TrojanSpy.VBS.URSNIF.AA

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェアは、実行後、自身を削除します。

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、以下のプロセスを追加します。

• During debugger mode:
  • calc.exe
• During Non-debugger mode:
  • rundll32 %User Temp%\climate.ogm,DllRegisterServer

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

スパイウェアは、実行後、自身を削除します。

スパイウェアは、感染コンピュータ上のメモリに以下のプロセスを確認すると、自身を終了します。

• frida-winjector-helper-64.exe
• frida-winjector-helper-32.exe
• pythonw.exe
• pyw.exe
• cmdvirth.exe
• alive.exe
• filewatcherservice.exe
• ngvmsvc.exe
• sandboxierpcss.exe
• analyzer.exe
• fortitracer.exe
• nsverctl.exe
• sbiectrl.exe
• angar2.exe
• goatcasper.exe
• ollydbg.exe
• sbiesvc.exe
• apimonitor.exe
• GoatClientApp.exe
• peid.exe
• scanhost.exe
• apispy.exe
• hiew32.exe
• perl.exe
• scktool.exe
• apispy32.exe
• hookanaapp.exe
• petools.exe
• sdclt.exe
• asura.exe
• hookexplorer.exe
• pexplorer.exe
• sftdcc.exe
• autorepgui.exe
• httplog.exe
• ping.exe
• shutdownmon.exe
• autoruns.exe
• icesword.exe
• pr0c3xp.exe
• sniffhit.exe
• autorunsc.exe
• iclicker-release.exe
• .exe
• prince.exe
• snoop.exe
• autoscreenshotter.exe
• idag.exe
• procanalyzer.exe
• spkrmon.exe
• avctestsuite.exe
• idag64.exe
• processhacker.exe
• sysanalyzer.exe
• avz.exe
• idaq.exe
• processmemdump.exe
• syser.exe
• behaviordumper.exe
• immunitydebugger.exe
• procexp.exe
• systemexplorer.exe
• bindiff.exe
• importrec.exe
• procexp64.exe
• systemexplorerservice.exe
• BTPTrayIcon.exe
• imul.exe
• procmon.exe
• sython.exe
• capturebat.exe
• Infoclient.exe
• procmon64.exe
• taskmgr.exe
• cdb.exe
• installrite.exe
• python.exe
• taslogin.exe
• ipfs.exe
• tcpdump.exe
• clicksharelauncher.exe
• iprosetmonitor.exe
• qq.exe
• tcpview.exe
• closepopup.exe
• iragent.exe
• qqffo.exe
• timeout.exe
• commview.exe
• iris.exe
• qqprotect.exe
• totalcmd.exe
• cports.exe
• joeboxcontrol.exe
• qqsg.exe
• trojdie.kvpcrossfire.exe
• joeboxserver.exe
• raptorclient.exe
• txplatform.exe
• dnf.exe
• lamer.exe
• regmon.exe
• virus.exe
• dsniff.exe
• LogHTTP.exe
• regshot.exe
• vx.exe
• dumpcap.exe
• lordpe.exe
• RepMgr64.exe
• winalysis.exe
• emul.exe
• malmon.exe
• RepUtils32.exe
• winapioverride32.exe
• ethereal.exe
• mbarun.exe
• RepUx.exe
• windbg.exe
• ettercap.exe
• mdpmon.exe
• runsample.exe
• windump.exe
• fakehttpserver.exe
• mmr.exe
• samp1e.exe
• winspy.exe
• fakeserver.exe
• sample.exe
• wireshark.exe
• Fiddler.exe
• multipot.exe
• sandboxiecrypto.exe
• XXX.exe
• filemon.exe
• netsniffer.exe
• sandboxiedcomlaunch.exe

作成活動

スパイウェアは、以下のファイルを作成します。

• %User Temp%\adobe.url → a shortcut targeting https://adobe.com
• %User Temp%\climate.ogm

情報漏えい

スパイウェアは、以下の情報を収集します。

• Computer name
• OS information (name, version)
• Execution time
• Username

情報収集

スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

• http://{BLOCKED}.{BLOCKED}einov.com/{Random characters}
• http://{BLOCKED}.{BLOCKED}are.com/{Random characters}
• http://{BLOCKED}.{BLOCKED}nady.com/{Random characters}
• http://{BLOCKED}.{BLOCKED}torna.com/{Random characters}

その他

スパイウェアは、以下を実行します。

• It has two modes:
  • Debugger mode
    • A file %User Profile%\Downloads\33855.txt must exists
    • File name must contain "33855"
  • Non-debugger mode
• Terminates and delete itself if any of the following conditions are met:
  • Total disk size is less than 50 Gb
  • Total physical memory (RAM) is less than 1030 Mb
  • Processor's number of cores is less than 3
  • Debugger and/or analysis tools/softwares are found running in machine
  • Number of files in %User Profile%\Downloads is less than 3
  • Number of files in %User Temp% is less than 3
  • Last Boot Up time is less than 10 minutes ago
• During Debugger mode, it does the following exclusively:
  • Display message boxes that contains strings that varies relative to the execution's progress.
  • It does not terminate and delete itself even if the conditions are met.
• It displays a fake error containing the following strings:
  • "Cant start because MSVCR101.dll is missing from your computer. Try reinstalling the program to fix this problem."

(註：%User Profile%フォルダは、現在ログオンしているユーザのプロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞" です。. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

<補足>
インストール

スパイウェアは、以下のプロセスを追加します。

• デバッガモード中の場合：
  • calc.exe
• 非デバッガモード中の場合：
  • rundll32 %User Temp%\climate.ogm,DllRegisterServer

作成活動

スパイウェアは、以下のファイルを作成します。

• %User Temp%\adobe.url → https://adobe.comに対するショートカット
• %User Temp%\climate.ogm

情報漏えい

スパイウェアは、以下の情報を収集します。

• コンピュータ名
• OS（オペレーティングシステム）情報 (名前, バージョン)
• 実行時間
• ユーザ名

情報収集

スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

• http://{BLOCKED}.{BLOCKED}einov.com/{ランダムな文字}
• http://{BLOCKED}.{BLOCKED}are.com/{ランダムな文字}
• http://{BLOCKED}.{BLOCKED}nady.com/{ランダムな文字}
• http://{BLOCKED}.{BLOCKED}torna.com/{ランダムな文字}

その他

スパイウェアは、以下を実行します。

• スパイウェアは、2つのモードを備えています。
  • デバッガモード
    • ファイル「%User Profile%\Downloads\33855.txt」 が存在していなければなりません。
    • ファイル名には「33855」が含まれていなければなりません。
  • 非デバッガモード
• 以下のいずれかの条件が満たされた場合、自身を終了して削除します。
  • 合計ディスクサイズが 50 Gb 未満の場合
  • 合計物理メモリ (RAM) が 1030 Mb 未満の場合
  • プロセッサのコア数が 3コア 未満の場合
  • デバッガおよび/または分析ツール/ソフトウェアが感染コンピュータ内で実行されていることを確認した場合
  • %User Profile%\Downloads 内のファイル数が 3 つ未満の場合
  • %User Temp%内のファイル数が 3 つ未満の場合
  • 前回の起動時間が10 分未満の場合
• デバッガモードでは、以下を実行します。
  • 実行の進行状況に応じて変化する文字列を含むメッセージボックスを表示します。
  • 上記の条件が満たされた場合でも、自身を終了して削除することはありません。
• スパイウェアは、以下の文字列を含む偽のエラーを表示します。
  • "Cant start because MSVCR101.dll is missing from your computer. Try reinstalling the program to fix this problem."