TSPY_EMOTET.AUSYYNR
2017年12月8日
別名:
Trojan.Emotet (Symantec); Emotet-FEA!166A3BA8EE51 (McAfee); W32.Trojan.Emotet(Webroot)
プラットフォーム:
Windows
危険度:
ダメージ度:
感染力:
感染確認数:
情報漏えい:
- マルウェアタイプ: スパイウェア
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
スパイウェアは、実行後、自身を削除します。
詳細
ファイルサイズ 126,976 bytes
タイプ EXE
発見日 2017年12月7日
侵入方法
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
スパイウェアは、以下のファイルを作成し実行します。
- %System%\{random alphanumeric characters}.exe
- %System%\{filename 1}{filename 2}.exe
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)
自動実行方法
スパイウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\{filename 1}{filename 2}
ImagePath = %System%\{filename 1}{filename 2}.exe
その他
スパイウェアは、以下の不正なWebサイトにアクセスします。
- http://{BLOCKED}3.{BLOCKED}5.217.114:443/
- http://{BLOCKED}6.{BLOCKED}0.105.121:8080/
- http://{BLOCKED}8.{BLOCKED}1.155.6:8080/
- http://{BLOCKED}0.{BLOCKED}1.139.203:8080/
- http://{BLOCKED}9.{BLOCKED}8.17.49:443/
- http://{BLOCKED}7.{BLOCKED}0.177.153:8080/
- http://{BLOCKED}4.{BLOCKED}8.246.9/
- http://{BLOCKED}.{BLOCKED}6.161.148/
- http://{BLOCKED}6.{BLOCKED}7.57.9/
- http://{BLOCKED}9.{BLOCKED}4.149.195:8080/
- http://{BLOCKED}5.{BLOCKED}5.76.121:8080/
- http://{BLOCKED}6.{BLOCKED}4.171.191:8080/
- http://{BLOCKED}1.{BLOCKED}4.217.195:8080/
- http://{BLOCKED}4.{BLOCKED}.205.55:7080/
- http://{BLOCKED}6.{BLOCKED}8.11.99:8080/
スパイウェアは、実行後、自身を削除します。