Trojan.X97M.EMOTET.BJ

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• %ProgramData%\yhjlswle.vbs
• %ProgramData%\ughldskbhn.bat

(註：%ProgramData%フォルダは、マルチユーザーシステムにおいて任意のユーザがプログラムに変更を加えることができるプログラムファイルフォルダのバージョンです。これには、すべてのユーザのアプリケーションデータが含まれます。Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData" です。Windows Server 2003(32-bit)、2000(32-bit)、XPの場合、通常 "C:\Documents and Settings\All Users" です。 )

マルウェアは、以下のプロセスを追加します。

• cmd /c ""%ProgramData%\ughldskbhn.bat" "
• powershell -enc {base64 encoded command}
• "%System%\cmd.exe" /c start /B %Windows%\syswow64\rundll32.exe C:\ProgramData\bneuihlows.dll,hjyldksfkw3
• wscript %ProgramData%\yhjlswle.vbs

(註：%ProgramData%フォルダは、マルチユーザーシステムにおいて任意のユーザがプログラムに変更を加えることができるプログラムファイルフォルダのバージョンです。これには、すべてのユーザのアプリケーションデータが含まれます。Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData" です。Windows Server 2003(32-bit)、2000(32-bit)、XPの場合、通常 "C:\Documents and Settings\All Users" です。 . %Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

ダウンロード活動

マルウェアは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。

• http://ha{BLOCKED}ducts.com/Merchant2/ARsf1LIcOauhH1rDrIh/
• http://h{BLOCKED}eo.com/eln-images/zqqgZ0YXaPiWbF/
• http://ma{BLOCKED}g.t{BLOCKED}rs.com/wp-includes/7faN9/
• http://ch{BLOCKED}ki.com/eln-images/skSsCLJtI24kZvo/
• http://s{BLOCKED}s.com/eln-images/AYvykzg/
• http://er{BLOCKED}in.com/cgi/qRe8dRaG2HDNOOG1/
• http://so{BLOCKED}s.com/cgi/9ii/
• https://gr{BLOCKED}n.net/GLI_New/JRlt3mOiezE/
• https://on-l{BLOCKED}es.com/cgi/ks0Mp/
• http://su{BLOCKED}t.com/eln-images/sO4XvFBsevCRf/
• http://b{BLOCKEDg.l{BLOCKED}.com/wp-content/19G04LjA1UcE1tN8/
• http://i{BLOCKED}g.ta{BLOCKED}ors.com/wp-includes/MGGi5zcZrkolFH9/

マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。

• C:\ProgramData\bneuihlows.dll