TrojanSpy.Win32.VIDAR.CFJ

2023年8月22日

解析者: Melvin Jhun Palbusa

更新者 : Melvin Jhun Palbusa

プラットフォーム:

Windows

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ: スパイウェア/情報窃取型
破壊活動の有無: なし
暗号化:
感染報告の有無: はい

概要

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

詳細

ファイルサイズ 629531712 bytes

タイプ EXE

メモリ常駐なし

発見日 2023年8月17日

ペイロードファイルのダウンロード, ファイルの作成, URLまたはIPアドレスに接続, ファイルの削除, 情報収集

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、以下のフォルダを追加します。

%ProgramData%\{Random Numbers}\autofill
%ProgramData%\{Random Numbers}\History
%ProgramData%\{Random Numbers}\Downloads
%ProgramData%\{Random Numbers}\CC

(註：%ProgramData%フォルダは、マルチユーザーシステムにおいて任意のユーザがプログラムに変更を加えることができるプログラムファイルフォルダのバージョンです。これには、すべてのユーザのアプリケーションデータが含まれます。Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData" です。Windows Server 2003(32-bit)、2000(32-bit)、XPの場合、通常 "C:\Documents and Settings\All Users" です。 )

スパイウェアは、以下のファイルを作成します。

%ProgramData%\freebl3.dll
%ProgramData%\mozglue.dll
%ProgramData%\msvcp140.dll
%ProgramData%\nss3.dll
%ProgramData%\softokn3.dll
%ProgramData%\sqlite3.dll
%ProgramData%\vcruntime140.dll
%ProgramData%\{Random numbers}-wal.txt → Stolen information
%ProgramData%\{Random numbers}-shm.txt → Stolen information
%ProgramData%\{Random numbers}-journal.txt → Stolen information
%ProgramData%\{Random Numbers}\autofill\{Random numbers}.txt → Stolen information
%ProgramData%\{Random Numbers}\History\{Random Numbers}.txt → Stolen information
%ProgramData%\{Random Numbers}\Downloads\{Random Numbers}.txt → Stolen information
%ProgramData%\{Random Numbers}\CC\{Random Numbers}.txt → Stolen information
%ProgramData%\{Random Numbers}\screenshot.jpg

スパイウェアは、以下のプロセスを追加します。

%System%\cmd.exe /c timeout /t 6 & del /f /f "{Malware File path}\{Malware Filename}" & exit

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

他のシステム変更

スパイウェアは、以下のファイルを削除します。

%ProgramData%\{Random numbers}-wal.txt → After Exfiltration
%ProgramData%\{Random numbers}-shm.txt → After Exfiltration
%ProgramData%\{Random numbers}-journal.txt → After Exfiltration
%ProgramData%\{Random Numbers}\autofill\{Random numbers}.txt → After Exfiltration
%ProgramData%\{Random Numbers}\History\{Random Numbers}.txt → After Exfiltration
%ProgramData%\{Random Numbers}\Downloads\{Random Numbers}.txt → After Exfiltration
%ProgramData%\{Random Numbers}\CC\{Random Numbers}.txt → After Exfiltration
%ProgramData%\{Random Numbers}\screenshot.jpg → After Exfiltration

スパイウェアは、以下のフォルダを削除します。

%ProgramData%\{Random Numbers}\autofill → After Exfiltration
%ProgramData%\{Random Numbers}\History → After Exfiltration
%ProgramData%\{Random Numbers}\Downloads → After Exfiltration
%ProgramData%\{Random Numbers}\CC → After Exfiltration

ダウンロード活動

スパイウェアは、以下のWebサイトにアクセスして自身の環境設定ファイルをダウンロードします。

{BLOCKED}e/odyssey_tg:443
https://{BLOCKED}ommunity.com/profiles/76561199541261200
https://{BLOCKED}.{BLOCKED}.{BLOCKED}.95/64e1125059a8138bb4cd9958d5e9baa4h
https://{BLOCKED}.{BLOCKED}.{BLOCKED}.95/pack.zip

