TrojanSpy.Win64.EMOTET.YJCFI

2022年6月11日

解析者: Maria Emreen Viray

別名:

Trojan:Win64/Emotet.BD!MTB (MICROSOFT)

プラットフォーム:

Windows

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ: スパイウェア/情報窃取型
破壊活動の有無: なし
暗号化:
感染報告の有無: はい

概要

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェアマルウェアは、自身（コンピュータに侵入して最初に自身のコピーを作成したスパイウェア）を削除します。

詳細

ファイルサイズ 594,432 bytes

タイプ DLL

メモリ常駐はい

発見日 2022年6月9日

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、以下のフォルダを追加します。

%System%\{random}
%AppDataLocal%\{random}

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local" です。)

スパイウェアは、以下のファイルを作成し実行します。

%System%\{random}\{random characters}.{3 random characters}
%AppDataLocal%\{random}\{random characters}.{3 random characters}

スパイウェアは、以下のプロセスを追加します。

%System%\regsvr32.exe "%System%\{random}\{random characters}.{3 random characters}"
%System%\regsvr32.exe "%AppDataLocal%\{random}\{random characters}.{3 random characters}"

他のシステム変更

スパイウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\{File name of dropped file}
ImagePath = %System%\regsvr32.exe "%System%\{random}\{random characters}.{3 random characters}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{File name of dropped file} = %System%\regsvr32.exe "%AppDataLocal%\{random}\{random characters}.{3 random characters}"

その他

スパイウェアは、以下の不正なWebサイトにアクセスします。

http://{BLOCKED}.180.241.186:8080
http://{BLOCKED}.95.66.124:8080
http://{BLOCKED}.56.131.28:8080
http://{BLOCKED}.68.99.3:8080
http://{BLOCKED}.100.24.231:80
http://{BLOCKED}.165.152.127:8080
http://{BLOCKED}.68.227.76:8080
http://{BLOCKED}.254.140.238:7080
http://{BLOCKED}.189.28.199:8080
http://{BLOCKED}.9.116.246:8080
http://{BLOCKED}.44.196.120:8080
http://{BLOCKED}.235.8.30:8080
http://{BLOCKED}.50.0.91:8080
http://{BLOCKED}.207.28.33:8080
http://{BLOCKED}.23.45.86:4143
http://{BLOCKED}.172.253.162:8080
http://{BLOCKED}.65.88.10:8080
http://{BLOCKED}.137.35.198:8080
http://{BLOCKED}.234.21.73:7080
http://{BLOCKED}.24.98.99:8080
http://{BLOCKED}.234.2.232:8080
http://{BLOCKED}.111.227.137:8080
http://{BLOCKED}.15.201.15:8080
http://{BLOCKED}.4.135.165:8080
http://{BLOCKED}.126.146.25:7080
http://{BLOCKED}.104.251.154:8080
http://{BLOCKED}.242.150.244:8080
http://{BLOCKED}.118.115.99:8080
http://{BLOCKED}.91.76.89:8080
http://{BLOCKED}.212.193.249:8080
http://{BLOCKED}.126.98.206:8080
http://{BLOCKED}.193.124.41:7080
http://{BLOCKED}.232.117.186:8080
http://{BLOCKED}.16.142.56:8080
http://{BLOCKED}.223.21.224:8080
http://{BLOCKED}.132.242.26:8080
http://{BLOCKED}.70.28.102:8080
http://{BLOCKED}.122.66.193:8080
http://{BLOCKED}.187.115.122:8080
http://{BLOCKED}.106.112.196:8080
http://{BLOCKED}.170.39.149:8080
https://{BLOCKED}.73.252.195:443
https://{BLOCKED}.89.202.34:443
https://{BLOCKED}.69.222.101:443
https://{BLOCKED}.94.166.162:443
https://{BLOCKED}.194.240.217:443
https://{BLOCKED}.97.163.214:443
https://{BLOCKED}.241.20.155:443
https://{BLOCKED}.114.109.124:443
https://{BLOCKED}.218.30.83:443
https://{BLOCKED}.65.140.115:443
https://{BLOCKED}.232.188.93:443
https://{BLOCKED}.59.226.45:443
https://{BLOCKED}.55.222.11:443
https://{BLOCKED}.75.201.2:443
https://{BLOCKED}.176.232.124:443
https://{BLOCKED}.43.75.120:443
https://{BLOCKED}.44.20.25:443

スパイウェアは、自身（コンピュータに侵入して最初に自身のコピーを作成したスパイウェア）を削除します。