TrojanSpy.Win32.EMOTET.VRN

2019年12月6日

解析者: Arvin Roi Macaraeg

別名:

Trojan-Banker.Win32.Emotet.ehml(KASPERSKY); Trojan:Win32/Emotet!rfn(MICROSOFT);

プラットフォーム:

Windows

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ: スパイウェア/情報窃取型
破壊活動の有無: なし
暗号化: はい
感染報告の有無: はい

概要

感染経路インターネットからのダウンロード, 他のマルウェアからの作成

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェアは、特定のWebサイトにアクセスし、情報を送受信します。スパイウェアは、実行後、自身を削除します。

詳細

ファイルサイズ 237,682 bytes

タイプ EXE

メモリ常駐はい

発見日 2019年12月4日

ペイロード URLまたはIPアドレスに接続, ファイルの作成

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、以下のフォルダを追加します。

%AppDataLocal%\{string1}{string2} → if run without admin privileges

(註：%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local" です。)

スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

%System%\{string1}{string2}.exe → if run with admin privileges
%AppDataLocal%\{string1}{string2}\{string1}{string2}.exe → if run without admin privileges
where {string1} and {string2} can be any of the following strings:
- texas
- func
- deploy
- run
- leel
- stuck
- def
- print
- hal
- monthly
- pdf
- char
- netsh
- memo
- trns
- rds
- maker
- more
- textto
- chunker
- mailbox
- compon
- shades
- scan
- non
- wsat
- speed
- publish
- manual
- hant
- inbox
- malert
- zap
- fill
- angle
- wrap
- boost
- cors
- iplk
- sitka
- wow
- prints
- acquire
- wiz
- smo
- footer
- attrib
- group
- appid
- xcl
- sensor
- methods
- ipmi
- raw
- title
- nic
- ias
- lua
- dispid
- special
- serial
- wsa
- tcg
- msp

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local" です。)

スパイウェアは、以下のプロセスを追加します。

{Malware File Path}\{Malware File Name}.exe --{8 Random Characters}
%System%\{string1}{string2}.exe → if run with admin privileges
%System%\{string1}{string2}.exe --{8 Random Characters} → if run with admin privileges
%AppDataLocal%\{string1}{string2}\{string1}{string2}.exe → if run without admin privileges
%AppDataLocal%\{string1}{string2}\{string1}{string2}.exe --{8 Random Characters} → if run without admin privileges

スパイウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

Global\I{Volume Serial Number}
Global\M{Volume Serial Number}
Global\E{Volume Serial Name}

自動実行方法

スパイウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\{string1}{string2}
ImagePath = %System%\{string1}{string2}.exe

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{string1}{string2} = "%AppDataLocal%\{string1}{string2}\{string1}{string2}.exe"

他のシステム変更

スパイウェアは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{string1}{string2}

スパイウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{string1}{string2}
Type = 16

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{string1}{string2}
Start = 2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{string1}{string2}
ErrorControl = 0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{string1}{string2}
DisplayName = {string1}{string2}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{string1}{string2}
ObjectName = {string1}{string2}

情報漏えい

スパイウェアは、以下の情報を収集します。

Computer Name
Process SessionId
OS Version
Running Processes
File CRC
Processor Architecture

その他

スパイウェアは、以下のWebサイトにアクセスし、情報を送受信します。

- {BLOCKED}.{BLOCKED}.131.88:80\{String}
- {BLOCKED}.{BLOCKED}.11.150:8080\{String}
- {BLOCKED}.{BLOCKED}.44.150:8080\{String}
- {BLOCKED}.{BLOCKED}.246.93:8080\{String}
- {BLOCKED}.{BLOCKED}.175.211:8080\{String}
- {BLOCKED}.{BLOCKED}.24.125:8080\{String}
- {BLOCKED}.{BLOCKED}.95.230:443\{String}
- {BLOCKED}.{BLOCKED}.140.110:8080\{String}
- {BLOCKED}.{BLOCKED}.247.220:80\{String}
- {BLOCKED}.{BLOCKED}.153.252:8080\{String}
- {BLOCKED}.{BLOCKED}.197.94:8080\{String}
- {BLOCKED}.{BLOCKED}.25.128:8080\{String}
- {BLOCKED}.{BLOCKED}.156.155:443\{String}
- {BLOCKED}.{BLOCKED}.10.37:8080\{String}
- {BLOCKED}.{BLOCKED}.105.223:7080\{String}
- {BLOCKED}.{BLOCKED}.182.217:8080\{String}
- {BLOCKED}.{BLOCKED}.153.86:990\{String}
- {BLOCKED}.{BLOCKED}.203.26:8080\{String}
- {BLOCKED}.{BLOCKED}.200.130:8080\{String}
- {BLOCKED}.{BLOCKED}.71.63:8080\{String}
- {BLOCKED}.{BLOCKED}.51.222:8080\{String}
- {BLOCKED}.{BLOCKED}.194.138:443\{String}
- {BLOCKED}.{BLOCKED}.213.158:8080\{String}
- {BLOCKED}.{BLOCKED}.193.14:80\{String}
- {BLOCKED}.{BLOCKED}.132.213:8090\{String}
- {BLOCKED}.{BLOCKED}.238.69:465\{String}
- {BLOCKED}.{BLOCKED}.241.230:80\{String}
- {BLOCKED}.{BLOCKED}.217.49:80\{String}
- {BLOCKED}.{BLOCKED}.67.134:8090\{String}
- {BLOCKED}.{BLOCKED}.215.53:22\{String}
- {BLOCKED}.{BLOCKED}.207.11:443\{String}
- {BLOCKED}.{BLOCKED}.44.20:21\{String}
- {BLOCKED}.{BLOCKED}.135.159:21\{String}
- {BLOCKED}.{BLOCKED}.209.110:7080\{String}
- {BLOCKED}.{BLOCKED}.220.155:8080\{String}
- {BLOCKED}.{BLOCKED}.255.77:8080\{String}
- {BLOCKED}.{BLOCKED}.213.192:8080\{String}
- {BLOCKED}.{BLOCKED}.148.138:8080\{String}
- {BLOCKED}.{BLOCKED}.168.52:8080\{String}
- {BLOCKED}.{BLOCKED}.71.72:8080\{String}
- {BLOCKED}.{BLOCKED}.24.79:8080\{String}
- {BLOCKED}.{BLOCKED}.182.191:8080\{String}
- {BLOCKED}.{BLOCKED}.67.62:7080\{String}
- {BLOCKED}.{BLOCKED}.240.91:8080\{String}
- {BLOCKED}.{BLOCKED}.194.134:443\{String}
- {BLOCKED}.{BLOCKED}.2.199:443\{String}
- {BLOCKED}.{BLOCKED}.49.124:443\{String}
- {BLOCKED}.{BLOCKED}.131.87:80\{String}
- {BLOCKED}.{BLOCKED}.74.210:8080\{String}
- {BLOCKED}.{BLOCKED}.86.205:8080\{String}
- {BLOCKED}.{BLOCKED}.164.174:80\{String}
- {BLOCKED}.{BLOCKED}.187.192:8080\{String}
- {BLOCKED}.{BLOCKED}.154.17:8080\{String}
- {BLOCKED}.{BLOCKED}.179.64:8080\{String}
- {BLOCKED}.{BLOCKED}.219.147:8080\{String}
- {BLOCKED}.{BLOCKED}.163.139:21\{String}
- {BLOCKED}.{BLOCKED}.245.190:8080\{String}
- {BLOCKED}.{BLOCKED}.59.244:20\{String}
- {BLOCKED}.{BLOCKED}.136.232:8080\{String}
- {BLOCKED}.{BLOCKED}.139.101:8080\{String}
- {BLOCKED}.{BLOCKED}.19.21:8080\{String}
- {BLOCKED}.{BLOCKED}.228.193:8090\{String}
- {BLOCKED}.{BLOCKED}.215.66:8080\{String}
- {BLOCKED}.{BLOCKED}.216.44:8080\{String}
- {BLOCKED}.{BLOCKED}.228.255:80\{String}
- {BLOCKED}.{BLOCKED}.43.213:8080\{String}
where {string} can be one or a combination of any of the following strings, separated by "/":
- teapot
- pnp
- tpt
- splash
- site
- codec
- health
- balloon
- cab
- odbc
- badge
- dma
- psec
- cookies
- iplk
- devices
- enable
- mult
- prov
- vermont
- attrib
- schema
- iab
- chunk
- publish
- prep
- srvc
- sess
- ringin
- nsip
- stubs
- img
- add
- xian
- jit
- free
- pdf
- loadan
- arizona
- tlb
- forced
- results
- symbols
- report
- guids
- taskbar
- child
- cone
- glitch
- entries
- between
- bml
- usbccid
- sym
- enabled
- merge
- window
- scripts
- raster
- acquire
- json
- rtm
- walk
- ban

スパイウェアは、実行後、自身を削除します。

スパイウェアは、以下を実行します。

スパイウェアは、ファイル名に以下の文字列を含む古い自身のコピーを削除します。
- delete
- band
- ipsm
- sspi
- div
- rdp
- whole
- dir
- privacy
- make
- watched
- pano
- which
- goto
- wnd
- rep
- ceip
- date
- render
- bag
- vsc
- vsa
- mouse
- counter
- tech
- wheel
- ranker
- iterate
- store
- sum
- package
- timeout
- idebug
- junos
- site
- trc
- url
- coffee
- poller
- remote
- gapa
- changes
- duck
- ppl
- tlogcm
- tlb
- cube
- hexa
- vol
- paint
- star
- nav
- grp
- avatar
- center
- cipher
- brm
- resize
- markup
- pausea
- loan
- emboss
- vsperf
- teal
スパイウェアは、管理者権限がある場合、スタートアップサービスを作成します。管理者権限がない場合は、レジストリに自動実行エントリのみを作成します。
スパイウェアは、管理者として実行される場合、以下を作成します。
- サービス名: {文字列1}{文字列2}
  イメージパス: %System%\{文字列1}{文字列2}

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。

＜補足＞
インストール

スパイウェアは、以下のフォルダを追加します。

%AppDataLocal%\{文字列1}{文字列2} →管理者権限なしで実行された場合

スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

%System%\{文字列1}{文字列2}.exe → 管理者権限ありで実行された場合
%AppDataLocal%\{文字列1}{文字列2}\{文字列1}{文字列2}.exe → 管理者権限なしで実行された場合
上記の｛文字列1｝および｛文字列2｝には、以下のいずれかの文字列が当てはまります。
- texas
- func
- deploy
- run
- leel
- stuck
- def
- print
- hal
- monthly
- pdf
- char
- netsh
- memo
- trns
- rds
- maker
- more
- textto
- chunker
- mailbox
- compon
- shades
- scan
- non
- wsat
- speed
- publish
- manual
- hant
- inbox
- malert
- zap
- fill
- angle
- wrap
- boost
- cors
- iplk
- sitka
- wow
- prints
- acquire
- wiz
- smo
- footer
- attrib
- group
- appid
- xcl
- sensor
- methods
- ipmi
- raw
- title
- nic
- ias
- lua
- dispid
- special
- serial
- wsa
- tcg
- msp

スパイウェアは、以下のプロセスを追加します。

{マルウェアのファイルパス}\{マルウェアのファイル名}.exe --{ランダムな8文字}
%System%\{文字列1}{文字列2}.exe → 管理者権限ありで実行された場合
%System%\{文字列1}{文字列2}.exe --{ランダムな8文字} → 管理者権限ありで実行された場合
%AppDataLocal%\{文字列1}{文字列2}\{文字列1}{文字列2}.exe → 管理者権限なしで実行された場合
%AppDataLocal%\{文字列1}{文字列2}\{文字列1}{文字列2}.exe --{ランダムな8文字} → 管理者権限なしで実行された場合

スパイウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

Global\I{ボリュームシリアルナンバー}
Global\M{ボリュームシリアルナンバー}
Global\E{ボリュームシリアル名}

情報漏えい

スパイウェアは、以下の情報を収集します。

コンピュータ名
プロセスのセッションID
オペレーティングシステム（OS）のバージョン
実行中のプロセス
CRCファイル
プロセッサアーキテクチャ

その他

スパイウェアは、以下のWebサイトにアクセスし、情報を送受信します。

- {BLOCKED}.{BLOCKED}.131.88:80\{文字列}
- {BLOCKED}.{BLOCKED}.11.150:8080\{文字列}
- {BLOCKED}.{BLOCKED}.44.150:8080\{文字列}
- {BLOCKED}.{BLOCKED}.246.93:8080\{文字列}
- {BLOCKED}.{BLOCKED}.175.211:8080\{文字列}
- {BLOCKED}.{BLOCKED}.24.125:8080\{文字列}
- {BLOCKED}.{BLOCKED}.95.230:443\{文字列}
- {BLOCKED}.{BLOCKED}.140.110:8080\{文字列}
- {BLOCKED}.{BLOCKED}.247.220:80\{文字列}
- {BLOCKED}.{BLOCKED}.153.252:8080\{文字列}
- {BLOCKED}.{BLOCKED}.197.94:8080\{文字列}
- {BLOCKED}.{BLOCKED}.25.128:8080\{文字列}
- {BLOCKED}.{BLOCKED}.156.155:443\{文字列}
- {BLOCKED}.{BLOCKED}.10.37:8080\{文字列}
- {BLOCKED}.{BLOCKED}.105.223:7080\{文字列}
- {BLOCKED}.{BLOCKED}.182.217:8080\{文字列}
- {BLOCKED}.{BLOCKED}.153.86:990\{文字列}
- {BLOCKED}.{BLOCKED}.203.26:8080\{文字列}
- {BLOCKED}.{BLOCKED}.200.130:8080\{文字列}
- {BLOCKED}.{BLOCKED}.71.63:8080\{文字列}
- {BLOCKED}.{BLOCKED}.51.222:8080\{文字列}
- {BLOCKED}.{BLOCKED}.194.138:443\{文字列}
- {BLOCKED}.{BLOCKED}.213.158:8080\{文字列}
- {BLOCKED}.{BLOCKED}.193.14:80\{文字列}
- {BLOCKED}.{BLOCKED}.132.213:8090\{文字列}
- {BLOCKED}.{BLOCKED}.238.69:465\{文字列}
- {BLOCKED}.{BLOCKED}.241.230:80\{文字列}
- {BLOCKED}.{BLOCKED}.217.49:80\{文字列}
- {BLOCKED}.{BLOCKED}.67.134:8090\{文字列}
- {BLOCKED}.{BLOCKED}.215.53:22\{文字列}
- {BLOCKED}.{BLOCKED}.207.11:443\{文字列}
- {BLOCKED}.{BLOCKED}.44.20:21\{文字列}
- {BLOCKED}.{BLOCKED}.135.159:21\{文字列}
- {BLOCKED}.{BLOCKED}.209.110:7080\{文字列}
- {BLOCKED}.{BLOCKED}.220.155:8080\{文字列}
- {BLOCKED}.{BLOCKED}.255.77:8080\{文字列}
- {BLOCKED}.{BLOCKED}.213.192:8080\{文字列}
- {BLOCKED}.{BLOCKED}.148.138:8080\{文字列}
- {BLOCKED}.{BLOCKED}.168.52:8080\{文字列}
- {BLOCKED}.{BLOCKED}.71.72:8080\{文字列}
- {BLOCKED}.{BLOCKED}.24.79:8080\{文字列}
- {BLOCKED}.{BLOCKED}.182.191:8080\{文字列}
- {BLOCKED}.{BLOCKED}.67.62:7080\{文字列}
- {BLOCKED}.{BLOCKED}.240.91:8080\{文字列}
- {BLOCKED}.{BLOCKED}.194.134:443\{文字列}
- {BLOCKED}.{BLOCKED}.2.199:443\{文字列}
- {BLOCKED}.{BLOCKED}.49.124:443\{文字列}
- {BLOCKED}.{BLOCKED}.131.87:80\{文字列}
- {BLOCKED}.{BLOCKED}.74.210:8080\{文字列}
- {BLOCKED}.{BLOCKED}.86.205:8080\{文字列}
- {BLOCKED}.{BLOCKED}.164.174:80\{文字列}
- {BLOCKED}.{BLOCKED}.187.192:8080\{文字列}
- {BLOCKED}.{BLOCKED}.154.17:8080\{文字列}
- {BLOCKED}.{BLOCKED}.179.64:8080\{文字列}
- {BLOCKED}.{BLOCKED}.219.147:8080\{文字列}
- {BLOCKED}.{BLOCKED}.163.139:21\{文字列}
- {BLOCKED}.{BLOCKED}.245.190:8080\{文字列}
- {BLOCKED}.{BLOCKED}.59.244:20\{文字列}
- {BLOCKED}.{BLOCKED}.136.232:8080\{文字列}
- {BLOCKED}.{BLOCKED}.139.101:8080\{文字列}
- {BLOCKED}.{BLOCKED}.19.21:8080\{文字列}
- {BLOCKED}.{BLOCKED}.228.193:8090\{文字列}
- {BLOCKED}.{BLOCKED}.215.66:8080\{文字列}
- {BLOCKED}.{BLOCKED}.216.44:8080\{文字列}
- {BLOCKED}.{BLOCKED}.228.255:80\{文字列}
- {BLOCKED}.{BLOCKED}.43.213:8080\{文字列}
上記の｛文字列｝には、以下のいずれかの文字列、またはいずれかを組み合わせた文字列が当てはまります。｛文字列｝は、"/"により分けられています。
- teapot
- pnp
- tpt
- splash
- site
- codec
- health
- balloon
- cab
- odbc
- badge
- dma
- psec
- cookies
- iplk
- devices
- enable
- mult
- prov
- vermont
- attrib
- schema
- iab
- chunk
- publish
- prep
- srvc
- sess
- ringin
- nsip
- stubs
- img
- add
- xian
- jit
- free
- pdf
- loadan
- arizona
- tlb
- forced
- results
- symbols
- report
- guids
- taskbar
- child
- cone
- glitch
- entries
- between
- bml
- usbccid
- sym
- enabled
- merge
- window
- scripts
- raster
- acquire
- json
- rtm
- walk
- ban