情報漏えい

スパイウェアは、以下の情報を収集します。

Browser Data(e.g.Cookies, History, Downloads, Bookmarks, Credentials, Credit Card data, Autofills):
- Mozilla Firefox
- Pale Moon
- Opera Stable
- Opera Crypto Stable
- Opera GX
- Google Chrome
- Chromium
- Amigo
- Torch
- Vivaldi
- Comodo
- Epic Privacy Browser
- CocCoc
- Brave
- CentBrowser
- 7Star
- TorBro
- Chedot
- Microsoft Edge
- Microsoft Edge Canary
- Microsoft Edge Beta
- Microsoft Edge Dev
- 360Browser
- QQBrowser
- CryptoTab Browser
- Authy Desktop
- Thunderbird
Browser Extension:
- Slides
- Docs
- Google Drive
- Youtube
- Sheets
- Gmail
- Trezor Password Manager
- Authenticator
- Authy
- EOS Authenticator
- GAuth Authenticator
- Microsoft Autofill
- Bitwarden
- KeePass Tusk
- KeePassXC-Browser
CryptoCurrency Browser Extension:
- TronLink
- MetaMask
- Binance Wallet
- Yoroi
- Nifty Wallet
- Coinbase Wallet
- Guarda Wallet
- cjelfplplebdjjenllpjcblmjkfcffne
- iWallet
- MEW Wallet
- Ronin Wallet
- NeoLine
- CLV Wallet
- Liquality Wallet
- Station Wallet
- Keplr
- Sollet Wallet
- Aura Wallet
- Polymesh Wallet
- ICONex
- Coin98 Wallet
- EVER Wallet
- KardiaChain Wallet
- Rabby Wallet
- Phantom
- Brave Wallet
- Oxygen - Atomic Crypto Wallet
- Pali Wallet
- aodkkagnadcbobfpggfnjeongemjbjca
- XDEFI Wallet
- pfcbjknijpeeillifnkikgncikgfhdo
- MultiversX DeFi Wallet
- Keeper Wallet
- Solflare Wallet
- Cyano Wallet
- KHC Wallet
- TezBoz - Tezos Wallet
- Temple - Tezos Wallet
- Goby
- Tron Wallet and Explorer - Tronium
- Trust Wallet
- Exodus Web3 Wallet
- Braavos Smart Wallet
- Enkrypt: Multichain Crypto Wallet
- OKX Wallet
- Sender Wallet
- Hashpack
- Eternl
- Gero Wallet
- Pontem Aptos Wallet
- Petra Aptos Wallet
- Martian Wallet for Sui and Aptos
- Finnie
- Leap Terra Wallet
Crypto Wallet Data:
- Ethereum
- Electrum-LTC
- Exodus
- ElectronCash
- MultiDoge
- Jaxx
- Atomic
- Binance
- Coinomi
- Daedalus Mainnet
- Blockstream Green
- WalletWasabi
- Electrum
- Bitcoin
- Dogecoin
- Raven
- Ledger Live
- Chia
System Information:
- Time and Date
- Version
- MachineID
- GUID
- HWID
- Malware File Path
- Work Directory
- Product Name
- OS Version and Architecture
- Install date of OS
- Antivirus Products
- Computer Name
- User Name
- Dsiplay Resolution
- Display Language
- Keyboard Language
- Local Time
- Time Zone
Hardware Information:
- Processor
- # of Core
- # of Threads
- RAM
- Video Card
Runnning Processes
Installed Software and version
Screenshot of current display
SFTP/FTP Clients (e.g. Host, Port, User, Pass, Recent Servers):
- WinSCP
- FileZilla

情報収集

スパイウェアは、HTTPポストを介して、収集した情報を以下のURLに送信します。

https://{BLOCKED}.{BLOCKED}.{BLOCKED}.95

その他

スパイウェアは、以下を実行します。

It terminates itself if any of the following computer name(s) are found in the affected system:
- JohnDoe
- HAL9TH
Drops files in %ProgramData% directory with random names containing the stolen informations then deletes it after exfiltration
It downloads the following archive in %ProgramData% upon resolving its configuration:
- pack.zip
which contains the following normal files:
- freebl3.dll
- mozglue.dll
- msvcp140.dll
- nss3.dll
- softokn3.dll
- vcruntime140.dll
- msvcp140.dll

対応方法

対応検索エンジン: 9.800

初回 VSAPI パターンバージョン 18.608.08

初回 VSAPI パターンリリース日 2023年8月2日

VSAPI OPR パターンバージョン 18.609.00

VSAPI OPR パターンリリース日 2023年8月3日

手順 1

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム（OS）の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル／フォルダ／レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 3

以下のファイルを検索し削除します。

[ 詳細 ]

コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

%ProgramData%\freebl3.dll
%ProgramData%\mozglue.dll
%ProgramData%\msvcp140.dll
%ProgramData%\nss3.dll
%ProgramData%\softokn3.dll
%ProgramData%\sqlite3.dll
%ProgramData%\vcruntime140.dll

手順 4

最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TrojanSpy.Win32.VIDAR.CFJ」と検出したファイルはすべて削除してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

ご利用はいかがでしたか？　アンケートにご協力ください