Trend Micro Security

Worm.PS1.LEMONDUCK.YPAE-A

2020年6月17日
 解析者: Mc Justine De Guzman   

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: ワーム
  • 破壊活動の有無: なし
  • 暗号化: はい
  • 感染報告の有無: はい

  概要

感染経路 他のマルウェアからの作成, インターネットからのダウンロード, ソフトウェアの脆弱性を利用した感染活動

ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。 ワームは、感染ネットワーク共有フォルダを介して、コンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。 ワームは、リモートサイトから他の不正プログラムにダウンロードされ、コンピュータに侵入します。

ワームは、ソフトウェアに存在する脆弱性を利用して、ネットワーク上で感染活動をします。


  詳細

ファイルサイズ 188,536 bytes
タイプ PS1
メモリ常駐 はい
発見日 2020年5月5日
ペイロード サービスの無効, プロセスの強制終了, 情報収集

侵入方法

ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。

ワームは、感染ネットワーク共有フォルダを介して、コンピュータに侵入します。

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ワームは、リモートサイトから以下の不正プログラムによりダウンロードされ、コンピュータに侵入します。

インストール

ワームは、以下のファイルを作成します。

  • {Removable/Network Drive name}\Dblue3.lnk
  • {Removable/Network Drive name}\Eblue3.lnk
  • {Removable/Network Drive name}\Fblue3.lnk
  • {Removable/Network Drive name}\Gblue3.lnk
  • {Removable/Network Drive name}\Hblue3.lnk
  • {Removable/Network Drive name}\Iblue3.lnk
  • {Removable/Network Drive name}\Jblue3.lnk
  • {Removable/Network Drive name}\Dblue6.lnk
  • {Removable/Network Drive name}\Eblue6.lnk
  • {Removable/Network Drive name}\Fblue6.lnk
  • {Removable/Network Drive name}\Gblue6.lnk
  • {Removable/Network Drive name}\Hblue6.lnk
  • {Removable/Network Drive name}\Iblue6.lnk
  • {Removable/Network Drive name}\Jblue6.lnk
  • {Removable/Network Drive name}\readme.js -> detected as Trojan.JS.LEMONDUCK.MC
  • {Removable/Network Drive name}\UTFsync\inf_data - serves as infection marker
  • {Removable/Network Drive name}\Kblue6.lnk – detected as Trojan.Win64.SHELMA.SMB1
  • %Temp%\mimi.dat - detected as HackTool.Win64.MIMIKATZ.AL.component
  • %Temp%\m6.bin - detected as Trojan.PS1.LEMONDUCK.D
  • {Removable/Network Drive name}\Kblue3.lnk – detected as Trojan.Win32.POWLOAD.CMPNPD

ワームは、以下のプロセスを追加します。

  • "%System%\NETSTAT.EXE" -anop TCP
  • "%System%\ipconfig.exe" /all
  • "%System%\ipconfig.exe" /displaydns
  • "%System%\NETSTAT.EXE" -ano

(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

ワームは、以下のフォルダを作成します。

  • {Removable Drive}:\UTFsync

感染活動

ワームは、以下のソフトウェアに存在する脆弱性を利用して、ネットワーク上で感染活動をします。

プロセスの終了

ワームは、感染コンピュータ上で確認した以下のサービスを終了します。

  • .Net CLR
  • 360rTys
  • \gm
  • ALGM
  • aspnet_staters
  • AxInstSV
  • ClipBooks
  • CLR
  • clr_optimization
  • DNS Server
  • ExpressVNService
  • IPSECS
  • lsass
  • Microsoft
  • Microsoft Telemetry
  • MpeSvc
  • mssecsvc2.0
  • mssecsvc2.1
  • Natimmonal
  • Nationaaal
  • National
  • Nationalaie
  • Nationalmll
  • Nationaloll
  • Nationalwpi
  • NetMsmqActiv Media NVIDIA
  • Oracleupdate
  • RpcEptManger
  • Samserver
  • Serhiez
  • Sncryption Media Playeq
  • Sougoudl
  • SRDSL
  • SuperProServer
  • SvcNlauser
  • SVSHost
  • SxS
  • sysmgt
  • system
  • taskmgr1
  • WebServers
  • WifiService
  • Windows Managers
  • Windows_Update
  • WinHasdadelp32
  • WinHasdelp32
  • WinHelp32
  • WinHelp64
  • WinHelpSvcs
  • WinSvc
  • WinVaultSvc
  • WissssssnHelp32
  • WmdnPnSN
  • wmiApServs
  • wmiApSrvs
  • WWW.DDOS.CN.COM
  • Xtfy
  • Xtfya
  • Xtfyxxx
  • xWinWpdSrv
  • Zational

ワームは、感染コンピュータ上でプロセスが常駐されていることを確認した場合、以下のいずれかの文字列を含むプロセスまたはサービスを終了します。

  • 360
  • 8866
  • 9696
  • 9797
  • 9966
  • auto-upgeade
  • Avira
  • Calligrap
  • cara
  • Carbon
  • carss
  • cohernece
  • conhoste
  • csrsc
  • DW20
  • explores
  • Galligrp
  • gxdrv
  • Imaging
  • javaupd
  • lsmosee
  • minerd
  • MinerGate
  • msinfo
  • ress
  • SC
  • SearchIndex
  • secuams
  • service
  • Setring
  • Setting
  • Sqlceqp
  • SQLEXPRESS_X64_86
  • SQLforwin
  • svchosti
  • svshost
  • SystemIIS
  • SystemIISSec
  • taskegr
  • taskmgr1
  • Terms.EXE
  • Uninsta
  • update
  • upgeade
  • WerFault
  • WerMgr
  • win
  • WindowsDefender
  • WindowsUpdater
  • Workstation
  • xig
  • XMR
  • xmrig
  • yamm1

作成活動

ワームは、以下のソフトウェアに存在する脆弱性を利用して感染活動をします。この脆弱性が利用されると、ワームは不正なファイルを作成します。

情報漏えい

ワームは、以下の情報を収集します。

  • Computer Name
  • Computer Uptime
  • Computer Username
  • Domain Information
  • Graphics Card Information
  • GUID
  • MAC Address
  • OS Information

その他

ワームは、以下を実行します。

  • It deletes the following scheduled tasks:
    • AdobeFlashPlayer
    • Bluetooths
    • Credentials
    • Ddrivers
    • DNS
    • DNS2
    • DnsCore
    • DnsCore
    • DnsScan
    • ECDnsCore
    • Flash
    • FlashPlayer1
    • FlashPlayer2
    • FlashPlayer3
    • gm
    • GooglePingConfigs
    • HispDemorn
    • HomeGroupProvider
    • IIS
    • LimeRAT-Admin
    • Microsoft Telemetry
    • Miscfost
    • MiscfostNsi
    • my1
    • Mysa
    • Mysa1
    • Mysa2
    • Mysa3
    • Netframework
    • ngm
    • ok
    • Oracle Java
    • Oracle Java Update
    • Oracle Products Reporter
    • RavTask
    • skycmd
    • Sorry
    • Spooler SubSystem Service
    • SYSTEM
    • System Log Security Check
    • SYSTEMa
    • TablteInputout
    • Update
    • Update service for products
    • Update service for Windows Service
    • Update1
    • Update2
    • Update3
    • Update4
    • Update_windows
    • WebServers
    • werclpsyport
    • Windows_Update
    • WindowsLogTasks
    • WindowsUpdate1
    • WindowsUpdate2
    • WindowsUpdate3
    • WwANsvc
  • It terminates the processes that contain the following strings in its command line:
    • --max-cpu-usage
    • -donate-level
    • -p x
    • blazepool
    • blockmasters
    • blockmasterscoins
    • bohemianpool
    • cryptmonero
    • crypto-pool
    • cryptonight
    • dwarfpool
    • hashrefinery
    • hashvault.pro
    • iwanttoearn.money
    • mine.bz
    • minercircle.com
    • minergate
    • miners.pro
    • mineXMR
    • mineXMR
    • mineXMR
    • mineXMR
    • miningpoolhubcoins
    • mixpools.org
    • mixpools.org
    • monero
    • monero.lindon-pool.win
    • moriaxmr.com
    • mypool.online
    • nanopool.org
    • nicehash
    • onero
    • pool.electroneum.hashvau
    • pool.monero.hashvault.pr
    • pool.xmr
    • poolto.be
    • prohash
    • prohash.net
    • ratchetmining.com
    • slushpool
    • stratum+
    • suprnova.cc
    • teracycle.net
    • usxmrpool
    • viaxmr.com
    • xmrpool
    • yiimp
    • zergpool
    • zergpoolcoins
    • zpool
  • It is capable of propagating in the local network via the following means:
    • SMB Exploit (MS17-010)
    • MSSQL Brute forcing
    • Dumping Windows Domain Credentials using any of the following techniques/tools:
      • Mimikatz
      • Pass-The-Hash

  • It is capable of performing RDP Brute Force Attack using the following credentials:
    • Username
      • Administrator
    • Password
      • !@#$%^&*
      • 000000
      • 1
      • 1111
      • 111111
      • 111111111
      • 112233
      • 11223344
      • 12
      • 121212
      • 123
      • 123
      • 123
      • 123!@#qwe
      • 123.com
      • 123123123
      • 123321
      • 1234
      • 12345
      • 123456
      • 123456
      • 1234567
      • 12345678
      • 123456789
      • 1234567890
      • 123456789a
      • 123456a
      • 123@abc
      • 123qwe
      • 123qwe!@#
      • 1q2w3e4r
      • 1q2w3e4r5t
      • 1qaz!QAZ
      • 1qaz2wsx
      • 1qaz@WSX
      • 21
      • 321
      • 5201314
      • 55
      • 5555
      • 654321
      • 666666
      • 7222222
      • 888888
      • 88888888
      • 987654321
      • 999999
      • A123456
      • A123456
      • a123456789
      • Aa
      • aa123456
      • Aa123456.
      • Aa12345678
      • aaaaaa
      • Ab123
      • abc
      • abc123
      • abc123
      • abc@123
      • ABCabc123
      • abcd1234
      • abcd@1234
      • abcdefg
      • admin
      • Admin123
      • admin888
      • Admin@123
      • Admin@123
      • administrator
      • administrator
      • asdf
      • baseball
      • charlie
      • dragon
      • dubsmash
      • football
      • fuckyou
      • g_czechout
      • golden
      • hello
      • homelesspa
      • Huawei@123
      • iloveyou
      • login
      • love
      • master
      • monkey
      • P@SSW0RD
      • P@SSW0RD
      • P@SSW0RD
      • P@SSWORD
      • P@SSWORD
      • P@SSWORD
      • P@w0rd
      • P@word
      • pass
      • passw0rd
      • passw0rd
      • PASSWORD
      • PASSWORD
      • password1
      • princess
      • qazwsx
      • qwe123
      • qwe1234
      • qwe1234a
      • qwe1234a
      • qwer12345
      • qwerty
      • qwertyuiop
      • sa
      • sa123
      • sa2008
      • saadmin
      • sapassword
      • sasa
      • sql2005
      • sql2008
      • sqlpassword
      • sunshine
      • superman
      • test1
      • welcome
      • zinch
      • zxcvbn
    • NTLM Hashes
      • 00AFFD88FA323B00D4560BF9FEF0EC2F
      • 066DDFD4EF0E9CD7C256FE77191EF43C
      • 0D757AD173D2FC249CE19364FD64C8EC
      • 0E032B9D51A580AC6CDFABAD8BC97A38
      • 13B29964CC2480B4EF454C59562E675C
      • 152EFBCFAFEB22EABDA8FC5E68697A41
      • 161CFF084477FE596A5DB81874498A24
      • 162E829BE112225FEDF856E38E1C65FE
      • 1C4ECC8938FB93812779077127E97662
      • 209C6174DA490CAEB422F3FA5A7AE634
      • 259745CB123A52AA2E693AAACCA2DB52
      • 2D20D252A479F485CDF5E171D93985BF
      • 2D7F1A5A61D3A96FB5159B5EEF17ADC6
      • 2E4DBF83AA056289935DAEA328977B20
      • 2F2D544C53B3031F24D63402EA7FB4F9
      • 30FCAA8AD9A496B3E17F7FBFACC72993
      • 31FC0DC8F7DFAD0E8BD7CCC3842F2CE9
      • 320A78179516C385E35A93FFA0B1C4AC
      • 328727B81CA05805A68EF26ACB252039
      • 32ED87BDB5FDC5E9CBA88547376818D4
      • 36AA83BDCAB3C9FDAF321CA42A31C3FC
      • 3DBDE697D71690A769204BEB12283678
      • 3F9F5F112DA330AC4C20BE279C6ADDFA
      • 3FA45A060BD2693AE4C05B601D05CA0C
      • 4057B60B514C5402DDE3D29A1845C366
      • 41630ABB825CA50DA31CE1FAC1E9F54D
      • 47BF8039A8506CD67C524A03FF84BA4E
      • 4ED91524CB54EAACC17A185646FB7491
      • 570A9A65DB8FBA761C1008A51D4C95AB
      • 579110C49145015C47ECD267657D3174
      • 579DA618CFBFA85247ACF1F800A280A4
      • 5835048CE94AD0564E29A924A03510EF
      • 588FEB889288FB953B5F094D47D1565C
      • 5AE7B89B3AFEA28D448ED31B5C704289
      • 648AFF3A042261BAB4978076DE2C6B8C
      • 674E48B68C5CD0EFD8F7E5FAA87B3D1E
      • 6920C58D0DF184D829189C44FAFB7ECE
      • 69943C5E63B4D2C104DBBCC15138B72B
      • 6AA8BC1D5018300D54E51C9860FA961C
      • 6D3986E540A63647454A50E26477EF94
      • 6F12C0AB327E099821BD938F39FAAB0D
      • 71C5391067DE41FAD6F3063162E5EEFF
      • 72F5CFA80F07819CCBCFB72FEB9EB9B7
      • 73F5D97549F033374FA6D9F9CE247FFD
      • 7A21990FCD3D759941E45C490F143D5F
      • 7B592E4F8178B4C75788531B2E747687
      • 7CE21F17C0AEE7FB9CEBA532D0546AD6
      • 81E5F1ADC94DD08B1A072F9C1AE3DD3F
      • 85DEEEC2D12F917783B689AE94990716
      • 8846F7EAEE8FB117AD06BDD830B7586C
      • A4141712F19E9DD5ADF16919BB38A95C
      • A80C9CC3F8439ADA25AF064A874EFE2D
      • A836EF24F0A529688BE2AF1479A95411
      • A87F3A337D73085C45F9416BE5787D86
      • AA647B916A1FAD374DF9C30711D58A7A
      • AACD12D27C87CAC8FC0B8538AED6F058
      • ACB98FD0478427CD18949050C5E87B47
      • AD70819C5BC807280974D80F45982011
      • AF27EFB60C7B238910EFE2A7E0676A39
      • AFFFEBA176210FAD4628F0524BFE1942
      • B3EC3E03E2A202CBD54FD104B8504FEF
      • B963C57010F218EDC2CC3C229B5E4D0F
      • B9ACFD3C52ED0D6988BED8EB9AC636D6
      • B9F917853E3DBF6E6831ECCE60725930
      • BA07BA35933E5BF42DEA4AF8ADD09D1E
      • BC007082D32777855E253FD4DEFE70EE
      • BCDF115FD9BA99336C31E176EE34B304
      • C1790553DBB8362FA7F16D564585B4D1
      • C22B315C040AE6E0EFEE3518D830362B
      • D144986C6122B1B1654BA39932465528
      • D30C2EF8389AC9E8516BAACB29463B7B
      • DE26CCE0356891A4A020E7C4957AFC72
      • DF54DE3F3438343202C1DD523D0265BE
      • E19CCF75EE54E06B06A5907AF13CEF42
      • E1A692BD23BDE99B327756E59308B4F8
      • E45A314C664D40A227F9540121D1A29D
      • E5810F3C99AE2ABB2232ED8458A61309
      • E5AE562DDFAA6B446C32764AB1EBF3ED
      • E6BD4CDB1E447131B60418F31D0B81D6
      • E7380AE8EF85AE55BDCEAA59E418BD06
      • E84D037613721532E6B6D84D215854B6
      • E8CD0E4A9E89EAB931DC5338FCBEC54A
      • F1351AC828428D74F6DA2968089FC91F
      • F2477A144DFF4F216AB81F2AC3E3207D
      • F4BB18C1165A89248F9E853B269A8995
      • F56A8399599F1BE040128B1DD9623C29
      • F67F5E3F66EFD7298BE6ACD32EEEB27C
      • F9E37E83B83C47A93C2F09F66408631B
  • It terminates any process found to be connected to the following ports:
    • 1111
    • 13333
    • 14433
    • 14444
    • 16633
    • 16666
    • 2222
    • 3333
    • 4444
    • 45560
    • 55335
    • 5555
    • 65333
    • 6633
    • 6666
    • 7777
    • 8888
    • 9980
    • 9999


  対応方法

対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 15.850.02
初回 VSAPI パターンリリース日 2020年5月5日
VSAPI OPR パターンバージョン 15.851.00
VSAPI OPR パターンリリース日 2020年5月6日

手順 1

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 3

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 4

以下のフォルダを検索し削除します。

[ 詳細 ]
註:このフォルダは、隠しフォルダとして設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • {Removable/Network Drive name}\UTFsync

手順 5

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • {Removable/Network Drive name}\Dblue3.lnk
  • {Removable/Network Drive name}\Eblue3.lnk
  • {Removable/Network Drive name}\Fblue3.lnk
  • {Removable/Network Drive name}\Gblue3.lnk
  • {Removable/Network Drive name}\Hblue3.lnk
  • {Removable/Network Drive name}\Iblue3.lnk
  • {Removable/Network Drive name}\Jblue3.lnk
  • {Removable/Network Drive name}\Kblue3.lnk
  • {Removable/Network Drive name}\Dblue6.lnk
  • {Removable/Network Drive name}\Eblue6.lnk
  • {Removable/Network Drive name}\Fblue6.lnk
  • {Removable/Network Drive name}\Gblue6.lnk
  • {Removable/Network Drive name}\Hblue6.lnk
  • {Removable/Network Drive name}\Iblue6.lnk
  • {Removable/Network Drive name}\Jblue6.lnk
  • {Removable/Network Drive name}\Kblue6.lnk
  • {Removable/Network Drive name}\readme.js
  • {Removable/Network Drive name}\UTFsync\inf_data

手順 6

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「Worm.PS1.LEMONDUCK.YPAE-A」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください