Trend Micro Security

TrojanSpy.Win64.AURORASTEALER.A

2023年4月17日
 解析者: Charles Adrian Marty   
 別名:

TR/PSW.Coins.rxdad (ANTIVIR)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: スパイウェア/情報窃取型
  • 破壊活動の有無: なし
  • 暗号化: なし
  • 感染報告の有無: はい

  概要

感染経路 他のマルウェアからの作成

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェアは、感染コンピュータから特定の情報を収集します。

  詳細

ファイルサイズ 4,589,182 bytes
タイプ EXE
メモリ常駐 なし
発見日 2022年11月23日
ペイロード URLまたはIPアドレスに接続, 情報収集

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、以下のプロセスを追加します。

  • wmic cpu get name
  • wmic path win32_VideoController get name
  • wmic os get caption

情報漏えい

スパイウェアは、以下の情報を収集します。

  • Browser data (e.g., autofill, cookies, passwords, history):
    • 360 Browser
    • 7Star
    • Amigo
    • Cent
    • Chedot
    • Cherokee
    • Chromodo
    • Chromium
    • Citrio
    • CocCoc
    • Comodo
    • Coowon
    • Elements
    • Epic Privacy
    • Iridium
    • K-Meleon
    • Kometa
    • Liebao
    • Nichrome
    • Opera
    • Orbitum
    • QIP Surf
    • Sputnik
    • Torch
    • Uran
    • Vivaldi
    • Waterfox
    • Yandex

  • Credentials from the following Crypto-Wallets:
    • Armory
    • Atomic
    • Binance Chain
    • Bit App
    • Brave
    • Bolt X
    • Bytecoins
    • Coin 98
    • Coinbase
    • Electrum
    • Ethereum
    • Equal
    • EVER
    • Exodus
    • guard
    • Guarda
    • Guild
    • Harmony
    • ICONex
    • iWallet
    • Jaxx Liberty
    • Kardia Chain
    • Liquality
    • Maiar DeFi
    • MetaMask
    • MewCX
    • Nami
    • Nifty
    • Oxygen
    • Pali
    • Phantom
    • Ronin
    • Terra Station
    • Tronlink
    • Saturn
    • Wombat
    • XDefi
    • Yoroi
    • ZCash

  • Other applications:
    • Telegram

スパイウェアは、感染コンピュータから以下の情報を収集します。

  • Username
  • Computer name
  • OS information
  • CPU information
  • RAM information
  • IP Address
  • Local time
  • System time
  • Date format
  • Current time zone
  • Join information
  • Version information
  • Volume information
  • System default language
  • User default language
  • Screen capture
  • Clipboard data
  • Fax data
  • Printer data
  • Active window
  • Adapters information
  • Code page information
  • Console information
  • Currency information
  • Cursor information
  • Device power state
  • Dialog information
  • Keyboard layout
  • Menu information
  • Monitor information
  • Mouse information
  • Security information
  • Running processes
  • DLL directory
  • System directory
  • VDM directory
  • Windows directory

その他

スパイウェアは、以下を実行します。

  • It sends the stolen information via TCP:
    • {BLOCKED}.{BLOCKED}.{BLOCKED}.119:8081

    However, as of this writing the said IP is inaccessible.

  対応方法

対応検索エンジン: 9.800
初回 VSAPI パターンバージョン 18.390.04
初回 VSAPI パターンリリース日 2023年4月17日
VSAPI OPR パターンバージョン 18.391.00
VSAPI OPR パターンリリース日 2023年4月18日

手順 1

トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。

     
    • Troj.Win32.TRX.XXPE50FFF062

手順 2

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 3

「TrojanSpy.Win64.AURORASTEALER.A」で検出したファイル名を確認し、そのファイルを終了します。

[ 詳細 ]

  • すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
  • 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
    セーフモードについては、こちらをご参照下さい。
  • 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。

手順 4

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TrojanSpy.Win64.AURORASTEALER.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください