解析者: Bryelle Timothy Nisperos   
 別名:

Trojan:Win32/Leonem (MICROSOFT), UDS:Trojan-PSW.Win32.Agensla.gen (KASPERSKY)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    スパイウェア/情報窃取型

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

感染経路 他のマルウェアからの作成

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェアは、特定のWebサイトにアクセスし、情報を送受信します。

  詳細

ファイルサイズ 395,349 bytes
タイプ EXE
メモリ常駐 はい
発見日 2023年2月23日
ペイロード ファイルの作成, 情報収集, URLまたはIPアドレスに接続

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、以下のファイルを作成し実行します。

  • %User Temp%\whgovv.ze
  • %User Temp%\niiprb.hb
  • %User Temp%\cyazhw.exe

(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)

バックドア活動

スパイウェアは、以下のWebサイトにアクセスし、情報を送受信します。

  • {BLOCKED}pertsconsultgh.co

情報漏えい

スパイウェアは、以下の情報を収集します。

  • It gathers information from:
    • Current Time
    • Username
    • Computer Name
    • OS Version
    • CPU Architecture
    • Ram


    • Browsers
      • 7Star
      • Amigo
      • BlackHawk
      • Brave Browser
      • CentBrowser
      • Chedot
      • Chrome
      • Chromium
      • Citrio
      • Cốc Cốc Browser
      • Coowon
      • Cyberfox
      • Dragon
      • Elements Browser
      • Epic Privacy Browser
      • Falkon
      • Flock
      • Icecat
      • IceDragon
      • Iridium
      • K-Meleon
      • Kometa
      • Liebao
      • MapleStudio
      • Microsoft Edge
      • Mozilla Firefox
      • Opera Software
      • Orbitum
      • Pale Moon
      • QIP Surf
      • QQBrowser
      • Sleipnir
      • Sputnik
      • Torch
      • UCBrowser
      • Uran
      • Vivaldi
      • Waterfox
      • Yandex
    • Emails
      • Becky!
      • Claws-mail
      • eM Client
      • Eudora
      • Foxmail
      • Incredimail
      • Mailbird
      • Opera Mail
      • Outlook
      • Pocomail
      • Postbox
      • The Bat!
      • Thunderbird
    • FTPs
      • cftp
      • COREFTP
      • FileZilla
      • FlashFXP
      • FTP Commander
      • FTP Commander Deluxe
      • FTP Navigator
      • FTPGetter
      • SmartFTP
      • WinSCP
      • WS_FTP
    • VPNs
      • NordVPN
      • OpenVPN
      • Private Internet Access
    • VNCs
      • RealVNC
      • TightVNC
      • TigerVNC
      • UltraVNC
    • Instant Messaging Applications
      • Discord
      • Psi/Psi+
      • Trillian
    • Others
      • JDownloader 2.0
      • MySQL Workbench
      • Windows Credentials
      • Windows Vault

その他

スパイウェアは、以下を実行します。

    • It sends gathered information via email having the following details:
      • From: {BLOCKED}@expertsconsultgh.co
        To: {BLOCKED}31@gmail.com
        Subject: PW_{BLOCKED}_764/{BLOCKEd}N7-X64
        Body:
        Time: 03/06/2023 13:07:01
        User Name: {BLOCKED}er_764
        Computer Name: {BLOCKED}N7-X64
        OSFullName: Microsoft Windows 7 Professional
        CPU: Intel(R) Core(TM) i5-7500 CPU @ 3.40GHz
        RAM: 1023.49 MB
        Host: https://{BLOCKED}le.com/signin/v2/challenge/pwd
        Username: {BLOCKED}atzowak@gmail.com
        Password: {BLOCKED}20
        Application: Chrome

  対応方法

対応検索エンジン: 9.800
初回 VSAPI パターンバージョン 18.296.02
初回 VSAPI パターンリリース日 2023年3月6日
VSAPI OPR パターンバージョン 18.297.00
VSAPI OPR パターンリリース日 2023年3月7日

手順 1

トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。

手順 2

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 3

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %User Temp%whgovv.ze
  • %User Temp%niiprb.hb
  • %User Temp%cyazhw.exe

手順 4

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TrojanSpy.Win32.NEGASTEAL.DYSHFX」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください