Trend Micro Security

TrojanSpy.Win32.TRICKBOT.DLL

2020年3月5日
 解析者: Karen Ivy Titiwa   
 別名:

Trojan.GenericKD.42683317 (BITDEFENDER); Trojan-Banker.Win32.Cridex.jkr (KASPERSKY)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: スパイウェア/情報窃取型
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェアは、特定のWebサイトにアクセスし、情報を送受信します。

  詳細

ファイルサイズ 882,176 bytes
タイプ DLL
メモリ常駐 はい
発見日 2020年3月2日

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

情報漏えい

スパイウェアは、以下の情報を収集します。

  • Credentials depending on the following Operating system:
    • Windows Vista
    • Windows 2000
    • Windows Server 2003
    • Windows XP
    • Windows 7
    • Windows 8
    • Windows 8.1
    • Windows 10
    • Windows Server 2008 R2
    • Windows Server 2008
    • Windows Server 2012 R2
    • Windows Server 2012
    • Windows 10 Server
  • OS Information:
    • Name
    • Caption
    • Version
    • Architecture
  • Memory Information:
    • Total Physical Memory
    • Available Physical Memory
  • System Information:
    • User Name
    • Computer Name
    • Last Boot up Time
  • Network Information:
      Uses the following commands:
    • cmd.exe /c ipconfig /all
    • cmd.exe /c net config workstation
    • cmd.exe /c net view /all
    • cmd.exe /c net view /all /domain
    • cmd.exe /c nltest /domain_trusts
    • cmd.exe /c nltest /domain_trusts /all_trusts
  • Others:
    • Site Name
    • Domain Name
    • Forest Name
    • Domain Controller

その他

スパイウェアは、以下のWebサイトにアクセスし、情報を送受信します。

  • {BLOCKED}.{BLOCKED}.193:443
  • {BLOCKED}.{BLOCKED}.202.120:443
  • {BLOCKED}.{BLOCKED}.96.43:443
  • {BLOCKED}.{BLOCKED}.13.2:449
  • {BLOCKED}.{BLOCKED}.173.186:449
  • {BLOCKED}.{BLOCKED}.104.139:449
  • {BLOCKED}.{BLOCKED}.28.146:449
  • {BLOCKED}.{BLOCKED}.157.42:449
  • {BLOCKED}.{BLOCKED}8.224:449
  • {BLOCKED}.{BLOCKED}1.38:449
  • {BLOCKED}.{BLOCKED}.235.36:449
  • {BLOCKED}.{BLOCKED}.85.103:449
  • {BLOCKED}.{BLOCKED}.134.18:449
  • {BLOCKED}.{BLOCKED}.150.23:449
  • {BLOCKED}.{BLOCKED}.253.190:449
  • {BLOCKED}.{BLOCKED}.121.99:449
  • {BLOCKED}.{BLOCKED}3.71:449
  • {BLOCKED}.{BLOCKED}.165.75:449
  • {BLOCKED}.{BLOCKED}.19.18:449
  • {BLOCKED}.{BLOCKED}15.114:449
  • {BLOCKED}.{BLOCKED}.216.177:449
  • {BLOCKED}.{BLOCKED}.142.238:449
  • {BLOCKED}.{BLOCKED}.91.240:449
  • {BLOCKED}.{BLOCKED}.207.202:449
  • {BLOCKED}.{BLOCKED}.253.164:447
  • {BLOCKED}.{BLOCKED}96.108:447
  • {BLOCKED}.{BLOCKED}.196:447
  • {BLOCKED}.{BLOCKED}96.152:447
  • {BLOCKED}.{BLOCKED}0.163:447
  • {BLOCKED}.{BLOCKED}.197:447
  • {BLOCKED}.{BLOCKED}02.248:447
  • {BLOCKED}.{BLOCKED}164.191:447
  • {BLOCKED}.{BLOCKED}218.32:447
  • {BLOCKED}.{BLOCKED}9.26:447
  • {BLOCKED}.{BLOCKED}116.181:447
  • {BLOCKED}.{BLOCKED}43.49:447
  • {BLOCKED}.{BLOCKED}144.7:447
  • {BLOCKED}.{BLOCKED}92.45:447

スパイウェアは、以下を実行します。

  • It is installed as a scheduled task by other malware.
  • It requires other components to run properly.

  対応方法

対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 15.718.04
初回 VSAPI パターンリリース日 2020年3月2日
VSAPI OPR パターンバージョン 15.719.00
VSAPI OPR パターンリリース日 2020年3月3日

手順 1

トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。

     
    • Troj.Win32.TRX.XXPE50FFF034

手順 2

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 3

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 4

「TrojanSpy.Win32.TRICKBOT.DLL」で検出したファイル名を確認し、そのファイルを終了します。

[ 詳細 ]

  • すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
  • 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
    セーフモードについては、こちらをご参照下さい。
  • 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。

手順 5

スケジュールされたタスクを削除する

タスク削除の手順に含まれる{タスク名} - {実行するタスク}には以下が当てはまります。

  • Task Name: Windows Direct tools
  • Task to be run: %System%\rundll32.exe %Application Data%\DirectTools\{dll name}.com InitLibraryInitLibrary

Windows 2000、Windows XP、Windows Server 2003の場合:

  1. [スタート]→[プログラム]→[アクセサリ]→[システムツール]→[スケジュールされたタスク]をクリックして、スケジュールされたタスクを開きます。
  2. 上記の{タスク名} を、[名前]の欄に入力します。
  3. 入力した{タスク名} 持つファイルを右クリックします。
  4. [プロパティ]をクリックします。 [実行]フィールドで、表示されている{実行するタスク}を確認します。
  5. 上記の{実行するタスク}と文字列が一致するタスクを削除します。

Windows Vista、Windows 7、Windows Server 2008、Windows 8、Windows 8.1、およびWindows Server 2012の場合:

  1. Windowsタスクスケジューラを開きます。
    • Windows Vista、Windows 7、Windows Server 2008の場合、[スタート]をクリックし、[検索]フィールドに「taskchd.msc」と入力してEnterキーを押します。
    • Windows 8、Windows 8.1、Windows Server 2012の場合、画面の左下隅を右クリックし、[実行]をクリックし、「taskchd.msc」と入力してEnterキーを押します。
  2. 左側のパネルで、[タスクスケジューラライブラリ]をクリックします。
  3. 中央上部のパネルで、上記の{タスク名}を[名前]の欄に入力します。
  4. 中央下部のパネルで、[アクション]タブをクリックします。 [詳細]の欄で、{実行するタスク}を確認します。
  5. 文字列が一致するタスクを削除します。

手順 6

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TrojanSpy.Win32.TRICKBOT.DLL」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください