Trojan.Win32.PRIVATELOADER.AA
Windows
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。
身代金要求文書のファイルを作成します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- %User Profile%\Pictures\Minor Policy{random characters}.exe
- These {Random Character} files are malicious with the following detections:
- TrojanSpy.Win32.PRIVATELOADER.YXCISZ
- TROJ_GEN.R03BC0PH122
- Ransom.Win32.STOP.YPCIT
- TrojanSpy.Win32.PRIVATELOADER.YXCITZ
- TrojanSpy.Win32.REDLINE.YXCITZ
- These {Random Character} files are malicious with the following detections:
- %Program Files%\PowerControl\PowerControl_Svc.exe
- %ProgramData%\DNTException\node.exe
- %Application Data%\Microsoft\Network\mstsca.exe\
- %System%\control.exe
- %User Temp%\M3A58X5S.cPl
- %User Temp%\IXP000.TMP\exdtrvxyznt.dat.5
- %User Temp%\IXP000.TMP\exdtrvxyznt.dat.6
- %User Temp%\IXP000.TMP\bbvdvmu.bat
- %User Temp%\IXP000.TMP\lhcrpixxvj.dat
- %User Temp%\IXP000.TMP\conhost.exe
- %User Profile%\Documents\KfSXhxpdcitP_l6.palma
- %AppDataLocal%\bowsakkdestx.txt
- %System Root%\SystemID\PersonalID.txt
- %ProgramData%\DNTException\node.lib
(註:%User Profile%フォルダは、現在ログオンしているユーザのプロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>" です。. %Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。C:\Program Files in Windows 2000(32-bit)、Server 2003(32-bit)、XP、Vista(64-bit)、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)、8.1(64-bit)、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files(x86)" です。. %ProgramData%フォルダは、マルチユーザーシステムにおいて任意のユーザがプログラムに変更を加えることができるプログラムファイルフォルダのバージョンです。これには、すべてのユーザのアプリケーションデータが含まれます。Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData" です。Windows Server 2003(32-bit)、2000(32-bit)、XPの場合、通常 "C:\Documents and Settings\All Users" です。 . %Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。. %System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)
マルウェアは、以下のプロセスを追加します。
- %User Profile%\Pictures\Minor Policy{random characters}.exe
- schtasks /create /f /RU "{User Name}" /tr "%Program Files%\PowerControl\PowerControl_Svc.exe" /tn "PowerControl HR" /sc HOURLY /rl HIGHEST
- schtasks /create /f /RU "{User Name}" /tr "%Program Files%\PowerControl\PowerControl_Svc.exe" /tn "PowerControl LG" /sc ONLOGON /rl HIGHEST
- %User Profile%\Pictures\Minor Policy{random characters}.exe" --Admin IsNotAutoStart IsNotTask
- cmd.exe /d /c bbvdvmu.bat 45581428331
- %User Profile%\AppData\Local{GUID}\build2.exe
- %User Profile%\AppData\Local{GUID}\build3.exe
- /C /create /F /sc minute /mo 1 /tn "Azure-Update-Task" /tr "%Application Data%\Microsoft\Network\mstsca.exe
- cmd.exe /c dir C:\
- cacls.exe %ProgramData%\DNTException /t /e /c /g Everyone:F
- icacls.exe %ProgramData%\DNTException /t /c /grant *S-1-1-0:(f)
- attrib.exe +H %ProgramData%\DNTException
- attrib.exe +H %ProgramData%\DNTException\node.exe
- "%System%\control.exe" "%User Temp%\M3A58X5S.cPl"
- "%System%\rundll32.exe" Shell32.dll,Control_RunDLL "%User Temp%\M3A58X5S.cPl"
- node.exe node.lib 45581428331 3562870356
- conhost.exe lhcrpixxvj.dat 45581428331
- %Windows%\Microsoft.NET\Framework v4.0.30319\RegAsm.exe
(註:%User Profile%フォルダは、現在ログオンしているユーザのプロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>" です。. %Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。C:\Program Files in Windows 2000(32-bit)、Server 2003(32-bit)、XP、Vista(64-bit)、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)、8.1(64-bit)、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files(x86)" です。. %Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。. %ProgramData%フォルダは、マルチユーザーシステムにおいて任意のユーザがプログラムに変更を加えることができるプログラムファイルフォルダのバージョンです。これには、すべてのユーザのアプリケーションデータが含まれます。Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData" です。Windows Server 2003(32-bit)、2000(32-bit)、XPの場合、通常 "C:\Documents and Settings\All Users" です。 . %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)
その他
マルウェアは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。
- {BLOCKED}o.io/widget
マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。
- {BLOCKED}.{BLOCKED}.226.201
マルウェアは、以下を実行します。
- Gathers Information:
- Wallets:
- atomic
- Atomic Wallet
- Electrum
- Exodus
- MultiDoge
- Monero
- binancechain
- Binance
- Metamask
- Browser activities on the following websites:
- instantbitex.com
- tokenize.exchange
- southxchange.com
- gdax.com
- gemini.com
- itbit.com
- lbank.info
- localtrade.cc
- lykke.com
- leoxchange.com
- kiwi-coin.com
- koinim.com
- kuna.io
- koineks.com
- koinex.in
- jubi.com
- bitkonan.com
- luno.com
- cex.io
- korbit.co.kr
- coinone.co.kr
- kucoin.com
- poloniex.com
- bitflyer.com
- yobit.io
- exmo.com
- gate.io
- bittrex.com
- payoneer.com
- bitstamp.net
- kraken.com
- coinbene.com
- bitfinex.com
- hitbtc.com
- okex.com
- huobi.com
- binance.com
- zb.com
- yobit.net
- sorare.com
- finexbox.com
- simex.global
- fatbtc.com
- fcoin.com
- coinz.com
- shortex.net
- ftx.com
- bithumb.com
- oceanex.pro
- omgfin.com
- coindeal.com
- coinall.com
- bilaxy.com
- mxc.com
- coinbit.co.kr
- cashierest.com
- cointiger.com
- cryptology.com
- coinmex.com
- btcbox.cojp
- fexpro.net
- tokens.net
- gdac.com
- jex.com
- chaoex.com
- exmarkets.com
- btcnext.io
- trade.io
- cpdax.com
- satowallet.com
- btcexa.com
- dobitrade.com
- bitker.com
- coinfinit.com
- atomars.com
- coinzo.com
- citex.co.kr
- bitopro.com
- bx.in.th
- etherflyer.com
- maicoin.com
- coineal.com
- vindax.com
- catex.io
- gopax.co.kr
- bitforex.com
- magnr.com
- exir.tech
- exir.io
- spectrocoin.com
- advcash.com
- cryptonator.com
- cryptopia.co.nz
- bitmart.com
- bitbank.cc
- bitmax.io
- coinome.com
- tidex.com
- uphold.com
- bitkub.com
- tradeogre.com
- volabit.com
- mercatox.com
- livecoin.net
- coinbase.com
- coinexchange.io
- coincorner.com
- coinegg.com
- coinfloor.co.uk
- coingather.com
- coinpit.io
- coinrail.co.kr
- coinnest.co.kr
- coingi.com
- coinmate.io
- coincheck.com
- bitstarcoin.com
- bt.cx
- btcxindia.com
- btcturk.com
- dgtmarket.com
- deribit.com
- decentrex.com
- dabtc.com
- dcex.com
- coinspot.io
- coinsquare.com
- coinsecure.in
- coinsbank.com
- bitconnect.co
- bcex.ca
- big.one
- bitbanktrade.jp
- aidosmarket.com
- abucoins.com
- 796.com
- allcoin.com
- bitso.com
- bitspark.io
- btc-alpha.com
- braziliex.com
- btcmarkets.net
- cryptofresh.com
- blockchain.info
- blockchain.com
- bitfex.trade
- bitlish.com
- bitmarket.net
- bitpanda.com
- bitonic.nl
- bitmaszyna.pl
- funpay.ru
- bitmex.com
- dcexe.com
- dcexchange.ru
- paymium.com
- paribu.com
- omnidex.io
- openledger.info
- ore.bz
- qryptos.com
- ripplefox.com
- rippex.net
- rightbtc.com
- quadrigacx.com
- quoine.com
- liquid.com
- okcoin.com
- dsx.uk
- neraex.pro
- mr.exchange
- mixcoins.com
- nevbit.com
- nzbcx.com
- mynxt.info
- nlexch.com
- nocks.com
- vwlpro.com
- vbtc.exchange
- stex.com
- tdax.com
- ezbtc.ca
- exratesme
- exx.com
- flowbtc.combr
- foxbit.combr
- gatehub.net
- coinsmarkets.com
- bitcointoyou.com
- altcointrader.co.za
- bittylicious.com
- btc-trade.com.ua
- bitsblockchain.net
- novaexchange.com
- arenabitcoin.com
- bitcointrade.com
- excambriorex.com
- satoshitango.com
- localbitcoins.com
- bittrex.zendesk.com
- coinmarketcap.com
- therocktrading.com
- btc-exchange.com
- my.dogechain.info
- independentreserve.com
- infinitycoin.exchange
- coinpayments.net
- login.blockchain.com
- wallet.uphold.com
- cryptobridge.freshdesk.com
- pancakeswap.finance
- crypto-bridge.org
- schoolsfirstfcu.org
- morganstanley.com
- bankofamerica.com
- robinhood.com
- navyfederal.org
- ally.com
- mtb.com
- 53.com
- easternbank.com
- santander.com
- marcus.com
- etrade.com
- cu.com
- usaa.com
- communityfirstcu.org
- summitcreditunion.com
- citadelbanking.com
- firstcommunity.com
- communityamerica.com
- gecreditunion.org
- joviafinancial.com
- desertfinancial.com
- iccu.comdesertfinancial.com
- wingsfinancial.com
- deltacommunitycu.com
- logixbanking.com
- aacreditunion.org
- americafirst.com
- firsttechfed.com
- suncoastcreditunion.com
- americafirst.com
- alliantcreditunion.org
- firsttechfed.com
- schoolsfirstfcu.org
- americaneagle.org
- elevationscu.com
- trumarkonline.org
- gtefinancial.org
- nuvisionfederal.com
- tvacreditunion.com
- growfinancial.org
- americanheritagecu.org
- statefarmfcu.com
- dfcufinancial.com
- simex.global
- fatbtc.com
- fcoin.com
- coin.z.com
- shortex.net
- ftx.com
- communityfirstfl.org
- csecreditunion.com
- arizonafederal.org
- credithuman.com
- langleyfcu.org
- ccu.com
- safecu.org
- towerfcu.org
- affinityfcu.com
- nymcu.org
- myeecu.org
- coastal24.com
- wsecu.org
- tcunet.com
- redwoodcu.org
- wpcu.coop
- hvfcu.org
- iccu.com
- pffcu.org
- greenstate.org
- cefcu.com
- ent.com
- psecu.com
- onpointcu.com
- imcu.com
- esl.org
- patelco.org
- teachersfcu.org
- lmcu.org
- sdccu.com
- alaskausa.org
- starone.org
- bethpagefcu.com
- ssfcu.org
- dcu.org
- macu.com
- rbfcu.org
- greendot.com
- missionfed.com
- safecu.org
- secumd.org
- golden1.com
- becu.org
- penfed.org
- ncsecu.org
- wecu.com
- gwcu.org
- bayportcu.org
- capcomfcu.org
- rfcu.com
- empowerfcu.com
- vantagewest.org
- ttcu.com
- unfcu.org
- eglinfcu.org
- andrewsfcu.org
- psfcu.com
- adviacu.org
- campuscu.com
- metrocu.org
- schools.org
- apcu.com
- sdfcu.org
- ecu.com
- chartway.com
- lgfcu.org
- jscfcu.org
- ornlfcu.com
- navigantcu.org
- msgcu.org
- pcu.org
- nusenda.org
- georgiasown.org
- eecu.org
- numericacu.com
- slfcu.org
- connexuscu.org
- ucu.org
- calcoastcu.org
- foundersfcu.com
- ascend.org
- fairwinds.org
- truliantfcu.org
- canvas.org
- robinsfcu.org
- sefcu.com
- tinkerfcu.org
- veridiancu.org
- visionsfcu.org
- midflorida.com
- kinecta.org
- landmarkcu.com
- members1st.org
- msufcu.org
- bellco.org
- bfsfcu.org
- sccu.com
- ecu.org
- uwcu.org
- traviscu.org
- chevronfcu.org
- gesa.com
- secumd.org
- servicecu.org
- vacu.org
- bcu.org
- missionfed.com
- wescom.org
- ufcu.org
- fairwinds.org
- unitedfcu.com
- apcocu.org
- unifyfcu.com
- genisyscu.org
- sfcu.org
- nasafcu.com
- applefcu.org
- kfcu.org
- gecu.com
- techcu.com
- bankofmelbourne.com.au
- regionalaustraliabank.com
- regionalaustraliabank.com.au
- ing.com.au
- imb.com.au
- stgeorge.com.au
- suncorp.com.au
- amazon.it
- amazon.ca
- amazon.de
- console.scaleway.com
- digitalocean.com
- portal.azure.com
- cloud.tencent.com
- cloud.huawei.com
- cloud.ibm.com
- ca.ovh.com
- vultr.com
- aws.amazon.com
- hetzner.com
- linode.com
- oracle.com
- rackspace.com
- phoenixnap.com
- leaseweb.com
- sso.ctl.io
- ctl.io
- paypal.com
- rbcroyalbank.com
- neofinancial.com
- bmo.com
- miningpoolhub.com
- kraken.com
- gate.io
- huobi.com.
- coinbase.com
- kucoin.com
- hitbtc.com
- crypto.com
- mercatox.com
- coins.ph
- coins.th
- poloniex.com
- bittrex.com
- bitpanda.com
- exmo.com
- dogechain.info
- luno.com
- bitkub.com
- blockchain.com
- livecoin.net
- bmo.com
- paypal.com
- bitfinex.com
- binance.com
- ascendex.com
- Wallets:
- The following behavior are executed by the following detections:
- Encryption of files:
- Ransom.Win32.STOP.YPCIT
- Gathering and Stealing of information:
- TrojanSpy.Win32.PRIVATELOADER.YXCISZ
- TrojanSpy.Win32.PRIVATELOADER.YXCITZ
- TrojanSpy.Win32.REDLINE.YXCITZ
- Encryption of files:
以下のスケジュールされたタスクを追加します:
- Task Name: {Username}
Trigger: Onlogon
Action: %Program Files%\PowerControl\PowerControl_Svc.exe - Task Name: Azure-Update-Task
Trigger: Every 1 Minute
Action: %Application Data%\Microsoft\Network\mstsca.exe
(註:%Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。C:\Program Files in Windows 2000(32-bit)、Server 2003(32-bit)、XP、Vista(64-bit)、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)、8.1(64-bit)、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files(x86)" です。. %Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)
ランサムウェアの不正活動
マルウェアは、暗号化されたファイルのファイル名に以下の拡張子を追加します。
- .aamv
マルウェアが作成する以下のファイルは、脅迫状です。
- {Encrypted Directory}_readme.txt
対応方法
手順 1
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
Windowsをセーフモードで再起動します。
手順 4
スケジュールされたタスクを削除する
タスク削除の手順に含まれる{タスク名} - {実行するタスク}には以下が当てはまります。
- Task Name: Azure-Update-Task - Task to be run: %Application Data%\Microsoft\Network\mstsca.exe
- Task Name: {User Name} - Task to be run: %Program Files%\PowerControl\PowerControl_Svc.exe
Windows 2000、Windows XP、Windows Server 2003の場合:
- [スタート]→[プログラム]→[アクセサリ]→[システムツール]→[スケジュールされたタスク]をクリックして、スケジュールされたタスクを開きます。
- 上記の{タスク名} を、[名前]の欄に入力します。
- 入力した{タスク名} 持つファイルを右クリックします。
- [プロパティ]をクリックします。 [実行]フィールドで、表示されている{実行するタスク}を確認します。
- 上記の{実行するタスク}と文字列が一致するタスクを削除します。
Windows Vista、Windows 7、Windows Server 2008、Windows 8、Windows 8.1、およびWindows Server 2012の場合:
- Windowsタスクスケジューラを開きます。
• Windows Vista、Windows 7、Windows Server 2008の場合、[スタート]をクリックし、[検索]フィールドに「taskchd.msc」と入力してEnterキーを押します。
• Windows 8、Windows 8.1、Windows Server 2012の場合、画面の左下隅を右クリックし、[実行]をクリックし、「taskchd.msc」と入力してEnterキーを押します。 - 左側のパネルで、[タスクスケジューラライブラリ]をクリックします。
- 中央上部のパネルで、上記の{タスク名}を[名前]の欄に入力します。
- 中央下部のパネルで、[アクション]タブをクリックします。 [詳細]の欄で、{実行するタスク}を確認します。
- 文字列が一致するタスクを削除します。
手順 5
以下のファイルを検索し削除します。
- %User Profile%\Pictures\Minor Policy{random characters}.exe
- %Program Files%\PowerControl\PowerControl_Svc.exe
- %ProgramData%\DNTException\node.exe
- %Application Data%\Microsoft\Network\mstsca.exe\
- %System%\control.exe
- %User Temp%\M3A58X5S.cPl
- %User Temp%\IXP000.TMP\exdtrvxyznt.dat.5
- %User Temp%\IXP000.TMP\exdtrvxyznt.dat.6
- %User Temp%\IXP000.TMP\bbvdvmu.bat
- %User Temp%\IXP000.TMP\lhcrpixxvj.dat
- %User Temp%\IXP000.TMP\conhost.exe
- %User Profile%\Documents\KfSXhxpdcitP_l6.palma
- %AppDataLocal%\bowsakkdestx.txt
- %System Root%\SystemID\PersonalID.txt
- %ProgramData%\DNTException\node.lib
手順 6
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「Trojan.Win32.PRIVATELOADER.AA」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 7
暗号化されたファイルをバックアップから復元します。
ご利用はいかがでしたか? アンケートにご協力ください