TrojanSpy.Win32.FORMBOOK.DE
Backdoor.Win32.Blakken.vnr (KASPERSKY)
Windows
マルウェアタイプ:
スパイウェア/情報窃取型
破壊活動の有無:
なし
暗号化:
はい
感染報告の有無 :
はい
概要
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
スパイウェアは、ワーム活動の機能を備えていません。
スパイウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。 スパイウェアは、特定のWebサイトにアクセスし、情報を送受信します。
スパイウェアは、ユーザのキー入力操作情報を記録し、情報を収集します。
スパイウェアは、仮想環境内で実行されると、自身の活動を終了します。
詳細
侵入方法
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
スパイウェアは、以下のフォルダを追加します。
- %AppDataLocal%\VirtualDirectoryPlayerGUI
- %Application Data%\{Random characters} → contains logs with gathered data
(註:%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。. %Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)
スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %Program Files%\{Random characters}\{Random characters}.exe
(註:%Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。C:\Program Files in Windows 2000(32-bit)、Server 2003(32-bit)、XP、Vista(64-bit)、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)、8.1(64-bit)、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files(x86)" です。)
スパイウェアは、以下のファイルを作成します。
- %AppDataLocal%\VirtualDirectoryPlayerGUI\VirtualDirectoryPlayer.exe
- detected as TrojanSpy.Win32.FORMBOOK.DE
- %AppDataLocal%\VirtualDirectoryPlayerGUI\libexiv3.dll → decrypts VirtualDirectoryPlayer.exe
- detected as TrojanSpy.Win32.FORMBOOK.DE
- %AppDataLocal%\VirtualDirectoryPlayerGUI\configuration.xml → loaded into libexiv3.dll
(註:%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。)
スパイウェアは、以下の無害なファイルを作成します。
- %AppDataLocal%\VirtualDirectoryPlayerGUI\libnspr4.dll
- %AppDataLocal%\VirtualDirectoryPlayerGUI\libsasl2-3.dll
- %AppDataLocal%\VirtualDirectoryPlayerGUI\libwebp-fb2k.dll
- %AppDataLocal%\VirtualDirectoryPlayerGUI\license.txt
- %AppDataLocal%\VirtualDirectoryPlayerGUI\shared.dll
- %AppDataLocal%\VirtualDirectoryPlayerGUI\zlib1.dll
- %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\16\auth.png
- %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\16\error.png
- %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\16\info.png
- %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\16\mail.png
- %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\16\question.png
- %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\64\auth.png
- %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\64\cool.png
- %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\64\dialog.png
- %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\64\error.png
- %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\64\info.png
- %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\64\mail.png
- %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\64\question.png
- %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\64\warning.png
- %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\scalable\auth.svg
- %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\scalable\cool.svg
- %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\scalable\dialog.svg
- %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\scalable\error.svg
- %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\scalable\info.svg
- %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\scalable\question.svg
- %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\scalable\warning.svg
(註:%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。)
スパイウェアは、以下のプロセスを追加します。
- %AppDataLocal%\VirtualDirectoryPlayerGUI\VirtualDirectoryPlayer.exe
- %System%\cmd.exe /c del {Dropped malicious executable}
(註:%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)
スパイウェアは、以下のプロセスにコードを組み込みます。
- explorer.exe → communicates with C2 Server
- Any of the following legitimate Windows Application (spawned by hijacked explorer.exe):
- audiodg.exe
- autochk.exe
- autoconv.exe
- autofmt.exe
- chkdsk.exe
- cmd.exe.
- cmmon32.exe
- cmstp.exe
- colorcpl.exe
- control.exe
- cscript.exe
- dwm.exe
- explorer.exe
- help.exe
- ipconfig.exe
- lsass.exe
- lsm.exe
- msdt.exe
- msg.exe
- msiexec.exe
- mstsc.exe
- NAPSTAT.EXE
- nbtstat.exe
- netsh.exe
- NETSTAT.EXE
- raserver.exe
- rdpclip.exe
- rundll32.exe
- services.exe
- spoolsv.exe
- svchost.exe
- systray.exe
- taskhost.exe
- wininit.exe
- wlanext.exe
- wscript.exe
- wuapp.exe
- wuauclt.exe
- WWAHost.exe
- Targeted Applications
スパイウェアは、感染コンピュータ上のメモリに以下のプロセスを確認すると、自身を終了します。
- vmwareuser.exe
- vmwareservice.exe
- vboxservice.exe
- vboxtray.exe
- sandboxiedcomlaunch.exe
- sandboxierpcss.exe
- procmon.exe
- filemon.exe
- wireshark.exe
- netmon.exe
- prl_tools_service.exe
- prl_tools.exe
- prl_cc.exe
- SharedIntApp.exe
- vmtoolsd.exe
- vmsrvc.exe
- vmusrvc.exe
- python.exe
- perl.exe
- regmon.exe
他のシステム変更
スパイウェアは、インストールの過程で、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{Random Characters} = %Program Files%\{Random}\{Random}.exe
感染活動
スパイウェアは、ワーム活動の機能を備えていません。
バックドア活動
スパイウェアは、不正リモートユーザからの以下のコマンドを実行します。
- Download and execute a file
- Update Self
- Uninstall Self
- Execute Arbitrary Commands
- Clear cookies
- Reboot System
- Shutdown System
- Send gathered data to C2 Server
スパイウェアは、以下のWebサイトにアクセスし、情報を送受信します。
- http://www.{BLOCKED}ding.net/vns/
- http://www.{BLOCKED}dhousedesigns.design/vns/
- http://www.{BLOCKED}eatsgamingclan.com/vns/
- http://www.{BLOCKED}erbsindia.com/vns/
- http://www.{BLOCKED}clnicadelvnculo-gvbi.com/vns/
- http://www.{BLOCKED}thalmica.com/vns/
- http://www.{BLOCKED}cia.com/vns/
- http://www.{BLOCKED}i.site/vns/
- http://www.{BLOCKED}lpardis.com/vns/
- http://www.{BLOCKED}portal.com/vns/
- http://www.{BLOCKED}sbroider.com/vns/
- http://www.{BLOCKED}rchids.com/vns/
- http://www.{BLOCKED}art.net/vns/
- http://www.{BLOCKED}ayresidency.com/vns/
- http://www.{BLOCKED}eint.com/vns/
- http://www.{BLOCKED}edmagic.com/vns/
- http://www.{BLOCKED}pressworld.com/vns/
- http://www.{BLOCKED}sresolve.com/vns/
- http://www.{BLOCKED}rsotocheckup-5fcc.com/vns/
- http://www.{BLOCKED}rrapate.com/vns/
- http://www.{BLOCKED}en.com/vns/
- http://www.{BLOCKED}icamackay.com/vns/
- http://www.{BLOCKED}assetmanagement.com/vns/
- http://www.{BLOCKED}ntsbd.com/vns/
- http://www.{BLOCKED}furnituremadera.com/vns/
- http://www.{BLOCKED}etesproduce.com/vns/
- http://www.{BLOCKED}lkservice.com/vns/
- http://www.{BLOCKED}isc.com/vns/
- http://www.{BLOCKED}ndigarh.com/vns/
- http://www.{BLOCKED}do.com/vns/
- http://www.{BLOCKED}rofessionalpodcast.com/vns/
- http://www.{BLOCKED}ioamadori.net/vns/
- http://www.{BLOCKED}ing.com/vns/
- http://www.{BLOCKED}edshop2020.com/vns/
- http://www.{BLOCKED}.com/vns/
- http://www.{BLOCKED}tpetproducts.com/vns/
- http://www.{BLOCKED}scollectionn.com/vns/
- http://www.{BLOCKED}latinumva.com/vns/
- http://www.{BLOCKED}ds.com/vns/
- http://www.{BLOCKED}ssentialmiss.com/vns/
- http://www.{BLOCKED}ht.com/vns/
- http://www.{BLOCKED}om/vns/
- http://www.{BLOCKED}ckl.com/vns/
- http://www.{BLOCKED}.com/vns/
- http://www.{BLOCKED}id.com/vns/
ルートキット機能
スパイウェアは、ルートキット機能を備えていません。
情報漏えい
スパイウェアは、以下の情報を収集します。
- SID
- Username
- Operating system information
- Clipboard and Keylogged data from the following Targeted Applications:
- Browsers:
- 360 Browser
- Avant
- Baidu
- BlackHawk
- Browzar
- Canary
- Chrome
- Chromium
- Citrio
- Comodo Dragon
- Comodo IceDragon
- CoolNovo
- Coowon
- CyberFox
- Deepnet
- Dooble
- Epic
- Firefox
- Internet Explorer
- Iridium
- KMeleon
- Lunascape
- Maxthon
- Microsoft Edge
- Midori
- Mustang
- Opera
- Orbitum
- PaleMoon
- QTWeb
- QupZilla
- Rambler
- Safari
- SafeZone
- ScriptFTP
- SeaMonkey
- Sleipnir
- Superbird
- Titan
- Tor Browser
- Torch
- UC Browser
- Vivaldi
- Waterfox
- Yandex
- Mail Clients:
- Barca
- Foxmail
- GMail
- Incredimail
- Microsoft Outlook
- Mozilla Thunderbird
- Opera Mail
- FTP Clients:
- 3DFTP
- AbsoluteTelnet
- ALFTP
- BitKinex
- CoreFTP
- Far File Manager
- FileZilla
- FlashFXP
- Fling FTP
- LeechFTP
- NCFTP
- SmartFTP
- Total Commander
- WebDrive
- WinSCP
- Instant Messaging (IM) Applications:
- ICQ Messenger
- Pidgin
- Skype
- Trillian
- Yahoo Messenger
- Browsers:
- Screen Captures
スパイウェアは、ユーザのキー入力操作情報を記録し、情報を収集します。
その他
スパイウェアは、仮想環境内で実行されると、自身の活動を終了します。
スパイウェアは、以下を実行します。
- terminates itself if a loaded module in the running process contains the following strings:
- \cuckoo\
- \sandcastle\
- \aswsnx\
- \sandbox\
- \smpdir\
- \samroot\
- \avctestsuite\
スパイウェアは、以下のいずれかのユーザ名が感染コンピュータで確認される場合、自身を終了します。
- cuckoo
- sandbox-
- nmsdbox-
- xxxx-ox-
- cwsx-
- wilbert-sc
- xpamast-sc
マルウェアは、自身がデバッグされていることを確認した場合、不正活動を実行しません。
マルウェアは、脆弱性を利用した感染活動を行いません。
<補足>
インストール
スパイウェアは、以下のフォルダを追加します。
- %AppDataLocal%\VirtualDirectoryPlayerGUI
- %Application Data%\{ランダムな文字} → 収集したデータおよびログを含む
スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %Program Files%\{ランダムな文字}\{ランダムな文字}.exe
スパイウェアは、以下のファイルを作成します。
- %AppDataLocal%\VirtualDirectoryPlayerGUI\VirtualDirectoryPlayer.exe
- 「TrojanSpy.Win32.FORMBOOK.DE」として検出
- %AppDataLocal%\VirtualDirectoryPlayerGUI\libexiv3.dll → VirtualDirectoryPlayer.exeを復号する
- 「TrojanSpy.Win32.FORMBOOK.DE」として検出」
- %AppDataLocal%\VirtualDirectoryPlayerGUI\configuration.xml → libexiv3.dll内に読み込まれる
スパイウェアは、以下のプロセスを追加します。
- %AppDataLocal%\VirtualDirectoryPlayerGUI\VirtualDirectoryPlayer.exe
- %System%\cmd.exe /c del {作成された悪意ある実行ファイル}
スパイウェアは、以下のプロセスにコードを組み込みます。
- explorer.exe → コマンド&コントロール(C&C)サーバとの通信
- 以下の正規Windowsアプリケーション(乗っ取られたexplorer.exeによって生成されたもの)のいずれか:
- audiodg.exe
- autochk.exe
- autoconv.exe
- autofmt.exe
- chkdsk.exe
- cmd.exe.
- cmmon32.exe
- cmstp.exe
- colorcpl.exe
- control.exe
- cscript.exe
- dwm.exe
- explorer.exe
- help.exe
- ipconfig.exe
- lsass.exe
- lsm.exe
- msdt.exe
- msg.exe
- msiexec.exe
- mstsc.exe
- NAPSTAT.EXE
- nbtstat.exe
- netsh.exe
- NETSTAT.EXE
- raserver.exe
- rdpclip.exe
- rundll32.exe
- services.exe
- spoolsv.exe
- svchost.exe
- systray.exe
- taskhost.exe
- wininit.exe
- wlanext.exe
- wscript.exe
- wuapp.exe
- wuauclt.exe
- WWAHost.exe
- 対象となるアプリケーション
スパイウェアは、感染コンピュータ上のメモリに以下のプロセスを確認すると、自身を終了します。
- vmwareuser.exe
- vmwareservice.exe
- vboxservice.exe
- vboxtray.exe
- sandboxiedcomlaunch.exe
- sandboxierpcss.exe
- procmon.exe
- filemon.exe
- wireshark.exe
- netmon.exe
- prl_tools_service.exe
- prl_tools.exe
- prl_cc.exe
- SharedIntApp.exe
- vmtoolsd.exe
- vmsrvc.exe
- vmusrvc.exe
- python.exe
- perl.exe
- regmon.exe
バックドア活動
スパイウェアは、不正リモートユーザからの以下のコマンドを実行します。
- ファイルのダウンロードおよび実行
- 自身のアップデート
- 自身のアンインストール
- 任意のコマンドの実行
- Cookiesの削除
- システムの再起動
- システムのシャットダウン
- 収集した情報をC&Cサーバに送信
情報漏えい
スパイウェアは、以下の情報を収集します。
- SID
- ユーザ名
- オペレーティングシステム(OS)情報
- 以下の対象となるアプリケーションからのクリップボードおよびキー入力操作情報:
- ブラウザ:
- 360 Browser
- Avant
- Baidu
- BlackHawk
- Browzar
- Canary
- Chrome
- Chromium
- Citrio
- Comodo Dragon
- Comodo IceDragon
- CoolNovo
- Coowon
- CyberFox
- Deepnet
- Dooble
- Epic
- Firefox
- Internet Explorer
- Iridium
- KMeleon
- Lunascape
- Maxthon
- Microsoft Edge
- Midori
- Mustang
- Opera
- Orbitum
- PaleMoon
- QTWeb
- QupZilla
- Rambler
- Safari
- SafeZone
- ScriptFTP
- SeaMonkey
- Sleipnir
- Superbird
- Titan
- Tor Browser
- Torch
- UC Browser
- Vivaldi
- Waterfox
- Yandex
- メールクライアント:
- Barca
- Foxmail
- GMail
- Incredimail
- Microsoft Outlook
- Mozilla Thunderbird
- Opera Mail
- FTPクライアント:
- 3DFTP
- AbsoluteTelnet
- ALFTP
- BitKinex
- CoreFTP
- Far File Manager
- FileZilla
- FlashFXP
- Fling FTP
- LeechFTP
- NCFTP
- SmartFTP
- Total Commander
- WebDrive
- WinSCP
- インスタントメッセージ (IM) アプリケーション:
- ICQ Messenger
- Pidgin
- Skype
- Trillian
- Yahoo Messenger
- ブラウザ:
- スクリーンキャプチャ
その他
スパイウェアは、以下を実行します。
- 実行中のプロセス内に読み込まれたモジュールに以下の文字列が含まれている場合、自身を終了します。
対応方法
手順 1
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
Windowsをセーフモードで再起動します。
手順 4
以下のファイルを検索し削除します。
- %AppDataLocal%\VirtualDirectoryPlayerGUI\VirtualDirectoryPlayer.exe
- %AppDataLocal%\VirtualDirectoryPlayerGUI\libexiv3.dll
- %AppDataLocal%\VirtualDirectoryPlayerGUI\configuration.xml
- %AppDataLocal%\VirtualDirectoryPlayerGUI\libnspr4.dll
- %AppDataLocal%\VirtualDirectoryPlayerGUI\libsasl2-3.dll
- %AppDataLocal%\VirtualDirectoryPlayerGUI\libwebp-fb2k.dll
- %AppDataLocal%\VirtualDirectoryPlayerGUI\license.txt
- %AppDataLocal%\VirtualDirectoryPlayerGUI\shared.dll
- %AppDataLocal%\VirtualDirectoryPlayerGUI\zlib1.dll
- %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\16\auth.png
- %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\16\error.png
- %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\16\info.png
- %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\16\mail.png
- %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\16\question.png
- %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\64\auth.png
- %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\64\cool.png
- %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\64\dialog.png
- %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\64\error.png
- %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\64\info.png
- %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\64\mail.png
- %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\64\question.png
- %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\64\warning.png
- %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\scalable\auth.svg
- %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\scalable\cool.svg
- %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\scalable\dialog.svg
- %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\scalable\error.svg
- %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\scalable\info.svg
- %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\scalable\question.svg
- %AppDataLocal%\VirtualDirectoryPlayerGUI\dialogs\scalable\warning.svg
- %Program Files%\{Random characters}\{Random characters}.exe
手順 5
以下のフォルダを検索し削除します。
- %AppDataLocal%\VirtualDirectoryPlayerGUI
- %Application Data%\{Random characters}
手順 6
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- {Random Characters} = %Program Files%\{Random}\{Random}.exe
手順 7
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TrojanSpy.Win32.FORMBOOK.DE」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください