TrojanSpy.Win32.GRANDOREIRO.MLMA
2023年11月14日
プラットフォーム:
Windows
危険度:
ダメージ度:
感染力:
感染確認数:
情報漏えい:
- マルウェアタイプ: スパイウェア/情報窃取型
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
感染経路 インターネットからのダウンロード, 他のマルウェアからの作成
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
ファイルサイズ 246742704 bytes
タイプ EXE
メモリ常駐 なし
発見日 2023年10月18日
ペイロード システム情報の収集, URLまたはIPアドレスに接続, システムのレジストリの変更
侵入方法
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
スパイウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- IntelWassing39
スパイウェアは、感染コンピュータ上のメモリに以下のプロセスを確認すると、自身を終了します。
- regmon.exe
- filemon.exe
- Wireshark.exe
- ProcessHacker.exe
- PCHunter64.exe
- PCHunter32.exe
- JoeTrace.exe
- ResourceHacker.exe
情報漏えい
スパイウェアは、以下の情報を収集します。
- Username
- Computer Name
- System Information
- OS Name and Version
- Hostname
- Geolocation
- IP Address
- List of Installed Applications
- List of Installed Antivirus
- Date and Time of Execution
その他
スパイウェアは、以下を実行します。
- It compares the country code of the affected system before proceeding to its original routine to the following targeted countries:
- GT - Guatemala
- HN - Honduras
- MX - Mexico
- NI - Nicaragua
- PA - Panama
- SV - El Salvador
- AR - Argentina
- BO - Bolivia
- BR - Brazil
- EC - Ecuador
- PE - Peru
- PY - Paraguay
- UY - Uruguay
- VE - Venezuela
- BB - Barbados
- BS - Bahamas
- DO - Dominican Republic
- HT - Haiti
- JM - Jamaica
- KY - Cayman Islands
- CH - Switzerland
- IT - Italy
- PL - Poland
- UK - United Kingdom
- FR - France
- ES - Spain
- IE - Ireland
- It compares the Hostname of the affected system before proceeding to its original routine to the following:
- WIN-VUA6POUV5UP
- JOHN-PC
- WORK
- It compares the OS Name of the affected system before proceeding to its original routine to the following:
- Windows XP
- Windows Vista
- Windows 7
- Windows 8
- Windows 10
- Windows 11
- This Trojan Spy connects to the following URL(s) to get the affected system's IP address:
- http://{BLOCKED}i.com/json
- It uses Domain Genaration Algorithm (DGA) to generate its C2 Server.
- It has keylogging capabilities.
- It steals information from the following applications if found in the affected system:
- Mail Client:
- Microsoft Outlook
- Software\Clients\Mail
- Banking:
- ACB Carribean
- Alliance Bank
- Allied Bank
- Atlantic Bank
- Banco BISA
- Banco Unión
- Banco de Crédito
- Banco Nacional
- Banco Económico
- Banco Ganadero
- BNamericas
- Banco Los Andes
- Banco Mercantil
- Banca por Internet
- BMSC
- BancoSol
- Bank of Valletta
- BBVA
- Belize Bank
- Butterfield Group
- Caja de Ahorros
- Choice Bank
- CIBC
- CIBC First Carribean
- Citibank
- Credit Suisse
- Davivienda
- Doral Bank
- e-Bandes
- e-Bisa
- FIMBank
- HRCU Online Account
- HSBC Malta
- IIG Bank
- Inicio
- FISE
- MEXC Exchange
- Orco Bank
- Provincia Casa Financiera
- Raiffeisen-Gruppe
- Republic Bank
- RepublicOnline Corporate
- Santander
- Scotia Bank
- Synchrony Bank
- UBS E-Banking
- Stocks:
- Fortex
- Cryptocurrency Wallet:
- Armory
- Atomic Wallet
- Binance
- Bisq
- Bitbox
- Bither
- Blockstream
- BTC-CORE
- Coinomi
- Daedalus
- Electrum
- Hotbit Global
- Ledger
- Monero
- OPOLODesk
- Trezor
- Trust Wallet
- WasabiWallet
- Mail Client:
対応方法
対応検索エンジン: 9.800
初回 VSAPI パターンバージョン 18.768.05
初回 VSAPI パターンリリース日 2023年10月20日
VSAPI OPR パターンバージョン 18.769.00
VSAPI OPR パターンリリース日 2023年10月21日
手順 1
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TrojanSpy.Win32.GRANDOREIRO.MLMA」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください