\{String}
- {BLOCKED}.{BLOCKED}.153.86:990\{String}
- {BLOCKED}.{BLOCKED}.203.26:8080\{String}
- {BLOCKED}.{BLOCKED}.200.130:8080\{String}
- {BLOCKED}.{BLOCKED}.71.63:8080\{String}
- {BLOCKED}.{BLOCKED}.51.222:8080\{String}
- {BLOCKED}.{BLOCKED}.194.138:443\{String}
- {BLOCKED}.{BLOCKED}.213.158:8080\{String}
- {BLOCKED}.{BLOCKED}.193.14:80\{String}
- {BLOCKED}.{BLOCKED}.132.213:8090\{String}
- {BLOCKED}.{BLOCKED}.238.69:465\{String}
- {BLOCKED}.{BLOCKED}.241.230:80\{String}
- {BLOCKED}.{BLOCKED}.217.49:80\{String}
- {BLOCKED}.{BLOCKED}.67.134:8090\{String}
- {BLOCKED}.{BLOCKED}.215.53:22\{String}
- {BLOCKED}.{BLOCKED}.207.11:443\{String}
- {BLOCKED}.{BLOCKED}.44.20:21\{String}
- {BLOCKED}.{BLOCKED}.135.159:21\{String}
- {BLOCKED}.{BLOCKED}.209.110:7080\{String}
- {BLOCKED}.{BLOCKED}.220.155:8080\{String}
- {BLOCKED}.{BLOCKED}.255.77:8080\{String}
- {BLOCKED}.{BLOCKED}.213.192:8080\{String}
- {BLOCKED}.{BLOCKED}.148.138:8080\{String}
- {BLOCKED}.{BLOCKED}.168.52:8080\{String}
- {BLOCKED}.{BLOCKED}.71.72:8080\{String}
- {BLOCKED}.{BLOCKED}.24.79:8080\{String}
- {BLOCKED}.{BLOCKED}.182.191:8080\{String}
- {BLOCKED}.{BLOCKED}.67.62:7080\{String}
- {BLOCKED}.{BLOCKED}.240.91:8080\{String}
- {BLOCKED}.{BLOCKED}.194.134:443\{String}
- {BLOCKED}.{BLOCKED}.2.199:443\{String}
- {BLOCKED}.{BLOCKED}.49.124:443\{String}
- {BLOCKED}.{BLOCKED}.131.87:80\{String}
- {BLOCKED}.{BLOCKED}.74.210:8080\{String}
- {BLOCKED}.{BLOCKED}.86.205:8080\{String}
- {BLOCKED}.{BLOCKED}.164.174:80\{String}
- {BLOCKED}.{BLOCKED}.187.192:8080\{String}
- {BLOCKED}.{BLOCKED}.154.17:8080\{String}
- {BLOCKED}.{BLOCKED}.179.64:8080\{String}
- {BLOCKED}.{BLOCKED}.219.147:8080\{String}
- {BLOCKED}.{BLOCKED}.163.139:21\{String}
- {BLOCKED}.{BLOCKED}.245.190:8080\{String}
- {BLOCKED}.{BLOCKED}.59.244:20\{String}
- {BLOCKED}.{BLOCKED}.136.232:8080\{String}
- {BLOCKED}.{BLOCKED}.139.101:8080\{String}
- {BLOCKED}.{BLOCKED}.19.21:8080\{String}
- {BLOCKED}.{BLOCKED}.228.193:8090\{String}
- {BLOCKED}.{BLOCKED}.215.66:8080\{String}
- {BLOCKED}.{BLOCKED}.216.44:8080\{String}
- {BLOCKED}.{BLOCKED}.228.255:80\{String}
- {BLOCKED}.{BLOCKED}.43.213:8080\{String}
- where {string} can be one or a combination of any of the following strings, separated by "/":
- teapot
- pnp
- tpt
- splash
- site
- codec
- health
- balloon
- cab
- odbc
- badge
- dma
- psec
- cookies
- iplk
- devices
- enable
- mult
- prov
- vermont
- attrib
- schema
- iab
- chunk
- publish
- prep
- srvc
- sess
- ringin
- nsip
- stubs
- img
- add
- xian
- jit
- free
- loadan
- arizona
- tlb
- forced
- results
- symbols
- report
- guids
- taskbar
- child
- cone
- glitch
- entries
- between
- bml
- usbccid
- sym
- enabled
- merge
- window
- scripts
- raster
- acquire
- json
- rtm
- walk
- ban
スパイウェアは、実行後、自身を削除します。
スパイウェアは、以下を実行します。
- スパイウェアは、ファイル名に以下の文字列を含む古い自身のコピーを削除します。
- delete
- band
- ipsm
- sspi
- div
- rdp
- whole
- dir
- privacy
- make
- watched
- pano
- which
- goto
- wnd
- rep
- ceip
- date
- render
- bag
- vsc
- vsa
- mouse
- counter
- tech
- wheel
- ranker
- iterate
- store
- sum
- package
- timeout
- idebug
- junos
- site
- trc
- url
- coffee
- poller
- remote
- gapa
- changes
- duck
- ppl
- tlogcm
- tlb
- cube
- hexa
- vol
- paint
- star
- nav
- grp
- avatar
- center
- cipher
- brm
- resize
- markup
- pausea
- loan
- emboss
- vsperf
- teal
- スパイウェアは、管理者権限がある場合、スタートアップサービスを作成します。管理者権限がない場合は、レジストリに自動実行エントリのみを作成します。
- スパイウェアは、管理者として実行される場合、以下を作成します。
- サービス名: {文字列1}{文字列2}
イメージパス: %System%\{文字列1}{文字列2}
- サービス名: {文字列1}{文字列2}
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。
<補足>
インストール
スパイウェアは、以下のフォルダを追加します。
- %AppDataLocal%\{文字列1}{文字列2} →管理者権限なしで実行された場合
スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %System%\{文字列1}{文字列2}.exe → 管理者権限ありで実行された場合
- %AppDataLocal%\{文字列1}{文字列2}\{文字列1}{文字列2}.exe → 管理者権限なしで実行された場合
上記の{文字列1}および{文字列2}には、以下のいずれかの文字列が当てはまります。- texas
- func
- deploy
- run
- leel
- stuck
- def
- hal
- monthly
- char
- netsh
- memo
- trns
- rds
- maker
- more
- textto
- chunker
- mailbox
- compon
- shades
- scan
- non
- wsat
- speed
- publish
- manual
- hant
- inbox
- malert
- zap
- fill
- angle
- wrap
- boost
- cors
- iplk
- sitka
- wow
- prints
- acquire
- wiz
- smo
- footer
- attrib
- group
- appid
- xcl
- sensor
- methods
- ipmi
- raw
- title
- nic
- ias
- lua
- dispid
- special
- serial
- wsa
- tcg
- msp
スパイウェアは、以下のプロセスを追加します。
- {マルウェアのファイルパス}\{マルウェアのファイル名}.exe --{ランダムな8文字}
- %System%\{文字列1}{文字列2}.exe → 管理者権限ありで実行された場合
- %System%\{文字列1}{文字列2}.exe --{ランダムな8文字} → 管理者権限ありで実行された場合
- %AppDataLocal%\{文字列1}{文字列2}\{文字列1}{文字列2}.exe → 管理者権限なしで実行された場合
- %AppDataLocal%\{文字列1}{文字列2}\{文字列1}{文字列2}.exe --{ランダムな8文字} → 管理者権限なしで実行された場合
スパイウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- Global\I{ボリュームシリアルナンバー}
- Global\M{ボリュームシリアルナンバー}
- Global\E{ボリュームシリアル名}
情報漏えい
スパイウェアは、以下の情報を収集します。
- コンピュータ名
- プロセスのセッションID
- オペレーティングシステム(OS)のバージョン
- 実行中のプロセス
- CRCファイル
- プロセッサアーキテクチャ
その他
スパイウェアは、以下のWebサイトにアクセスし、情報を送受信します。
- {BLOCKED}.{BLOCKED}.131.88:80\{文字列}
- {BLOCKED}.{BLOCKED}.11.150:8080\{文字列}
- {BLOCKED}.{BLOCKED}.44.150:8080\{文字列}
- {BLOCKED}.{BLOCKED}.246.93:8080\{文字列}
- {BLOCKED}.{BLOCKED}.175.211:8080\{文字列}
- {BLOCKED}.{BLOCKED}.24.125:8080\{文字列}
- {BLOCKED}.{BLOCKED}.95.230:443\{文字列}
- {BLOCKED}.{BLOCKED}.140.110:8080\{文字列}
- {BLOCKED}.{BLOCKED}.247.220:80\{文字列}
- {BLOCKED}.{BLOCKED}.153.252:8080\{文字列}
- {BLOCKED}.{BLOCKED}.197.94:8080\{文字列}
- {BLOCKED}.{BLOCKED}.25.128:8080\{文字列}
- {BLOCKED}.{BLOCKED}.156.155:443\{文字列}
- {BLOCKED}.{BLOCKED}.10.37:8080\{文字列}
- {BLOCKED}.{BLOCKED}.105.223:7080\{文字列}
- {BLOCKED}.{BLOCKED}.182.217:8080\{文字列}
- {BLOCKED}.{BLOCKED}.153.86:990\{文字列}
- {BLOCKED}.{BLOCKED}.203.26:8080\{文字列}
- {BLOCKED}.{BLOCKED}.200.130:8080\{文字列}
- {BLOCKED}.{BLOCKED}.71.63:8080\{文字列}
- {BLOCKED}.{BLOCKED}.51.222:8080\{文字列}
- {BLOCKED}.{BLOCKED}.194.138:443\{文字列}
- {BLOCKED}.{BLOCKED}.213.158:8080\{文字列}
- {BLOCKED}.{BLOCKED}.193.14:80\{文字列}
- {BLOCKED}.{BLOCKED}.132.213:8090\{文字列}
- {BLOCKED}.{BLOCKED}.238.69:465\{文字列}
- {BLOCKED}.{BLOCKED}.241.230:80\{文字列}
- {BLOCKED}.{BLOCKED}.217.49:80\{文字列}
- {BLOCKED}.{BLOCKED}.67.134:8090\{文字列}
- {BLOCKED}.{BLOCKED}.215.53:22\{文字列}
- {BLOCKED}.{BLOCKED}.207.11:443\{文字列}
- {BLOCKED}.{BLOCKED}.44.20:21\{文字列}
- {BLOCKED}.{BLOCKED}.135.159:21\{文字列}
- {BLOCKED}.{BLOCKED}.209.110:7080\{文字列}
- {BLOCKED}.{BLOCKED}.220.155:8080\{文字列}
- {BLOCKED}.{BLOCKED}.255.77:8080\{文字列}
- {BLOCKED}.{BLOCKED}.213.192:8080\{文字列}
- {BLOCKED}.{BLOCKED}.148.138:8080\{文字列}
- {BLOCKED}.{BLOCKED}.168.52:8080\{文字列}
- {BLOCKED}.{BLOCKED}.71.72:8080\{文字列}
- {BLOCKED}.{BLOCKED}.24.79:8080\{文字列}
- {BLOCKED}.{BLOCKED}.182.191:8080\{文字列}
- {BLOCKED}.{BLOCKED}.67.62:7080\{文字列}
- {BLOCKED}.{BLOCKED}.240.91:8080\{文字列}
- {BLOCKED}.{BLOCKED}.194.134:443\{文字列}
- {BLOCKED}.{BLOCKED}.2.199:443\{文字列}
- {BLOCKED}.{BLOCKED}.49.124:443\{文字列}
- {BLOCKED}.{BLOCKED}.131.87:80\{文字列}
- {BLOCKED}.{BLOCKED}.74.210:8080\{文字列}
- {BLOCKED}.{BLOCKED}.86.205:8080\{文字列}
- {BLOCKED}.{BLOCKED}.164.174:80\{文字列}
- {BLOCKED}.{BLOCKED}.187.192:8080\{文字列}
- {BLOCKED}.{BLOCKED}.154.17:8080\{文字列}
- {BLOCKED}.{BLOCKED}.179.64:8080\{文字列}
- {BLOCKED}.{BLOCKED}.219.147:8080\{文字列}
- {BLOCKED}.{BLOCKED}.163.139:21\{文字列}
- {BLOCKED}.{BLOCKED}.245.190:8080\{文字列}
- {BLOCKED}.{BLOCKED}.59.244:20\{文字列}
- {BLOCKED}.{BLOCKED}.136.232:8080\{文字列}
- {BLOCKED}.{BLOCKED}.139.101:8080\{文字列}
- {BLOCKED}.{BLOCKED}.19.21:8080\{文字列}
- {BLOCKED}.{BLOCKED}.228.193:8090\{文字列}
- {BLOCKED}.{BLOCKED}.215.66:8080\{文字列}
- {BLOCKED}.{BLOCKED}.216.44:8080\{文字列}
- {BLOCKED}.{BLOCKED}.228.255:80\{文字列}
- {BLOCKED}.{BLOCKED}.43.213:8080\{文字列}
- 上記の{文字列} には、以下のいずれかの文字列、またはいずれかを組み合わせた文字列が当てはまります。{文字列}は、"/"により分けられています。
- teapot
- pnp
- tpt
- splash
- site
- codec
- health
- balloon
- cab
- odbc
- badge
- dma
- psec
- cookies
- iplk
- devices
- enable
- mult
- prov
- vermont
- attrib
- schema
- iab
- chunk
- publish
- prep
- srvc
- sess
- ringin
- nsip
- stubs
- img
- add
- xian
- jit
- free
- loadan
- arizona
- tlb
- forced
- results
- symbols
- report
- guids
- taskbar
- child
- cone
- glitch
- entries
- between
- bml
- usbccid
- sym
- enabled
- merge
- window
- scripts
- raster
- acquire
- json
- rtm
- walk
- ban
対応方法
手順 1
トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。
- TROJ.Win32.TRX.XXPE50FFF032P0005
手順 2
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 3
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 4
Windowsをセーフモードで再起動します。
手順 5
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- {string1}{string2} = "%AppDataLocal%\{string1}{string2}\{string1}{string2}.exe"
- {string1}{string2} = "%AppDataLocal%\{string1}{string2}\{string1}{string2}.exe"
手順 6
不明なレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- {string1}{string2}
- {string1}{string2}
手順 7
このマルウェアのサービスを無効にします。
-
- Service name:{string 1}{string 2}
- Image path: %System%\{string 1}{string 2}
手順 8
以下のファイルを検索し削除します。
- %System%\{string1}{string2}.exe
- %AppDataLocal%\{string1}{string2}\{string1}{string2}.exe
手順 9
以下のフォルダを検索し削除します。
- %AppDataLocal%\{string1}{string2}
手順 10
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TrojanSpy.Win32.EMOTET.VRN」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください