解析者: Paul Steven Nadera   
 別名:

Trojan.Win32.Zenpak.auzi (Kaspersky); a variant of Win32/Kryptik.HFUN trojan (NOD32)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、実行後、自身を削除します。

  詳細

ファイルサイズ 507,456 bytes
タイプ EXE
メモリ常駐 はい
発見日 2020年9月1日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

  • %Application Data%\Laqika\seimhu.exe
  • %User Temp%\Anradipu\certutil.exe
  • %User Temp%\Anradipu\freebl3.dll
  • %User Temp%\Anradipu\libnspr4.dll
  • %User Temp%\Anradipu\libplc4.dll
  • %User Temp%\Anradipu\libplds4.dll
  • %User Temp%\Anradipu\msvcr100.dll
  • %User Temp%\Anradipu\nspr4.dll
  • %User Temp%\Anradipu\nss3.dll
  • %User Temp%\Anradipu\nssdbm3.dll
  • %User Temp%\Anradipu\nssutil3.dll
  • %User Temp%\Anradipu\smime3.dll
  • %User Temp%\Anradipu\softokn3.dll
  • %User Temp%\Anradipu\sqlite3.dll
  • %User Temp%\fiygurra.crt
  • %User Temp%\hoox.tmp
  • %User Temp%\uvylkuh.tmp
  • %User Temp%\zouvpo.tmp
  • %Application Data%\Apip\ubmaabu.ep
  • %Application Data%\Iwerfu\ysappy.yxog
  • %Application Data%\Ropa\zoatirko.ceva
  • %Application Data%\Uffexo\bazy.fa
  • %Application Data%\Wiudo\ezinube.vii
  • %Application Data%\Wypoez\usond.eguf
  • %Application Data%\Yvagi\myqiunxe.keyml
  • %Application Data%\Zeyp\omugy.piwu

(註:%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)

マルウェアは、以下のプロセスを追加します。

  • cmd.exe /c ipconfig /all
  • ipconfig /all
  • cmd.exe /c net config workstation
  • net config workstation;
  • %System%\net1 config workstation
  • cmd.exe /c net view /all
  • net view /all
  • cmd.exe /c net view /all /domain
  • net view /all /domain
  • cmd.exe /c nltest /domain_trusts
  • nltest /domain_trusts
  • cmd.exe /c nltest /domain_trusts /all_trusts
  • nltest /domain_trusts /all_trusts
  • "%User Temp%\Anradipu\certutil.exe" -A -n "ovfoxud" -t "C,C,C" -i "%User Temp%\fiygurra.crt" -d "%Application Data%\Mozilla\Firefox\Profiles\dxxbjsgn.default"

(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)

マルウェアは、実行後、自身を削除します。

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
toxm
ugba = {hex values}

HKEY_CURRENT_USER\Software\Microsoft\
Agpiafe
miypafa = {hex values}

HKEY_CURRENT_USER\Software\Microsoft\
Agpiafe
palocem = {hex values}

その他

マルウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Agpiafe

HKEY_CURRENT_USER\Software\Microsoft\
toxm

マルウェアは、以下の不正なWebサイトにアクセスします。

  • http://{BLOCKED}234135.xyz/LKhwojehDgwegSDG/gateJKjdsh.php
  • http://{BLOCKED}234135.org/LKhwojehDgwegSDG/gateJKjdsh.php