TSPY_EMOTET.THAOIAN
Windows
- マルウェアタイプ: スパイウェア/情報窃取型
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。 スパイウェアは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。
詳細
侵入方法
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
スパイウェアは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。
インストール
スパイウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。
- %AppDataLocal%\Microsoft\Windows\{string 1}{string 2}.exe - drops the file here if it has no admin privileges
- %System%\{string 1}{string 2}.exe - drops the file here if it has admin privileges
where {string 1} and {string 2} is a combination of any of the following strings:- agent
- app
- audio
- bio
- bits
- cache
- card
- cart
- cert
- com
- crypt
- dcom
- defrag
- device
- dhcp
- dns
- event
- evt
- flt
- gdi
- group
- help
- home
- host
- info
- iso
- launch
- log
- logon
- lookup
- man
- math
- mgmt
- msi
- ncb
- net
- nv
- nvidia
- proc
- prop
- prov
- provider
- reg
- rpc
- screen
- search
- sec
- server
- service
- shed
- shedule
- spec
- srv
- storage
- svc
- sys
- system
- task
- time
- video
- view
- win
- window
- wlan
- wmi
(註:%AppDataLocal%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local" です。. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)
自動実行方法
スパイウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\{string 1}{string 2}
ImagePath = "%System%\{string 1}{string 2}.exe" if it has admin privileges
where {string 1} and {string 2} is the same name as the drop file
スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{string 1}{string 2} = "%AppDataLocal%\Microsoft\Windows\{string 1}{string 2}.exe" if it has no admin privileges
その他
スパイウェアは、以下の不正なWebサイトにアクセスします。
- http://198.61.2{BLOCKED}74:443/