Trend Micro Security

TSPY_NOON.TIFBAAT

2018年8月20日
 解析者: John Anthony Banes   
 別名:

Trojan-Spy.Win32.Noon.qbx (Kaspersky)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: スパイウェア/情報窃取型
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 520,192 bytes
タイプ EXE
発見日 2018年8月16日

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、以下のファイルを作成します。

  • %Application Data%\{random folder name}\{random}log.ini
  • %Application Data%\{random folder name}\{random}logim.jpeg
  • %Application Data%\{random folder name}\{random}logrf.ini
  • %Application Data%\{random folder name}\{random}logri.ini
  • %Application Data%\{random folder name}\{random}logrv.ini

(註:%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)

スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %Program Files%\{random folder name}\{random filename}.exe

(註:%Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。Windows 2000、Server 2003、XP(32-bit),Vista(32-bit)、7(32-bit)、8(32-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)の場合、通常 "C:\Program Files(x86)" です。)

スパイウェアは、以下のフォルダを作成します。

  • %Program Files%\{random folder name}
  • %Application Data%\{random folder name}

(註:%Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。Windows 2000、Server 2003、XP(32-bit),Vista(32-bit)、7(32-bit)、8(32-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)の場合、通常 "C:\Program Files(x86)" です。. %Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)

その他

スパイウェアは、以下の不正なWebサイトにアクセスします。

  • http://www.{BLOCKED}es.science/ma/
  • http://www.{BLOCKED}8.net/ma/
  • http://www.{BLOCKED}-cats.com/ma/
  • http://www.{BLOCKED}d.online/ma/
  • http://www.{BLOCKED}toulouse.com/ma/
  • http://www.{BLOCKED}gshui.com/ma/
  • http://www.{BLOCKED}hforum.com/ma/
  • http://www.{BLOCKED}rewal.net/ma/
  • http://www.{BLOCKED}beienwasir.com/ma/
  • http://www.{BLOCKED}t.gold/ma/
  • http://www.{BLOCKED}reppermusic.com/ma/
  • http://www.{BLOCKED}k.com/ma/
  • http://www.{BLOCKED}x.com/ma/
  • http://www.{BLOCKED}m-watches.com/ma/
  • http://www.{BLOCKED}ionsllc-obgyn.com/ma/
  • http://www.{BLOCKED}in29.com/ma/