対応方法

対応検索エンジン: 9.850

初回 VSAPI パターンバージョン 15.538.04

初回 VSAPI パターンリリース日 2019年12月4日

VSAPI OPR パターンバージョン 15.539.00

VSAPI OPR パターンリリース日 2019年12月5日

手順 1

トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。

TROJ.Win32.TRX.XXPE50FFF032P0005

手順 2

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 3

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム（OS）の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル／フォルダ／レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 4

Windowsをセーフモードで再起動します。

[ 詳細 ]

セーフモードでの起動：

• Windows 2000 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows XP の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows Server 2003 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows Vista、Windows 7 および Windows Server 2008 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「詳細ブートオプション」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows 8、8.1 および Server 2012の場合：

画面の右上隅へマウスポインタを移動し、[チャーム]バーを表示します。
マウスで、[設定]－[PC設定の変更]を選択します。
左側のパネルで、[全般]を選択します。
右側のパネルで、[PCの起動をカスタマイズする]が表示されるまで下にスクロールし、[今すぐ再起動]をクリック。コンピュータが再起動するまで待ちます。
[オプションの選択]メニューで、[トラブルシューティング]－[詳細オプション]－[スタートアップ設定]－[再起動]をクリックします。
[スタートアップ設定]メニューで、[4]キーを押し、「4）セーフモードを有効にする」を選択します。

手順 5

このレジストリ値を削除します。

[ 詳細 ]

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- {string1}{string2} = "%AppDataLocal%\{string1}{string2}\{string1}{string2}.exe"

手順 6

不明なレジストリキーを削除します。

[ 詳細 ]

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- {string1}{string2}

手順 7

このマルウェアのサービスを無効にします。

[ 詳細 ]

- Service name:{string 1}{string 2}
- Image path: %System%\{string 1}{string 2}

手順 8

以下のファイルを検索し削除します。

[ 詳細 ]

コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

%System%\{string1}{string2}.exe
%AppDataLocal%\{string1}{string2}\{string1}{string2}.exe

手順 9

以下のフォルダを検索し削除します。

[ 詳細 ]

註：このフォルダは、隠しフォルダとして設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

%AppDataLocal%\{string1}{string2}

手順 10

コンピュータを通常モードで再起動し、最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、「TrojanSpy.Win32.EMOTET.VRN」と検出したファイルの検索を実行してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

ご利用はいかがでしたか？　アンケートにご協力ください