Trend Micro Security

TrojanSpy.Win32.REDLINESTEALER.YNCIR

2022年9月23日
 解析者: Jeffrey Francis Bonaobra   
 別名:

Trojan:Win32/Raccoon.RA!MTB (MICROSOFT)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: スパイウェア/情報窃取型
  • 破壊活動の有無: なし
  • 暗号化: はい
  • 感染報告の有無: はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェアは、特定のWebサイトにアクセスし、情報を送受信します。 ただし、情報公開日現在、このWebサイトにはアクセスできません。

  詳細

ファイルサイズ 414,152 bytes
メモリ常駐 なし
発見日 2022年9月18日
ペイロード URLまたはIPアドレスに接続, 情報収集

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

情報漏えい

スパイウェアは、以下の情報を収集します。

  • Gathers the following system information:
    • IP Address
    • Country
    • ZIP Code
    • User Name
    • Product Name
    • OS Architecture
    • Screen Resolution
    • System Language
    • CPU Information
    • GPU Information
    • Serial Number of Physical Disk Drives
    • List of Installed Browsers
    • List of Installed Antivirus Software
    • List of Running Processes
    • List of Installed Programs
  • Gathers information from:
    • Browsers:
      • Chromium Based Browsers
      • Gecko Based Browsers
    • FTP Clients:
      • FileZilla
    • Messaging Applications:
      • Telegram
    • VPN:
      • ProtonVPN
      • NordVPN
      • OpenVPN
    • Others:
      • Discord
      • Steam
  • Browser Extensions:
    • Autofill data
    • Browser data (login information, cookies) relating to the following wallets:
      • YoroiWallet
      • Tronlink
      • NiftyWallet
      • Metamask
      • MathWallet
      • Coinbase
      • BinanceChain
      • BraveWallet
      • GuardaWallet
      • EqualWallet
      • JaxxxLiberty
      • BitAppWallet
      • iWallet
      • Wombat
      • AtomicWallet
      • MewCx
      • GuildWallet
      • SaturnWallet
      • RoninWallet
      • TerraStation
      • HarmonyWallet
      • Coin98Wallet
      • TonCrystal
      • KardiaChain
      • Phantom
      • Oxygen
      • PaliWallet
      • BoltX
      • LiqualityWallet
      • XdefiWallet
      • NamiWallet
      • MaiarDeFiWallet
      • Authenticator
      • TempleWallet
    • Saved credit cards
    • Login information
    • Browser cookies

その他

スパイウェアは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。

  • https://{BLOCKED}i.{BLOCKED}p.sb/ip

スパイウェアは、以下のWebサイトにアクセスし、情報を送受信します。

  • {BLOCKED}.{BLOCKED}.81.20:16640

スパイウェアは、以下を実行します。

  • It terminates itself if the following modules are loaded in memory:
    • mscorjit.dll
    • clrjit.dll
  • It terminates itself if the environment variable Cor_Enable_Profiling is 0x1.
  • It can avoid certain countries and IP addresses depending on the configuration received.

ただし、情報公開日現在、このWebサイトにはアクセスできません。

  対応方法

対応検索エンジン: 9.800
初回 VSAPI パターンバージョン 17.820.04
初回 VSAPI パターンリリース日 2022年9月18日
VSAPI OPR パターンバージョン 17.821.00
VSAPI OPR パターンリリース日 2022年9月19日

手順 1

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TrojanSpy.Win32.REDLINESTEALER.YNCIR」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください