Trojan.XF.EMOTET.YXCBC

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• %ProgramData%\wetidjks.vbs
• %ProgramData%\jledshf.bat
• %ProgramData%\vbkwk.dll

(註：%ProgramData%フォルダは、マルチユーザーシステムにおいて任意のユーザがプログラムに変更を加えることができるプログラムファイルフォルダのバージョンです。これには、すべてのユーザのアプリケーションデータが含まれます。Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData" です。Windows Server 2003(32-bit)、2000(32-bit)、XPの場合、通常 "C:\Documents and Settings\All Users" です。 )

マルウェアは、以下のプロセスを追加します。

• wscript %ProgramData%\wetidjks.vbs
• cmd /c ""%ProgramData%\jledshf.bat" "
• powershell -enc {encoded string}
• "%System%\cmd.exe" /c start /B %Windows%\syswow64\rundll32.exe %ProgramData%\vbkwk.dll,dfsgeresd

(註：%ProgramData%フォルダは、マルチユーザーシステムにおいて任意のユーザがプログラムに変更を加えることができるプログラムファイルフォルダのバージョンです。これには、すべてのユーザのアプリケーションデータが含まれます。Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData" です。Windows Server 2003(32-bit)、2000(32-bit)、XPの場合、通常 "C:\Documents and Settings\All Users" です。 . %Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

• http://actividades.{BLOCKED}tlanguages.com/wp-admin/BlkdOKDXL/
• http://{BLOCKED}live.com.br/rjuz/w/
• https://{BLOCKED}x.com/wp-admin/y5Aa1jt0Sp2Qk/
• https://www.{BLOCKED}sons.co.in/abc/Y6Y0fTbUEg6/
• https://biz.{BLOCKED}n.ua/wp-admin/W6agtFSRZGt371dV/
• http://{BLOCKED}vn.site/3yztzzvh/nmY4wZfbYL/
• https://{BLOCKED}kood.com/wp-content/NR/
• https://{BLOCKED}aharajmandir.org/wp-includes/63De/
• https://{BLOCKED}ts.com/wp-includes/Zkj4QO/
• https://{BLOCKED}ahmasinternasional.co.id/wp-admin/SJbxE5I/
• https://{BLOCKED}c.cl/sistemas/3ZbsUAU/
• https://{BLOCKED}lbasateen.com/Fox-C404/mDHkfgebMRzmGKBy/