解析者: Melvin Jhun Palbusa   
 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    スパイウェア/情報窃取型

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 362,496 bytes
タイプ EXE
メモリ常駐 なし
発見日 2024年5月7日
ペイロード URLまたはIPアドレスに接続, ファイルの作成, システム情報の収集, 情報収集

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、以下のファイルを作成します。

  • %Temporary Internet Files%\Content.IE5\{Random Characters}\921e7ad-5b9e-4fca-97e6-c631b2636cc9.txt
  • %Temporary Internet Files%\Content.IE5\{Random Characters}\Up

ダウンロード活動

スパイウェアは、以下のWebサイトにアクセスして自身の環境設定ファイルをダウンロードします。

  • https://{BLOCKED}ommunity.com/profiles/76561199609719039

情報漏えい

スパイウェアは、以下の情報を収集します。

  • Operating System
  • OS architecture
  • Username
  • Number of processor
  • Running processes
  • Time Zone
  • System Driver
  • It gathers credentials from the following:
    • Browser(User Data)
      • Chrome
      • Epic
      • vivaldi
      • Browser360
      • Cococ
      • K-meleon
      • Orbitum
      • Torch
      • Centbrowser
      • Chromium
      • Chedot
      • Kometa
      • Uran
      • Liebao
      • QIP surf
      • Nichrome
      • Chromodo
      • Coowon
      • Citrio
      • Elements Browser
      • ChromePlus
      • Maxthon3
      • Amigo
      • Brave-Browser
      • Microsoft Edge
      • Opera Stable
      • Opera GX Stable
      • Opera Neon
      • Mozilla Firefox
      • BlackHawk
      • Tor Browser
      • Thunderbird
    • Email Clients:
      • Mailbird
      • yMail2
      • Opera Mail
      • TrulyMail
      • Pocomail
      • eM Client
      • The Bat!
      • Pegasus Mail
    • FTPs:
      • FileZilla
      • GoFTP
      • FTPInfo
      • UltraFXP
      • FTP Now
      • DeluxeFTP
      • FTPGetter
      • ALFTP
      • BitKinex
      • FTPBox
      • NppFTP
      • NovaFTP
      • FTPBox
      • BlazeFtp
    • VPNs:
      • NordVPN
      • AzireVPN
    • Instant Messaging Applications:
      • WhatsApp
      • Tox
      • Pidgen
      • Psi\Psi+
      • Signal
    • Password Manager:
      • Total Commander
      • NordPass
      • RoboForm
      • 1Password
    • Other Applications:
      • Snowflakes
      • NetDrive
      • Steed
      • Gmail Notifier Pro
      • MySQL
      • Sticky Notes
      • Notezilla
      • To-Do DeskList
      • Telegram Desktop
    • Browser Extension (e.g. Crypto wallet, Password Managers and Authenticator):
      • Binance Chain Wallet
      • Auro Wallet
      • MEW CX
      • Wombat
      • NeoLine
      • iWallet
      • Polymesh Wallet
      • Yoroi
      • Wallet Guard
      • Temple
      • TezBox
      • ICONex
      • Hana Wallet
      • MetaMask
      • Terra Station
      • Coin98 Wallet
      • Guarda
      • Nabox Wallet
      • Keplr
      • OneKey
      • ZilPay
      • TronLink
      • Ronin Wallet
      • Clover Wallet
      • Coinbase Wallet
      • LeafWallet
      • Phantom
      • Bitget Wallet
      • SafePall Extension Wallet
      • flhbololhdbnkpnnocoifnopcapiekdi - unknown browser extension
      • kkhmbjifakpikpapdiaepgkdephjgnma - unknown browser extension
      • Ledge Live Qoutes
      • ckdjpkejmlgmanmmdfeimelghmdfeobe - unknown browser extension
      • iodngkohgeogpicpibpnaofoeifknfdo - unknown browser extension
      • hnefghmjgbmpkjjfhefnenfnejdjneog - unknown browser extension
      • Keep Key Wallet
      • egdddjbjlcjckiejbbaneobkpgnmpknp - unknown browser extension
      • nihlebdlccjjdejgocpogfpheakkpodb - unknown browser extension
      • ilbibkgkmlkhgnpgflcjdfefbkpehoom - unknown browser extension
      • oiaanamcepbccmdfckijjolhlkfocbgj - unknown browser extension
      • ldpmmllpgnfdjkmhcficcifgoeopnodc - unknown browser extension
      • mbcafoimmibpjgdjboacfhkijdkmjocd - unknown browser extension
      • jbdpelninpfbopdfbppfopcmoepikkgk - unknown browser extension
      • onapnnfmpjmbmdcipllnjmjdjfonfjdm - unknown browser extension
      • cfdldlejlcgbgollnbonjgladpgeogab - unknown browser extension
      • Blocknative Gas Fee Estimator for ETH and MATIC
      • fdfigkbdjmhpdgffnbdbicdmimfikfig - unknown browser extension
      • njojblnpemjkgkchnpbfllpofaphbokk - unknown browser extension
      • hjagdglgahihloifacmhaigjnkobnnih - unknown browser extension
      • RoboForm Password Manager
      • Authenticator
      • Authy
      • Trezor Password Manager
      • EOS Authenticator
      • GAuth Authenticatorp68
      • Bitwarden Password Manager
      • KeePassXC-Browser
      • Dashlane - Password Manager
      • NordPass
      • Keeper Password Manager
      • LastPass: Free Password Manager
      • BrowserPassp
      • MYKI
      • Splikity
      • CommonKey
      • Zoho Vault
      • Adblock Plus
      • kmmkllgcgpldbblpnhghdojehhfafhro - unknown browser extension
      • ibegklajigjlbljkhfpenpfoadebkokl - unknown browser extension
      • ijpdbdidkomoophdnnnfoancpbbmpfcn - unknown browser extension
      • llalnijpibhkmpdamakhgmcagghgmjab - unknown browser extension
      • mjdmgoiobnbombmnbbdllfncjcmopfnc - unknown browser extension
      • ekkhlihjnlmjenikbgmhgjkknoelfped - unknown browser extension
      • jngbikilcgcnfdbmnmnmnleeomffciml - unknown browser extension
      • hcjginnbdlkdnnahogchmeidnmfckjom - unknown browser extension
      • ogphgbfmhodmnmpnaadpbdadldbnmjji - unknown browser extension
      • hhmkpbimapjpajpicehcnmhdgagpfmjc - unknown browser extension
      • ojhpaddibjnpiefjkbhkfiaedepjheca - unknown browser extension
      • fmhjnpmdlhokfidldlglfhkkfhjdmhgl - unknown browser extension
      • gjhohodkpobnogbepojmopnaninookhj - unknown browser extension
      • hmglflngjlhgibbmcedpdabjmcmboamo - unknown browser extension
      • eklfjjkfpbnioclagjlmklgkcfmgmbpg - unknown browser extension
      • OKW Wallet
      • Nifty Wallet
      • EQUA Wallet
      • Jaxx Liberty
      • BitApp Wallet
      • Enkrypt Crypto Wallet
      • GuildWallet
      • Saturn Wallet
      • Rabby Wallet
      • Pontem Aptos Wallet
      • Martian Wallet
      • Nami Wallet
      • Petra Aptos Wallet
      • Sui Wallet
      • Exodus Web3 Wallet
      • SubWallet
      • Polkadot
      • Talisman
      • Crypto.com
      • BitClip
      • Steem Keychain
      • Nash Extension
      • Cyano
      • Byone
      • OneKey
      • UniSat Wallet
      • Zerion Wallet
      • Manta Wallet
      • Fluvi Wallet
      • Fuelet Wallet
      • Leo Wallet
      • Leap Cosmos Wallet
      • Venom Wallet
      • Argent X Starknet Wallet
      • Braavos - Starknet Wallet
      • Shell Wallet
      • Cirus
      • Sender Wallet
      • Pali Wallet
      • Fewcha Move Wallet
      • MultiversX Wallet
      • Leather
      • Carax Wallet
      • Backpack
      • Pockie Wallet
      • Koala Wallet
      • Yeti: Web3.0 Blockchain Wallet
      • BlockWallet
      • Gate Wallet
      • Suiet | Sui Wallet
      • Ethos Sui Wallet
      • Nightly
      • Morphis Wallet
      • Elli - Sui Wallet
      • XDEFI Wallet
      • Typhon Wallet
      • Eternl
      • Lace
      • Fire Wallet
      • Alby
      • Xverse Wallet
      • OsmWallet
      • EVER Wallet
      • KardiaChain Wallet
      • Brave Wallet
      • Oxygen
      • BoltX
      • MultiversX Wallet
      • Keeper Wallet
      • Solflare Wallet
      • Goby
      • Coinhub
      • Frontier Wallet
      • Glass wallet
      • Compass Wallet
      • HAVAH Wallet
      • Magic Eden Wallet

情報収集

スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

  • https:\{BLOCKED}ko.biz

<補足>
インストール

スパイウェアは、以下のファイルを作成します。

  • %Temporary Internet Files%\Content.IE5\{ランダムな文字列}\921e7ad-5b9e-4fca-97e6-c631b2636cc9.txt
  • %Temporary Internet Files%\Content.IE5\{ランダムな文字列}\Up

