TrojanSpy.Win64.RHADAMANTHYS.YXDAW
UDS:Trojan.Win32.Khalesi.mhty (KASPERSKY)
Windows
- マルウェアタイプ: スパイウェア/情報窃取型
- 破壊活動の有無: なし
- 暗号化: はい
- 感染報告の有無: はい
概要
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
ただし、情報公開日現在、このWebサイトにはアクセスできません。
詳細
侵入方法
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
スパイウェアは、以下のファイルを作成します。
- If user account is SYSTEM:
- %Application Data%\nsis_uns{random characters}.dll → used to load the stealer payload
- If user account is not SYSTEM:
- %User Temp%\nsis_uns{random characters}.dll → used to load the stealer payload
(註:%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)
スパイウェアは、以下のプロセスを追加します。
- If the relative identifier is greater than or equal to 2000:
- {Malware file path}\{Malware file name} --fast
- If user account is SYSTEM:
- %System%\rundll32.exe %Application Data%\nsis_uns{random characters}.dll, PrintUIEntry {encoded parameters}
- if user account is not SYSTEM:
- %System%\rundll32.exe %User Temp%\nsis_uns{random characters}.dll, PrintUIEntry {encoded parameters}
(註:%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)
スパイウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- MSCTF.Asm.{00000009-4fb3f26-9d18-66b568-627b8a85e4b6}
ダウンロード活動
スパイウェアは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。
- http://{BLOCKED}.{BLOCKED}.18.132/blob/q3k6tk.xi8o
ただし、情報公開日現在、このWebサイトにはアクセスできません。
情報漏えい
スパイウェアは、以下の情報を収集します。
- Default Language
- Locale
- Gathers information from:
- Browsers:
- Coc CoC
- Pale Moon
- Sleipnir5
- Opera
- Chrome
- Twinkstar
- Firefox
- Edge
- K-Meleon
- FTP Clients:
- FileZilla
- CoreFTP
- WinSCP
- VPN:
- OpenVPN
- Messaging Applications:
- Telegram
- Email Applications:
- Thunderbird
- Foxmail
- Outlook
- The BAT
- Password Manager:
- KeePass
- Others:
- Discord
- Steam
- Stickynotes
- Simple Sticky Notes
- Wallets:
- Ronin
- MetaMask
- Vigvam
- OKEx Wallet
- Keplr
- Avana Wallet
- Ethereum
- Electrum
- Dogecoin
- Litecoin
- Monero
- Qtum
- Armory
- Bytecoin
- Binance
- Electron
- Solar Wallet
- Zap
- WalletWasabi
- Zcash
- Browsers:
- Browser Extensions:
- Autofill data
- Browser data (login information, cookies) relating to the following wallets:
- MyTonWallet
- Exodus Wallet
- Trust Wallet
- ZilPay Wallet
- MetaMask
- Bitcoin
- Flint Wallet
- X-Wallet
- Stargazer Wallet
- Theta Wallet
- BitKeep
- PaliWallet
- TON Wallet
- KardiaChain Wallet
- Fractal Wallet
- ArConnect
- Swash
- Nash
- XDEFI Wallet
- BitClip
- DAppPlay
- LeafWallet
- OneKey
- Byone
- Cyano Wallet
- TexBox - Tezos Wallet
- Temple - Tezos Wallet
- KHC
- Nabox Wallet
- ICONex
- Polymesh Wallet
- Auro Wallet
- Keplr
- Clover Wallet
- NeoLine
- Saturn Wallet
- MEW CX
- iWallet
- Oasis Wallet
- Goby
- StarMask
- Eternl
- Wombat
- Hycon Lite Client
- Crypto.com
- Keeper Wallet
- Terra Station Wallet
- SteemKeychain
- Jaxx Liberty
- ZilPay
- Yoroi Wallet
- Ronin Wallet
- Rabet
- Auvitas Wallet
- Liquality Wallet
- Nifty Wallet
- Oxygen - Atomic Crypto Wallet
- Crocobit Wallet
- Finnie
- Slope Wallet
- XDCPay
- Solflare Wallet
- Sollet
- GuildWallet
- Guarda
- BitApp Wallet
- Math Wallet
- OKEx Wallet
- EQUAL Wallet
- MOBOX WALLET
- Phantom
- Coinbase Wallet
- TronLink
- MetaMask
- Binance Wallet
- Coin98 Wallet
- Saved credit cards
- Login information
- Browser cookies
- Browsing history
- Bookmarks
- Download history
その他
スパイウェアは、以下を実行します。
- It disables the display of error message box.
- It checks for suspicious code hooks in the system.
- It manipulates exception handling.
- It checks if the following mutexes are present:
- Global\MSCTF.Asm.{04fb3f26-9d18-66b568-627b8a85e4b620}
- Session\{1-8}\MSCTF.Asm.{04fb3f26-9d18-66b568-627b8a85e4b620}
- It terminates itself if any of the following are satisfied:
- If the file name of the executed binary matches any the following:
- sample.exe
- bot.exe
- sandbox.exe
- malware.exe
- text.exe
- klavme.exe
- myapp.exe
- testapp.exe
- If the length of the file name is equal to the following:
- 32 → length of MD5 hash
- 40 → length of SHA1 hash
- 64 → length of SHA256 hash
- If the host name matches any of the following:
- SANDBOX
- 7SILVIA
- HANSPETER-PC
- JOHN-PC
- MUELLER-PC
- WIN7-TRAPS
- FORTINET
- TEQUILABOOMBOOM
- If the user name matches any of the following:
- CurrentUser
- Sandbox
- Emily
- HAPUBWS
- Hong Lee
- IT-ADMIN
- Johnson
- Miller
- milozs
- Peter Wilson
- timmy
- user
- sand box
- malware
- maltest
- test user
- virus
- John Doe
- If the user name is Wilber and computer name starts with SC or SW.
- If the user name is admin and the computer name is SystemIT.
- If the user name is admin and the computer name is KLONE_X64-PC.
- If the user name is John and the following files are present:
- C:\take_screenshot.exe
- C:\loaddll.exe
- If all of the following files are present:
- C:\email.doc
- C:\email.htm
- C:\123\email.doc
- C:\123\email.docx
- If all of the following files are present:
- C:\a\foobar.bmp
- C:\a\foobar.doc
- C:\a\foobar.gif
- If the vendor ID matches any of the following:
- KVMKVMKVM
- Microsoft Hv
- VMwareVMware
- XenVMMXenVMM
- prl hyperv
- Parallels Hv
- VBoxVBoxVBox
- If known sandbox IDs are present in the following registry keys:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControLSet\Enum\IDE
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControLSet\Enum\SCSI
- where the sandbox IDs could be any of the following:
- qemu
- virtio
- vmware
- vbox
- xen
- VMW
- Virtual
- If it finds the following virtual devices in the affected system:
- \.\VBoxMiniRdrDN
- \.\VBoxGuest
- \.\VBoxTrayIPC
- \.\pipe\VBoxMiniRdDN
- \.\pipe\VBoxTrayIPC
- If the following strings are found on windows or classes:
- VBoxTrayToolWndClass
- VBoxTrayToolWnd
- If the following strings are found on the system information:
- VirtualBox
- vbox
- VBOX
- VMware
- VMWARE
- QEMU
- qemu
- BOCHS
- BXPC
- If it finds the following virtual machine/sandbox network shares in the affected system:
- VirtualBox Shared Folders
- If it finds the following virtual machine/sandbox file artifacts in the affected system:
- %System%\drivers\VBoxMouse.sys
- %System%\drivers\VBoxGuest.sys
- %System%\drivers\VBoxSF.sys
- %System%\drivers\VBoxVideo.sys
- %System%\vboxdisp.dll
- %System%\vboxhook.dll
- %System%\vboxmrxnp.dll
- %System%\vboxogl.dll
- %System%\vboxoglarrayspu.dll
- %System%\vboxoglcrutil.dll
- %System%\vboxoglerrorspu.dll
- %System%\vboxoglfeedbackspu.dll
- %System%\vboxoglpackspu.dll
- %System%\vboxoglpassthroughspu.dll
- %System%\vboxservice.exe
- %System%\vboxtray.exe
- %System%\VBoxControl.exe
- %System%\drivers\balloon.sys
- %System%\drivers\netkvm.sys
- %System%\drivers\pvpanic.sys
- %System%\drivers\viofs.sys
- %System%\drivers\viogpudo.sys
- %System%\drivers\vioinput.sys
- %System%\drivers\viorng.sys
- %System%\drivers\vioscsi.sys
- %System%\drivers\vioser.sys
- %System%\drivers\viostor.sys
- if it finds the following virtual machine/sandbox directory artifacts in the affected system:
- %Program Files%\Virtio-Win\
- %Program Files%\qemu-ga
- %Program Files%\SPICE Guest Tools
- if it finds the following virtual machine/sandbox processes in the affected system's memory:
- vboxservice.exe
- vboxtray.exe
- vmtoolsd.exe
- vmwaretray.exe
- vmwareuser.exe
- VGAuthService.exe
- vmacthlp.exe
- qemu-ga.exe
- vdagent.exe
- vdservice.exe
- If the following strings are found in the Win32_ComputerSystem manufacturer:
- VMware
- Xen
- innotek GmbH
- QEMU
- If the following strings are found in the Win32_ComputerSystem model:
- VirtualBox
- HVM domU
- VMware
- If the following strings are found in the Win32_BIOS serial number:
- VMWare
- Parallels
- XenVirtual
- A M I
- If the following strings are found in the Disk Device Driver hardware ID:
- vbox
- vmware
- qemu
- virtual
- If the following strings are found in the Win32_PnPEntity device ID:
- PCI\VEN_80EE&DEV_CAFE
- If the following strings are found in the Win32_PnPEntity name:
- 82801FB
- 82441FX
- 82371SB
- OpenHCD
- If the following strings are found in the Win32_PnPDevice Name and Caption:
- VBOX
- If the following strings are found in the Win32_PnPDevice PNPDeviceID:
- VEN_VBOX
- If the following strings are found in the Win32_Bus name:
- ACPIBus_BUS_0
- PCI_BUS_0
- PNP_BUS_0
- If the following strings are found in the Win32_BaseBoard product:
- VirtualBox
- If the following strings are found in the Win32_BaseBoard manufacturer:
- Oracle Corporation
- If the following strings are found in the Win32_NTEventlogFile FileName and Sources:
- vboxvideo
- VBoxVideoW8
- VBoxWddm
- If the file name of the executed binary matches any the following:
- It checks if process is running in a 64 bit environment:
- If yes,
- It searches and manipulates the following module:
- aswhook.dll
- If not found:
- It searches and manipulates files with the following strings in their file name:
- 360SelfProtection
- BdDci
- rtp_process_monitor
- klkbdflt
- It searches and manipulates files with the following strings in their file name:
- It searches and manipulates the following module:
- If yes,
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。C:\Program Files in Windows 2000(32-bit)、Server 2003(32-bit)、XP、Vista(64-bit)、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)、8.1(64-bit)、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files(x86)" です。)
マルウェアは、以下の仮想環境やサンドボックスに関連したモジュールが感染コンピュータ内に存在していないかを確認します。
- avghookx.dll
- avghooka.dll
- snxhk.dll
- sbiedll.dll
- dbghelp.dll
- api_log.dll
- dir_watch.dll
- pstorec.dll
- vmcheck.dll
- wpespy.dll
- cmdvrt64.dll
- cmdvrt32.dll
マルウェアは、以下の仮想環境やサンドボックスに関連したレジストリキーが感染コンピュータ内に存在していないかを確認します。
HKEY_LOCAL_MACHINE\HARDWARE\ACPI\
DSDT\VBOX__
HKEY_LOCAL_MACHINE\HARDWARE\ACPI\
FADT\VBOX__
HKEY_LOCAL_MACHINE\HARDWARE\ACPI\
RSDT\VBOX__
HKEY_LOCAL_MACHINE\SOFTWARE\Oracle\
VirtualBox Guest Additions
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\VBoxGuest
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\VBoxMouse
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\VBoxService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\VBoxSF
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\VBoxVideo
HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\
VMware Tools
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\vioscsi
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\viostor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\VirtIO-FS Service
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\VirtioSerial
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\BALLOON
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\BalloonService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\netkvm
マルウェアは、以下の仮想環境やサンドボックスに関連したレジストリ値が感染コンピュータ内に存在していないかを確認します。
HKEY_LOCAL_MACHINE\HARDWARE\DEVICEMAP\
Scsi\Scsi Port 0\Scsi Bus 0\
Target Id 0\Logical Unit Id 0
Identifier = VBOX
HKEY_LOCAL_MACHINE\HARDWARE\Description\
System
SystemBiosVersion = VBOX
HKEY_LOCAL_MACHINE\HARDWARE\Description\
System
VideoBiosVersion = VIRTUALBOX
HKEY_LOCAL_MACHINE\HARDWARE\Description\
System
SystemBiosDate = 06/23/99
HKEY_LOCAL_MACHINE\HARDWARE\DEVICEMAP\
Scsi\Scsi Port 0\Scsi Bus 0\
Target Id 0\Logical Unit Id 0
Identifier = VMWARE
HKEY_LOCAL_MACHINE\HARDWARE\DEVICEMAP\
Scsi\Scsi Port 1\Scsi Bus 0\
Target Id 0\Logical Unit Id 0
Identifier = VMWARE
HKEY_LOCAL_MACHINE\HARDWARE\DEVICEMAP\
Scsi\Scsi Port 2\Scsi Bus 0\
Target Id 0\Logical Unit Id 0
Identifier = VMWARE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SystemInformation
SystemProductName = VMWARE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SystemInformation
SystemManufacturer = VMWARE
HKEY_LOCAL_MACHINE\HARDWARE\DEVICEMAP\
Scsi\Scsi Port 0\Scsi Bus 0\
Target Id 0\Logical Unit Id 0
Identifie = QEMU
HKEY_LOCAL_MACHINE\HARDWARE\Description\
System
SystemBiosVersion = QEMU
対応方法
手順 1
トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。
- Troj.Win32.TRX.XXPE50FFF064
手順 2
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 3
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 4
以下のファイルを検索し削除します。
- %Application Data%\nsis_uns{random characters}.dll
- %User Temp%\nsis_uns{random characters}.dll
手順 5
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TrojanSpy.Win64.RHADAMANTHYS.YXDAW」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください