TSPY_EMOTET.THAABIAH
Trojan:Win32/Emotet.AC!bit (Microsoft) ; Trojan-Banker.Win32.Emotet.banh (Kaspersky) ;a variant of Win32/Kryptik.GJSB (ESET-NOD32)
Windows
- マルウェアタイプ: スパイウェア/情報窃取型
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
スパイウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。
- %System%\{random file name}.exe -> Drop when file is run with admin rights
- %AppDataLocal%\Microsoft\Windows\{random file name}.exe -> Drop when file is run without admin rights
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。)
スパイウェアは、以下のプロセスを追加します。
- %AppDataLocal%\Microsoft\Windows\{random file name}.exe
- %System%\{random file name}.exe
(註:%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)
自動実行方法
スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
CurrentVersion\Run
{random file name} = %AppDataLocal%\Microsoft\Windows\{random file name}.exe
スパイウェアは、以下のサービスを開始します。
- Service Name: {random file name}
- Image Path: %System%\{random file name}.exe
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)
その他
スパイウェアは、以下の不正なWebサイトにアクセスします。
- http://{BLOCKED}.{BLOCKED}.42.122:990/