(註:%Temporary Internet Files%フォルダは、Windows 2000(32-bit)、XP および Server 2003(32-bit) の場合、通常、"C:\Documents and Settings\<ユーザ名>\Local Settings\Temporary Internet Files"、Windows Vista、7 および 2008(64-bit)の場合、"C:\Users\<ユーザ名>\AppData\Local\Microsoft\Windows\Temporary Internet Files"、Windows 8、8.1、2012(64-bit) および 10(64-bit) の場合、"C:\Users\<ユーザ名>\AppData\Local\Microsoft\Windows\INetCache " です。)

情報漏えい

スパイウェアは、以下の情報を収集します。

  • オペレーティングシステム(OS)
  • OSのアーキテクチャ
  • ユーザ名
  • プロセッサ数
  • 実行中のプロセス
  • タイムゾーン
  • システムドライバ
  • 以下の認証情報を収集します。
    • ブラウザ(ユーザデータ)
      • Chrome
      • Epic
      • vivaldi
      • Browser360
      • Cococ
      • K-meleon
      • Orbitum
      • Torch
      • Centbrowser
      • Chromium
      • Chedot
      • Kometa
      • Uran
      • Liebao
      • QIP surf
      • Nichrome
      • Chromodo
      • Coowon
      • Citrio
      • Elements Browser
      • ChromePlus
      • Maxthon3
      • Amigo
      • Brave-Browser
      • Microsoft Edge
      • Opera Stable
      • Opera GX Stable
      • Opera Neon
      • Mozilla Firefox
      • BlackHawk
      • Tor Browser
      • Thunderbird
    • 電子メールクライアント:
      • Mailbird
      • yMail2
      • Opera Mail
      • TrulyMail
      • Pocomail
      • eM Client
      • The Bat!
      • Pegasus Mail
    • FTP:
      • FileZilla
      • GoFTP
      • FTPInfo
      • UltraFXP
      • FTP Now
      • DeluxeFTP
      • FTPGetter
      • ALFTP
      • BitKinex
      • FTPBox
      • NppFTP
      • NovaFTP
      • FTPBox
      • BlazeFtp
    • VPN:
      • NordVPN
      • AzireVPN
    • インスタントメッセージアプリケーション:
      • WhatsApp
      • Tox
      • Pidgen
      • Psi\Psi+
      • Signal
    • パスワードマネージャ:
      • Total Commander
      • NordPass
      • RoboForm
      • 1Password
    • 他のアプリケーション:
      • Snowflakes
      • NetDrive
      • Steed
      • Gmail Notifier Pro
      • MySQL
      • Sticky Notes
      • Notezilla
      • To-Do DeskList
      • Telegram Desktop
    • ブラウザ拡張機能(例:暗号資産⦅仮想通貨⦆ウォレット、パスワードマネージャ、認証システム):
      • Binance Chain Wallet
      • Auro Wallet
      • MEW CX
      • Wombat
      • NeoLine
      • iWallet
      • Polymesh Wallet
      • Yoroi
      • Wallet Guard
      • Temple
      • TezBox
      • ICONex
      • Hana Wallet
      • MetaMask
      • Terra Station
      • Coin98 Wallet
      • Guarda
      • Nabox Wallet
      • Keplr
      • OneKey
      • ZilPay
      • TronLink
      • Ronin Wallet
      • Clover Wallet
      • Coinbase Wallet
      • LeafWallet
      • Phantom
      • Bitget Wallet
      • SafePall Extension Wallet
      • flhbololhdbnkpnnocoifnopcapiekdi - unknown browser extension
      • kkhmbjifakpikpapdiaepgkdephjgnma - unknown browser extension
      • Ledge Live Qoutes
      • ckdjpkejmlgmanmmdfeimelghmdfeobe - unknown browser extension
      • iodngkohgeogpicpibpnaofoeifknfdo - unknown browser extension
      • hnefghmjgbmpkjjfhefnenfnejdjneog - unknown browser extension
      • Keep Key Wallet
      • egdddjbjlcjckiejbbaneobkpgnmpknp - unknown browser extension
      • nihlebdlccjjdejgocpogfpheakkpodb - unknown browser extension
      • ilbibkgkmlkhgnpgflcjdfefbkpehoom - unknown browser extension
      • oiaanamcepbccmdfckijjolhlkfocbgj - unknown browser extension
      • ldpmmllpgnfdjkmhcficcifgoeopnodc - unknown browser extension
      • mbcafoimmibpjgdjboacfhkijdkmjocd - unknown browser extension
      • jbdpelninpfbopdfbppfopcmoepikkgk - unknown browser extension
      • onapnnfmpjmbmdcipllnjmjdjfonfjdm - unknown browser extension
      • cfdldlejlcgbgollnbonjgladpgeogab - unknown browser extension
      • Blocknative Gas Fee Estimator for ETH and MATIC
      • fdfigkbdjmhpdgffnbdbicdmimfikfig - unknown browser extension
      • njojblnpemjkgkchnpbfllpofaphbokk - unknown browser extension
      • hjagdglgahihloifacmhaigjnkobnnih - unknown browser extension
      • RoboForm Password Manager
      • Authenticator
      • Authy
      • Trezor Password Manager
      • EOS Authenticator
      • GAuth Authenticatorp68
      • Bitwarden Password Manager
      • KeePassXC-Browser
      • Dashlane - Password Manager
      • NordPass
      • Keeper Password Manager
      • LastPass: Free Password Manager
      • BrowserPassp
      • MYKI
      • Splikity
      • CommonKey
      • Zoho Vault
      • Adblock Plus
      • kmmkllgcgpldbblpnhghdojehhfafhro - unknown browser extension
      • ibegklajigjlbljkhfpenpfoadebkokl - unknown browser extension
      • ijpdbdidkomoophdnnnfoancpbbmpfcn - unknown browser extension
      • llalnijpibhkmpdamakhgmcagghgmjab - unknown browser extension
      • mjdmgoiobnbombmnbbdllfncjcmopfnc - unknown browser extension
      • ekkhlihjnlmjenikbgmhgjkknoelfped - unknown browser extension
      • jngbikilcgcnfdbmnmnmnleeomffciml - unknown browser extension
      • hcjginnbdlkdnnahogchmeidnmfckjom - unknown browser extension
      • ogphgbfmhodmnmpnaadpbdadldbnmjji - unknown browser extension
      • hhmkpbimapjpajpicehcnmhdgagpfmjc - unknown browser extension
      • ojhpaddibjnpiefjkbhkfiaedepjheca - unknown browser extension
      • fmhjnpmdlhokfidldlglfhkkfhjdmhgl - unknown browser extension
      • gjhohodkpobnogbepojmopnaninookhj - unknown browser extension
      • hmglflngjlhgibbmcedpdabjmcmboamo - unknown browser extension
      • eklfjjkfpbnioclagjlmklgkcfmgmbpg - unknown browser extension
      • OKW Wallet
      • Nifty Wallet
      • EQUA Wallet
      • Jaxx Liberty
      • BitApp Wallet
      • Enkrypt Crypto Wallet
      • GuildWallet
      • Saturn Wallet
      • Rabby Wallet
      • Pontem Aptos Wallet
      • Martian Wallet
      • Nami Wallet
      • Petra Aptos Wallet
      • Sui Wallet
      • Exodus Web3 Wallet
      • SubWallet
      • Polkadot
      • Talisman
      • Crypto.com
      • BitClip
      • Steem Keychain
      • Nash Extension
      • Cyano
      • Byone
      • OneKey
      • UniSat Wallet
      • Zerion Wallet
      • Manta Wallet
      • Fluvi Wallet
      • Fuelet Wallet
      • Leo Wallet
      • Leap Cosmos Wallet
      • Venom Wallet
      • Argent X Starknet Wallet
      • Braavos - Starknet Wallet
      • Shell Wallet
      • Cirus
      • Sender Wallet
      • Pali Wallet
      • Fewcha Move Wallet
      • MultiversX Wallet
      • Leather
      • Carax Wallet
      • Backpack
      • Pockie Wallet
      • Koala Wallet
      • Yeti: Web3.0 Blockchain Wallet
      • BlockWallet
      • Gate Wallet
      • Suiet | Sui Wallet
      • Ethos Sui Wallet
      • Nightly
      • Morphis Wallet
      • Elli - Sui Wallet
      • XDEFI Wallet
      • Typhon Wallet
      • Eternl
      • Lace
      • Fire Wallet
      • Alby
      • Xverse Wallet
      • OsmWallet
      • EVER Wallet
      • KardiaChain Wallet
      • Brave Wallet
      • Oxygen
      • BoltX
      • MultiversX Wallet
      • Keeper Wallet
      • Solflare Wallet
      • Goby
      • Coinhub
      • Frontier Wallet
      • Glass wallet
      • Compass Wallet
      • HAVAH Wallet
      • Magic Eden Wallet

  対応方法

対応検索エンジン: 9.800
初回 VSAPI パターンバージョン 19.356.04
初回 VSAPI パターンリリース日 2024年5月22日
VSAPI OPR パターンバージョン 19.357.00
VSAPI OPR パターンリリース日 2024年5月23日

手順 1

トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。

     
    • TROJ.Win32.TRX.XXPE50FFF080

手順 2

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 3

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 4

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %Temporary Internet Files%\Content.IE5\{Random Characters}\8921e7ad-5b9e-4fca-97e6-c631b2636cc9.txt
  • %Temporary Internet Files%\Content.IE5\{Random Characters}\up

手順 5

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TrojanSpy.Win32.ACRSTEALER.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください