WORM_PHULLI.B
Trojan.Luminrat (Symantec) ; Mal/MSIL-TH (Sophos)
Windows
- マルウェアタイプ: ワーム
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ワームは、以下のファイルを作成します。
- %All Users Profile%\Microsoft\RAC\StateData\RacWmiDataBookmarks.dat
- %All Users Profile%\Microsoft\RAC\StateData\RacWmiEventData.dat
- %AppDataLocal%Low\Microsoft\CryptnetUrlCache\Content\94308059B57B3142E455B38A6EB92015
- %Application Data%\conhost\Guard\1
- %Application Data%\conhost\Screenshots\{DATE}\{TIME}
- %Application Data%\hawkeye.exe
- %Application Data%\rat.exe
- %Application Data%\svchost.exe
- %Application Data%\Windows Update.exe
- %Program Files%\Client\svchost.exe
- %System%\clientmonitor.exe
- %System%\Tasks\adorbe
- %User Temp%\1934
- %User Temp%\3742
- %User Temp%\3919
- %User Temp%\4445
- %User Temp%\5185
- %User Temp%\7635
- %User Temp%\8280
- %User Temp%\8856
- %Windows%\Temp\fwtsqmfile01.sqm
- %User Startup%\BGInfo.lnk
- %Application Data%\conhost\Logs\07-03-2018
- {Removable Drive}\autorun.inf
- {Removable Drive}\Sys.exe
(註:%All Users Profile%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\All Users”、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\ProgramData” です。.. %AppDataLocal%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local" です。. %Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.. %Program Files%フォルダは、プログラムファイルのフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Program Files"、64bitのOS上で32bitのアプリケーションを実行している場合、 "C:\Program Files (x86)" です。.. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.. %Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.. %User Startup%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>\Start Menu\Programs\Startup" 、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、" C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。.)
ワームは、以下のフォルダを作成します。
- %Application Data%\conhost\Logs
- %Application Data%\conhost\Files
- %Application Data%\conhost\Screenshot
- %Application Data%\conhost\Guard
(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.)
他のシステム変更
ワームは、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software
PTH = "%Program Files%\Client\svchost.exe"
HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon
shell = "explorer.exe,"%System%\clientmonitor.exe""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Schedule\
TaskCache\Tree\adorbe
Index = "3"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunOnce
adorbe = "cmd /c "start "adorbe" "%Program Files%\Client\svchost.exe""
その他
ワームは、以下の不正なWebサイトにアクセスします。
- enugu0421.{BLOCKED}s.net
- s.{BLOCKED}d.com
- sw.{BLOCKED}d.com
- s.{BLOCKED}b.com
- sw.{BLOCKED}b.com
- s2.{BLOCKED}b.com
- s1.{BLOCKED}b.com
- sv.{BLOCKED}d.com
- sv.{BLOCKED}b.com
- ss.{BLOCKED}d.com
- gn.{BLOCKED}d.com