Worm.PS1.LEMONDUCK.YAAA-A

2020年6月17日

解析者: Joshua John Bantayan

別名:

TrojanDownloader:PowerShell/Elshutilo.A [non_writable_container] (MIRCOSOFT); Trojan-Downloader.PowerShell.Elshutilo (IKARUS)

プラットフォーム:

Windows

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ: ワーム
破壊活動の有無: なし
暗号化: はい
感染報告の有無: はい

概要

感染経路他のマルウェアからの作成, インターネットからのダウンロード, ソフトウェアの脆弱性を利用した感染活動

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ワームは、ソフトウェアに存在する脆弱性を利用して、ネットワーク上で感染活動をします。

詳細

ファイルサイズ 187,800 bytes

タイプ PS1

メモリ常駐はい

発見日 2020年2月13日

ペイロードサービスの無効, プロセスの強制終了, 情報収集

侵入方法

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、以下のファイルを作成します。

{Removable Drive}:\Dblue3.lnk
{Removable Drive}:\Eblue3.lnk
{Removable Drive}:\Fblue3.lnk
{Removable Drive}:\Gblue3.lnk
{Removable Drive}:\Hblue3.lnk
{Removable Drive}:\Iblue3.lnk
{Removable Drive}:\Jblue3.lnk
{Removable Drive}:\Kblue3.lnk
{Removable Drive}:\blue3.bin
{Removable Drive}:\Dblue6.lnk
{Removable Drive}:\Eblue6.lnk
{Removable Drive}:\Fblue6.lnk
{Removable Drive}:\Gblue6.lnk
{Removable Drive}:\Hblue6.lnk
{Removable Drive}:\Iblue6.lnk
{Removable Drive}:\Jblue6.lnk
{Removable Drive}:\Kblue6.lnk
{Removable Drive}:\blue6.bin
{Removable Drive}:\UTFsync\inf_data
%User Temp%\{7 random uppercase characters}.tmp -deleted afterwards
%User Temp%\{8 random characters}.out -deleted afterwards
%User Temp%\{8 random characters}.cmdline -deleted afterwards
%User Temp%\{8 random characters}.err -deleted afterwards
%User Temp%\{8 random characters}.pdb -deleted afterwards
%User Temp%\{8 random characters}.0.cs -deleted afterwards
%User Temp%\{8 random characters}.tmp -deleted afterwards
%User Temp%\{8 random characters}.dll -deleted afterwards

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

ワームは、以下のプロセスを追加します。

"%System%\NETSTAT.EXE" -anop TCP
"%System%\ipconfig.exe" /all
"%System%\ipconfig.exe" /displaydns
"%System%\NETSTAT.EXE" -ano

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

ワームは、以下のフォルダを作成します。

{Removable Drive}:\UTFsync

感染活動

ワームは、以下のソフトウェアに存在する脆弱性を利用して、ネットワーク上で感染活動をします。

Microsoft Windows SMB Server (MS17-010) Vulnerability

プロセスの終了

ワームは、感染コンピュータ上で確認した以下のサービスを終了します。

xWinWpdSrv
SVSHost
Microsoft Telemetry
lsass
Microsoft
system
Oracleupdate
CLR
sysmgt
\gm
WmdnPnSN
Sougoudl
National
Nationaaal
Natimmonal
Nationaloll
Nationalmll
Nationalaie
Nationalwpi
WinHelp32
WinHelp64
Samserver
RpcEptManger
NetMsmqActiv Media NVIDIA
Sncryption Media Playeq
SxS
WinSvc
mssecsvc2.1
mssecsvc2.0
Windows_Update
Windows Managers
SvcNlauser
WinVaultSvc
Xtfy
Xtfya
Xtfyxxx
360rTys
IPSECS
MpeSvc
SRDSL
WifiService
ALGM
wmiApSrvs
wmiApServs
taskmgr1
WebServers
ExpressVNService
WWW.DDOS.{BLOCKED}N.COM
WinHelpSvcs
aspnet_staters
clr_optimization
AxInstSV
Zational
DNS Server
Serhiez
SuperProServer
.Net CLR
WissssssnHelp32
WinHasdadelp32
WinHasdelp32
ClipBooks

ワームは、感染コンピュータ上でプロセスが常駐されていることを確認した場合、以下のいずれかの文字列を含むプロセスまたはサービスを終了します。

SC
WerMgr
WerFault
DW20
msinfo
XMR
xmrig
minerd
MinerGate
Carbon
yamm1
upgeade
auto-upgeade
svshost
SystemIIS
SystemIISSec
WindowsUpdater
WindowsDefender
update
carss
service
csrsc
cara
javaupd
gxdrv
lsmosee
secuams
SQLEXPRESS_X64_86
Calligrap
Sqlceqp
Setting
Uninsta
conhoste
Setring
Galligrp
Imaging
taskegr
Terms.EXE
360
8866
9966
9696
9797
svchosti
SearchIndex
Avira
cohernece
win
SQLforwin
xig
taskmgr1
Workstation
ress
explores

作成活動

ワームは、以下のソフトウェアに存在する脆弱性を利用して感染活動をします。この脆弱性が利用されると、ワームは不正なファイルを作成します。

CVE-2017-8464

情報漏えい

ワームは、以下の情報を収集します。

User Credentials
OS Version
User Name
Domain Name

その他

ワームは、以下を実行します。

It deletes the following scheduled tasks:
- AdobeFlashPlayer
- Bluetooths
- Credentials
- Ddrivers
- DNS
- DNS2
- DnsCore
- DnsCore
- DnsScan
- ECDnsCore
- Flash
- FlashPlayer1
- FlashPlayer2
- FlashPlayer3
- gm
- GooglePingConfigs
- HispDemorn
- HomeGroupProvider
- IIS
- LimeRAT-Admin
- Microsoft Telemetry
- Miscfost
- MiscfostNsi
- my1
- Mysa
- Mysa1
- Mysa2
- Mysa3
- Netframework
- ngm
- ok
- Oracle Java
- Oracle Java Update
- Oracle Products Reporter
- RavTask
- skycmd
- Sorry
- Spooler SubSystem Service
- SYSTEM
- System Log Security Check
- SYSTEMa
- TablteInputout
- Update
- Update service for Windows Service
- Update service for products
- Update_windows
- Update1
- Update2
- Update3
- Update4
- WebServers
- werclpsyport
- Windows_Update
- WindowsLogTasks
- WindowsUpdate1
- WindowsUpdate2
- WindowsUpdate3
- WwANsvc
It terminates the processes that contain the following strings in its command line:
- pool.monero.hashvault.pro
- blazepool
- blockmasters
- blockmasterscoins
- bohemianpool
- cryptmonero
- cryptonight
- crypto-pool
- --donate-level
- dwarfpool
- hashrefinery
- hashvault.pro
- iwanttoearn.money
- --max-cpu-usage
- mine.bz
- minercircle.com
- minergate
- miners.pro
- minexmr
- mineXMR
- miningpoolhubcoins
- mixpools.org
- mixpools.org
- monero
- monero.lindon-pool.win
- moriaxmr.com
- mypool.online
- nanopool.org
- nicehash
- -p x
- pool.electroneum.hashvault.pro
- pool.xmr
- poolto.be
- prohash
- prohash.net
- ratchetmining.com
- slushpool
- stratum+
- suprnova.cc
- teracycle.net
- usxmrpool
- viaxmr.com
- xmrpool
- yiimp
- zergpool
- zergpoolcoins
- zpool
It is capable of propagating in the local network via the following means:
- SMB Exploit (MS17-010)
- MSSQL Brute forcing
- Dumping Windows Domain Credentials using any of the following techniques/tools:
Capable of performing Brute Force Attack. It uses the following credentials:
- Username:
- Password:
- NTLM hashes:

対応方法

対応検索エンジン: 9.850

初回 VSAPI パターンバージョン 15.698.04

初回 VSAPI パターンリリース日 2020年2月21日

VSAPI OPR パターンバージョン 15.699.00

VSAPI OPR パターンリリース日 2020年2月22日

手順 1

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム（OS）の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル／フォルダ／レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 3

Windowsをセーフモードで再起動します。

[ 詳細 ]

セーフモードでの起動：

• Windows 2000 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows XP の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows Server 2003 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows Vista、Windows 7 および Windows Server 2008 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「詳細ブートオプション」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows 8、8.1 および Server 2012の場合：

画面の右上隅へマウスポインタを移動し、[チャーム]バーを表示します。
マウスで、[設定]－[PC設定の変更]を選択します。
左側のパネルで、[全般]を選択します。
右側のパネルで、[PCの起動をカスタマイズする]が表示されるまで下にスクロールし、[今すぐ再起動]をクリック。コンピュータが再起動するまで待ちます。
[オプションの選択]メニューで、[トラブルシューティング]－[詳細オプション]－[スタートアップ設定]－[再起動]をクリックします。
[スタートアップ設定]メニューで、[4]キーを押し、「4）セーフモードを有効にする」を選択します。

手順 4

以下のファイルを検索し削除します。

[ 詳細 ]

コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

{Removable Drive}:\Dblue3.lnk
{Removable Drive}:\Eblue3.lnk
{Removable Drive}:\Fblue3.lnk
{Removable Drive}:\Gblue3.lnk
{Removable Drive}:\Hblue3.lnk
{Removable Drive}:\Iblue3.lnk
{Removable Drive}:\Jblue3.lnk
{Removable Drive}:\Kblue3.lnk
{Removable Drive}:\blue3.bin
{Removable Drive}:\Dblue6.lnk
{Removable Drive}:\Eblue6.lnk
{Removable Drive}:\Fblue6.lnk
{Removable Drive}:\Gblue6.lnk
{Removable Drive}:\Hblue6.lnk
{Removable Drive}:\Iblue6.lnk
{Removable Drive}:\Jblue6.lnk
{Removable Drive}:\Kblue6.lnk
{Removable Drive}:\blue6.bin
{Removable Drive}:\UTFsync\inf_data
{Removable Drive}:\UTFsync

マルウェアのコンポーネントファイルの削除：

Windows 2000、XP および Server 2003 の場合：

[スタート]-[検索]-[ファイルとフォルダすべて]を選択します。
[ファイル名のすべてまたは一部]に以下のファイル名を入力してください。

{Removable Drive}:\Dblue3.lnk
{Removable Drive}:\Eblue3.lnk
{Removable Drive}:\Fblue3.lnk
{Removable Drive}:\Gblue3.lnk
{Removable Drive}:\Hblue3.lnk
{Removable Drive}:\Iblue3.lnk
{Removable Drive}:\Jblue3.lnk
{Removable Drive}:\Kblue3.lnk
{Removable Drive}:\blue3.bin
{Removable Drive}:\Dblue6.lnk
{Removable Drive}:\Eblue6.lnk
{Removable Drive}:\Fblue6.lnk
{Removable Drive}:\Gblue6.lnk
{Removable Drive}:\Hblue6.lnk
{Removable Drive}:\Iblue6.lnk
{Removable Drive}:\Jblue6.lnk
{Removable Drive}:\Kblue6.lnk
{Removable Drive}:\blue6.bin
{Removable Drive}:\UTFsync\inf_data
{Removable Drive}:\UTFsync
[探す場所]の一覧から[マイコンピュータ]を選択し、[検索]を押します。
検索が終了したら、ファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
残りのファイルに対して、マルウェアのコンポーネントファイルの削除の手順 2.）から4 .）を繰り返してください。

Windows Vista、7、Server 2008、8、8.1 および Server 2012 の場合：

Windowsエクスプローラ画面を開きます。
- Windows Vista、7 および Server 2008 の場合：
  - [スタート]-[コンピューター]を選択します。
- Windows 8、8.1 および Server 2012 の場合：
  - 画面の左下隅を右クリックし、[エクスプローラー]を選択します。
[コンピューターの検索]に、以下を入力します。

{Removable Drive}:\Dblue3.lnk
{Removable Drive}:\Eblue3.lnk
{Removable Drive}:\Fblue3.lnk
{Removable Drive}:\Gblue3.lnk
{Removable Drive}:\Hblue3.lnk
{Removable Drive}:\Iblue3.lnk
{Removable Drive}:\Jblue3.lnk
{Removable Drive}:\Kblue3.lnk
{Removable Drive}:\blue3.bin
{Removable Drive}:\Dblue6.lnk
{Removable Drive}:\Eblue6.lnk
{Removable Drive}:\Fblue6.lnk
{Removable Drive}:\Gblue6.lnk
{Removable Drive}:\Hblue6.lnk
{Removable Drive}:\Iblue6.lnk
{Removable Drive}:\Jblue6.lnk
{Removable Drive}:\Kblue6.lnk
{Removable Drive}:\blue6.bin
{Removable Drive}:\UTFsync\inf_data
{Removable Drive}:\UTFsync
ファイルが表示されたら、そのファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
残りのファイルに対して、マルウェアのコンポーネントファイルの削除の手順 2.）から4 .）を繰り返してください。
註：Windows 7 において上記の手順が正しく行われない場合、マイクロソフトのWebサイトをご確認ください。

手順 5

コンピュータを通常モードで再起動し、最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、「Worm.PS1.LEMONDUCK.YAAA-A」と検出したファイルの検索を実行してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

ご利用はいかがでしたか？　アンケートにご協力ください