TrojanSpy.Win32.FORMBOOK.SHKL

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。 スパイウェアは、特定のWebサイトにアクセスし、情報を送受信します。

スパイウェアは、ユーザのキー入力操作情報を記録し、情報を収集します。

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、以下のフォルダを追加します。

• %User Temp%\nsf{4 random characters}.tmp

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

スパイウェアは、異なるファイル名を用いて以下のフォルダ内に自身のコピーを作成します。

• %Program Files%\{Random}\{Random}.exe

(註：%Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。C:\Program Files in Windows 2000(32-bit)、Server 2003(32-bit)、XP、Vista(64-bit)、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)、8.1(64-bit)、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files（x86）" です。)

スパイウェアは、以下のファイルを作成します。

• %User Temp%\tvpqfrc5b5q
• %User Temp%\rtjansgcaru
• %User Temp%\nsf{4 random characters}.tmp\System.dll

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

スパイウェアは、以下のプロセスを追加します。

• {Malware Full Path}

スパイウェアは、以下のプロセスにコードを組み込みます。

• {Malware Full Path}
• explorer.exe
• Any of the following legitimate Windows applications (Spawned by the hijacked explorer.exe):
  • audiodg.exe
  • autochk.exe
  • autoconv.exe
  • autofmt.exe
  • chkdsk.exe
  • cmd.exe
  • cmmon32.exe
  • cmstp.exe
  • colorcpl.exe
  • control.exe
  • cscript.exe
  • dwm.exe
  • help.exe
  • ipconfig.exe
  • lsass.exe
  • lsm.exe
  • msdt.exe
  • msg.exe
  • msiexec.exe
  • mstsc.exe
  • napstat.exe
  • nbtstat.exe
  • netsh.exe
  • netstat.exe
  • raserver.exe
  • rdpclip.exe
  • rundll32.exe
  • services.exe
  • spoolsv.exe
  • svchost.exe
  • systray.exe
  • taskhost.exe
  • wininit.exe
  • wlanext.exe
  • wscript.exe
  • wuapp.exe
  • wuauclt.exe
  • wwahost.exe
• {Targeted Applications}

スパイウェアは、感染コンピュータ上のメモリに以下のプロセスを確認すると、自身を終了します。

• vmwareuser.exe
• vmwareservice.exe
• vboxservice.exe
• vboxtray.exe
• sandboxiedcomlaunch.exe
• sandboxierpcss.exe
• procmon.exe
• filemon.exe
• wireshark.exe
• netmon.exe
• SharedIntApp.exe
• vmsrvc.exe
• vmusrvc.exe
• python.exe
• perl.exe
• regmon.exe

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{Random Characters} = %Program Files%\{Random}\{Random}.exe

バックドア活動

スパイウェアは、不正リモートユーザからの以下のコマンドを実行します。

• Download and execute a file
• Update Self
• Uninstall Self
• Execute Arbitrary Commands
• Clear cookies
• Reboot System
• Shutdown System
• Send gathered data to C2 Server

スパイウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• http://www.{BLOCKED}demo.net/pb93/
• http://www.{BLOCKED}straders.com/pb93/
• http://www.{BLOCKED}zworldwidepartners.sucks/pb93/
• http://www.{BLOCKED}adingltd.com/pb93/
• http://www.{BLOCKED}lexcellencefitness.com/pb93/
• http://www.{BLOCKED}nandmary.com/pb93/
• http://www.{BLOCKED}ritic.com/pb93/
• http://www.{BLOCKED}fredag.com/pb93/
• http://www.{BLOCKED}ipe.com/pb93/
• http://www.{BLOCKED}alwomen.com/pb93/
• http://www.{BLOCKED}i.com/pb93/
• http://www.{BLOCKED}ngservices.net/pb93/
• http://www.{BLOCKED}hoes.com/pb93/
• http://www.{BLOCKED}mpionz.com/pb93/
• http://www.{BLOCKED}owinggenius.com/pb93/
• http://www.{BLOCKED}upersport.com/pb93/
• http://www.{BLOCKED}rowz.com/pb93/
• http://www.{BLOCKED}tionsystems.net/pb93/
• http://www.{BLOCKED}digitais.life/pb93/
• http://www.{BLOCKED}ite.com/pb93/
• http://www.{BLOCKED}3.info/pb93/
• http://www.{BLOCKED}gisthenewblack.com/pb93/
• http://www.{BLOCKED}eaven.com/pb93/
• http://www.{BLOCKED}ld.com/pb93/
• http://www.{BLOCKED}rtechia.net/pb93/
• http://www.{BLOCKED}nglife.com/pb93/
• http://www.{BLOCKED}llstudent.com/pb93/
• http://www.{BLOCKED}western.com/pb93/
• http://www.{BLOCKED}hengxi.com/pb93/

情報漏えい

スパイウェアは、以下の情報を収集します。

• Username
• CRC32 of SID
• Operating System
• Captured Screenshots
• Clipboard and keylogged data from Targeted Applications:
  • Browsers:
    • 360 Browser
    • Avant
    • Baidu
    • BlackHawk
    • Browzar
    • Canary
    • Chrome
    • Chromium
    • Citrio
    • Comodo Dragon
    • Comodo IceDragon
    • CoolNovo
    • Coowon
    • CyberFox
    • Deepnet
    • Dooble
    • Epic
    • Firefox
    • Internet Explorer
    • Iridium
    • KMeleon
    • Lunascape
    • Maxthon
    • Microsoft Edge
    • Midori
    • Mustang
    • Opera
    • Orbitum
    • PaleMoon
    • QTWeb
    • QupZilla
    • Rambler
    • Safari
    • SafeZone
    • ScriptFTP
    • SeaMonkey
    • Sleipnir
    • Superbird
    • Titan
    • Tor Browser
    • Torch
    • UC Browser
    • Vivaldi
    • Waterfox
    • Yandex
  • Mail Clients:
    • Barca
    • Foxmail
    • GMail
    • Incredimail
    • Microsoft Outlook
    • Mozilla Thunderbird
    • Opera Mail
  • FTP Clients:
    • 3DFTP
    • AbsoluteTelnet
    • ALFTP
    • BitKinex
    • CoreFTP
    • Far File Manager
    • FileZilla
    • FlashFXP
    • Fling FTP
    • LeechFTP
    • NCFTP
    • SmartFTP
    • Total Commander
    • WebDrive
    • WinSCP
  • Instant Messaging (IM) Applications:
    • ICQ Messenger
    • Pidgin
    • Skype
    • Trillian
    • WhatsApp
    • Yahoo Messenger

スパイウェアは、ユーザのキー入力操作情報を記録し、情報を収集します。

その他

スパイウェアは、以下を実行します。

• It terminates itself if the loaded DLLs has the following strings in their filepath:
  • \cuckoo\
  • \sandcastle\
  • \aswsnx\
  • \sandbox\
  • \smpdir\
  • \samroot\
  • \avctestsuite\
• It terminates itself if its filename has a length greater than or equal to 32 characters

スパイウェアは、以下のいずれかのユーザ名が感染コンピュータで確認される場合、自身を終了します。

• cuckoo
• sandbox-
• nmsdbox-
• xxxx-ox-
• cwsx-
• wilbert-sc
• xpamast-sc