解析者: John Rainier Navato   
 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 709,103 bytes
タイプ EXE
発見日 2023年7月13日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

  • %User Profile%\angelo\julebuffet\cosmoid\Kabinepersonalet125\Nonmaterialistic\birkesenes.pac
  • %User Profile%\angelo\julebuffet\cosmoid\Kabinepersonalet125\Nonmaterialistic\ledvist.Roc157
  • %User Profile%\angelo\julebuffet\cosmoid\Kabinepersonalet125\Nonmaterialistic\radsaar.fri
  • %User Profile%\angelo\julebuffet\cosmoid\Kabinepersonalet125\Nonmaterialistic\rejekllingens.plo
  • %User Profile%\angelo\julebuffet\cosmoid\Kabinepersonalet125\Nonmaterialistic\annektere.uno
  • %User Profile%\angelo\julebuffet\cosmoid\Kabinepersonalet125\Nonmaterialistic\shivering.chr
  • %User Profile%\angelo\julebuffet\cosmoid\Kabinepersonalet125\Nonmaterialistic\torchman.not
  • %User Profile%\angelo\julebuffet\cosmoid\Kabinepersonalet125\Nonmaterialistic\zapas.lys
  • %User Profile%\angelo\julebuffet\cosmoid\Aregeneratory\dovendyrets\Forbrugerbevidstes\Antithet.Erh
  • %User Temp%\{6-alphanumeric characters}.tmp\System.dll
  • %All Users Profile%\remcos\logs.dat
  • %User Temp%\{6-alphanumeric characters 1}.tmp
  • %User Temp%\{6-alphanumeric characters 2}.tmp
  • %Temporary Internet Files%\Content.IE5\YEFGVF95\json[1].gp

(註:%User Profile%フォルダは、現在ログオンしているユーザのプロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>" です。. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %All Users Profile%フォルダは、ユーザの共通プロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\All Users” です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData” です。)

マルウェアは、以下のプロセスを追加します。

  • {Malware File Path}\{Malware File Name}.exe

マルウェアは、以下のフォルダを作成します。

  • %User Profile%\angelo\julebuffet\cosmoid\Aregeneratory\dovendyrets\Forbrugerbevidstes
  • %User Profile%\angelo\julebuffet\cosmoid\Kabinepersonalet125\Nonmaterialistic
  • %All Users Profile%\remcos
  • %User Temp%\{6-alphanumeric characters}.tmp

(註:%User Profile%フォルダは、現在ログオンしているユーザのプロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>" です。. %All Users Profile%フォルダは、ユーザの共通プロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\All Users” です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData” です。. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)

他のシステム変更

マルウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\
udkld
murray = 0x00000000

HKEY_CURRENT_USER\Software\Rmc-OB0RTV
exepath = {Hex Values}

HKEY_CURRENT_USER\Software\Rmc-OB0RTV
licence = {Hex Value}

HKCU\Software\Rmc-OB0RTV
time = {10-digit value}

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

  • http://{BLOCKED}.{BLOCKED}.{BLOCKED}.52/IMBapQOoMPYrOmixJkLO29.bin
  • http://{BLOCKED}.{BLOCKED}.{BLOCKED}.50
  • https://{BLOCKED}gin.net

  対応方法

対応検索エンジン: 9.800
初回 VSAPI パターンバージョン 18.568.03
初回 VSAPI パターンリリース日 2023年7月13日
VSAPI OPR パターンバージョン 18.569.00
VSAPI OPR パターンリリース日 2023年7月14日

トレンドマイクロのお客様:

    最新のバージョン(パターンファイル および エンジン)を導入したセキュリティ対策製品を用い、ウイルス検索を実行してください。検出したファイルはすべて「削除」し、検出したウイルスはすべて「駆除」してください。削除対象となるファイルには、トロイの木馬型マルウェアやスクリプト系、上書き感染型ウイルス(overwriting virus)、ジョーク・プログラムなど「駆除」できないマルウェアがあげられ、これらのファイルを検出した場合は、すべて「削除」してください。

インターネットをご利用の皆様:

  • トレンドマイクロの「オンラインスキャン」を使って、あなたの PC がウイルスに侵されていないかどうかを簡単にチェックすることが可能です。オンラインスキャンはあなたのコンピュータの中に不正なプログラムが存在するかどうかをチェックします。
  • 今日、PCやネットワークをセキュリティ上の脅威から守り、安全なIT環境を維持するためには、セキュリティ製品を活用することが最も有効な方法となっています。トレンドマイクロは、一般の個人ユーザだけでなく、企業ユーザやインターネット・サービス・プロバイダ(ISP)向けに、ウイルス対策製品やコンテンツセキュリティ対策をご提供しています。トレンドマイクロの製品・サービスについては、こちらをご参照ください。


ご利用はいかがでしたか? アンケートにご協力ください