TrojanSpy.Win32.QAKBOT.TIGOCEY
Trojan:Win32/Qakbot.MK!MTB (MICROSOFT); Trojan-Banker.Win32.Qbot.yfn (KASPERSKY)
Windows
マルウェアタイプ:
スパイウェア/情報窃取型
破壊活動の有無:
なし
暗号化:
はい
感染報告の有無 :
はい
概要
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
スパイウェアは、以下のファイルを作成します。
- {Malware File Path}\{Random characters}.dat
- %User Temp%\~{File name that ran explorer.exe}.tmp
(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)
スパイウェアは、以下のプロセスを追加します。
- "%System%\cmd.exe" /c ping.exe -n 6 127.0.0.1 & type "%System%\calc.exe" > {Malware File Path}\{Malware File Name}.exe" - replace malware to calc.exe
- %Windows%\explorer.exe (%System%\mobsync.exe or %Program Files%\Internet Explorer\iexplore.exe if not found)
- "%System%\schtasks.exe" /create /tn {GUID} /tr "\{Malware File Path}\{Malware File Name}.exe\"" /sc HOURLY /mo 5 /F
- {Malware File Path}\{Malware File Name}.exe /W
- whoami /all
- cmd /c set
- arp -a
- ipconfig /all
- net view /all
- nslookup -querytype=ALL -timeout=10 _ldap._tcp.dc._msdcs.WORKGROUP
- nltest /domain_trusts /all_trusts
- net share
- %System%\net1 share
- route print
- netstat -nao
- net localgroup
- %System%\net1 localgroup
- qwinsta
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。C:\Program Files in Windows 2000(32-bit)、Server 2003(32-bit)、XP、Vista(64-bit)、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)、8.1(64-bit)、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files(x86)" です。)
スパイウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- Global\{GUID}
スパイウェアは、以下のプロセスにコードを組み込みます。
- spawned %Windows%\explorer.exe (%System%\mobsync.exe or %Program Files%\Internet Explorer\iexplore.exe if not found)
(註:%Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。C:\Program Files in Windows 2000(32-bit)、Server 2003(32-bit)、XP、Vista(64-bit)、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)、8.1(64-bit)、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files(x86)" です。)
自動実行方法
スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{Random characters} = {Malware File Path}\{Malware File Name}.exe
プロセスの終了
スパイウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。
- MicrosoftEdge.exe
情報漏えい
トロイの木馬化されたアプリケーションが実行されると、[Malware]は、以下の情報を収集します。
- Operating system information
- Processor information
- Installed antivirus products
- Running processes
- Computer name
- User name
- IP address
情報収集
スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。
- {BLOCKED}.{BLOCKED}.22.159:2222/t3
- {BLOCKED}.{BLOCKED}.88.222:443/t3
- {BLOCKED}.{BLOCKED}.236.101:443/t3
- {BLOCKED}.{BLOCKED}.125.94:443/t3
- {BLOCKED}.{BLOCKED}.145.30:443/t3
- {BLOCKED}.{BLOCKED}.39.68:443/t3
- {BLOCKED}.{BLOCKED}.204.229:2222/t3
- {BLOCKED}.{BLOCKED}.94.165:2222/t3
- {BLOCKED}.{BLOCKED}.12.148:443/t3
- {BLOCKED}.{BLOCKED}.124.211:443/t3
- {BLOCKED}.{BLOCKED}.95.167:443/t3
- {BLOCKED}.{BLOCKED}.99.107:443/t3
- {BLOCKED}.{BLOCKED}.27.132:443/t3
- {BLOCKED}.{BLOCKED}.230.139:443/t3
- {BLOCKED}.{BLOCKED}.231.53:443/t3
- {BLOCKED}.{BLOCKED}.101.20:443/t3
- {BLOCKED}.{BLOCKED}.99.97:2222/t3
- {BLOCKED}.{BLOCKED}.99.97:443/t3
- {BLOCKED}.{BLOCKED}.99.97:995/t3/t3
- {BLOCKED}.{BLOCKED}.137.121:443/t3
- {BLOCKED}.{BLOCKED}.170.226:995/t3
- {BLOCKED}.{BLOCKED}.217.62:443/t3
- {BLOCKED}.{BLOCKED}.157.235:443/t3
- {BLOCKED}.{BLOCKED}.247.197:443/t3
- {BLOCKED}.{BLOCKED}.150.134:443/t3
- {BLOCKED}.{BLOCKED}.32.182:443/t3
- {BLOCKED}.{BLOCKED}.131.233:443/t3
- {BLOCKED}.{BLOCKED}.221.77:2222/t3
- {BLOCKED}.{BLOCKED}.9.69:995/t3
- {BLOCKED}.{BLOCKED}.162.109:443/t3
- {BLOCKED}.{BLOCKED}.32.167:443/t3
- {BLOCKED}.{BLOCKED}.201.0:443/t3
- {BLOCKED}.{BLOCKED}.189.64:443/t3
- {BLOCKED}.{BLOCKED}.8.10:443/t3
- {BLOCKED}.{BLOCKED}.8.10:995/t3
- {BLOCKED}.{BLOCKED}.207.111:443/t3
- {BLOCKED}.{BLOCKED}.154.132:443/t3
- {BLOCKED}.{BLOCKED}.110.165:995/t3
- {BLOCKED}.{BLOCKED}.160.202:995/t3
- {BLOCKED}.{BLOCKED}.204.198:443/t3
- {BLOCKED}.{BLOCKED}.35.226:2222/t3
- {BLOCKED}.{BLOCKED}.16.80:443/t3
- {BLOCKED}.{BLOCKED}.22.145:443/t3
- {BLOCKED}.{BLOCKED}.78.140:2222/t3
- {BLOCKED}.{BLOCKED}.110.49:2078/t3
- {BLOCKED}.{BLOCKED}.143.154:2222/t3
- {BLOCKED}.{BLOCKED}.244.155:443/t3
- {BLOCKED}.{BLOCKED}.29.248:995/t3
- {BLOCKED}.{BLOCKED}.89.119:995/t3
- {BLOCKED}.{BLOCKED}.153.24:443/t3
- {BLOCKED}.{BLOCKED}.202.106:2222/t3
- {BLOCKED}.{BLOCKED}.127.64:443/t3
- {BLOCKED}.{BLOCKED}.3.15:995/t3
- {BLOCKED}.{BLOCKED}.70.216:443/t3
- {BLOCKED}.{BLOCKED}.75.201:443/t3
- {BLOCKED}.{BLOCKED}.107.59:995/t3
- {BLOCKED}.{BLOCKED}.54.140:32100/t3
- {BLOCKED}.{BLOCKED}.13.33:7000/t3
- {BLOCKED}.{BLOCKED}.76.62:995/t3
- {BLOCKED}.{BLOCKED}.82.216:2222/t3
- {BLOCKED}.{BLOCKED}.129.73:443/t3
- {BLOCKED}.{BLOCKED}.21.66:443/t3
- {BLOCKED}.{BLOCKED}.152.122:2222/t3
- {BLOCKED}.{BLOCKED}.133.110:443/t3
- {BLOCKED}.{BLOCKED}.222.192:995/t3
- {BLOCKED}.{BLOCKED}.61.193:995/t3
- {BLOCKED}.{BLOCKED}.16.176:443/t3
- {BLOCKED}.{BLOCKED}.131.156:443/t3
- {BLOCKED}.{BLOCKED}.131.166:443/t3
- {BLOCKED}.{BLOCKED}.13.128:8443
- {BLOCKED}.{BLOCKED}.93.43:443/t3
- {BLOCKED}.{BLOCKED}.229.219:995/t3
- {BLOCKED}.{BLOCKED}.216.64:995/t3
- {BLOCKED}.{BLOCKED}.154.10:443/t3
- {BLOCKED}.{BLOCKED}.162.253:443/t3
- {BLOCKED}.{BLOCKED}.165.134:443/t3
- {BLOCKED}.{BLOCKED}.104.123:443/t3
- {BLOCKED}.{BLOCKED}.107.192:2222/t3
- {BLOCKED}.{BLOCKED}.107.192:443/t3
- {BLOCKED}.{BLOCKED}.107.192:995/t3
- {BLOCKED}.{BLOCKED}.200.182:443/t3
- {BLOCKED}.{BLOCKED}.39.147:443/t3
- {BLOCKED}.{BLOCKED}.148.6:443/t3
- {BLOCKED}.{BLOCKED}.78.73:443/t3
- {BLOCKED}.{BLOCKED}.217.98:443/t3
- {BLOCKED}.{BLOCKED}.26.97:2222/t3
- {BLOCKED}.{BLOCKED}.225.109:443/t3
- {BLOCKED}.{BLOCKED}.112.90:443/t3
- {BLOCKED}.{BLOCKED}.55.69:443/t3
- {BLOCKED}.{BLOCKED}.21.147:995/t3
- {BLOCKED}.{BLOCKED}.38.231:443/t3
- {BLOCKED}.{BLOCKED}.67.114:995/t3
- {BLOCKED}.{BLOCKED}.22.219:995/t3
- {BLOCKED}.{BLOCKED}.26.73:443/t3
- {BLOCKED}.{BLOCKED}.157.208:443/t3
- {BLOCKED}.{BLOCKED}.244.199:2222/t3
- {BLOCKED}.{BLOCKED}.244.199:2222
- {BLOCKED}.{BLOCKED}.15.223:443/t3
- {BLOCKED}.{BLOCKED}.192.69:443/t3
- {BLOCKED}.{BLOCKED}.142.48:995/t3
- {BLOCKED}.{BLOCKED}.22.180:443/t3
- {BLOCKED}.{BLOCKED}.170.235:443/t3
- {BLOCKED}.{BLOCKED}.177.20:443/t3
- {BLOCKED}.{BLOCKED}.211.125:443/t3
- {BLOCKED}.{BLOCKED}.59.46:2222
- {BLOCKED}.{BLOCKED}.59.46:2222/t3
- {BLOCKED}.{BLOCKED}.10.38:443/t3
- {BLOCKED}.{BLOCKED}.229.107:995/t3
- {BLOCKED}.{BLOCKED}.26.119:443/t3
- {BLOCKED}.{BLOCKED}.122.35:443/t3
- {BLOCKED}.{BLOCKED}.40.155:443/t3
- {BLOCKED}.{BLOCKED}.149.74:443/t3
- {BLOCKED}.{BLOCKED}.115.83:6881
- {BLOCKED}.{BLOCKED}.199.79:443/t3
- {BLOCKED}.{BLOCKED}.68.188:2222
- {BLOCKED}.{BLOCKED}.26.240:443/t3
- {BLOCKED}.{BLOCKED}.209.42:2222/t3
- {BLOCKED}.{BLOCKED}.26.178:443/t3
- {BLOCKED}.{BLOCKED}.234.36:2222/t3
- {BLOCKED}.{BLOCKED}.181.168:2222/t3
- {BLOCKED}.{BLOCKED}.126.173:2222/t3
- {BLOCKED}.{BLOCKED}.154.100:443/t3
- {BLOCKED}.{BLOCKED}.125.209:2222/t3
- {BLOCKED}.{BLOCKED}.125.209:990/t3
- {BLOCKED}.{BLOCKED}.12.0:2222/t3
- {BLOCKED}.{BLOCKED}.176.32:443/t3
- {BLOCKED}.{BLOCKED}.252.202:2222/t3
- {BLOCKED}.{BLOCKED}.246.127:2222/t3
- {BLOCKED}.{BLOCKED}.82.116:20/t3
- {BLOCKED}.{BLOCKED}.30.56:2222/t3
- {BLOCKED}.{BLOCKED}.162.141:2222/t3
- {BLOCKED}.{BLOCKED}.145.152:2222/t3
- {BLOCKED}.{BLOCKED}.110.90:2222/t3
- {BLOCKED}.{BLOCKED}.39.108:443/t3
- {BLOCKED}.{BLOCKED}.211.239:443/t3
- {BLOCKED}.{BLOCKED}.117.122:2222/t3
- {BLOCKED}.{BLOCKED}.83.96:1194/t3
- {BLOCKED}.{BLOCKED}.35.196:2083/t3
- {BLOCKED}.{BLOCKED}.125.232:2222/t3
- {BLOCKED}.{BLOCKED}.177.152:443/t3
- {BLOCKED}.{BLOCKED}.252.177:995/t3
- {BLOCKED}.{BLOCKED}.160.116:443/t3
- {BLOCKED}.{BLOCKED}.68.72:443/t3
- {BLOCKED}.{BLOCKED}.112.148:2222/t3
- {BLOCKED}.{BLOCKED}.247.224:443/t3
- {BLOCKED}.{BLOCKED}.144.238:443/t3
- {BLOCKED}.{BLOCKED}.251.127:2222/t3
- {BLOCKED}.{BLOCKED}.198.161:443/t3
- {BLOCKED}.{BLOCKED}.93.96:443/t3
その他
スパイウェアは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。
- www.ip-adress.com
スパイウェアは、以下を実行します。
- It checks the presence of the following Anti-Virus and Security Applications:
- AvastSvc.exe
- avgcsrva.exe
- avgcsrvx.exe
- avgsvcx.exe
- avp.exe
- bdagent.exe
- ByteFence.exe
- ccSvcHst.exe
- cmdagent.exe
- coreServiceShell.exe
- egui.exe
- ekrn.exe
- fmon.exe
- fshoster32.exe
- isesrv.exe
- kavtray.exe
- mbamgui.exe
- MBAMService.exe
- mcshield.exe
- MsMpEng.exe
- NTRTScan.exe
- PccNTMon.exe
- SAVAdminService.exe
- SavService.exe
- vkise.exe
- vsserv.exe
- vsservppl.exe
- WRSA.exe
- It checks the presence of the following network capturing tools:
- capturenet.exe
- ethereal.exe
- ettercap.exe
- packetcapture.exe
- rtsniff.exe
- tcpdump.exe
- windump.exe
- wireshark.exe
- It attempts to create a pipe for communication.
- It uses WMI to query system information in the target machine.
- It checks for the presence of the following module in running processes:
- wpcap.dll
- It must be executed in the correct directory in order for it to proceed with its malicious routine.
以下のスケジュールされたタスクを追加します:
- Task Name: {GUID}
Task Action:{Malware File Path}\{Malware File Name}.exe
対応方法
手順 1
トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。
-
Troj.Win32.TRX.XXPE50FFF038
手順 2
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 3
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 4
Windowsをセーフモードで再起動します。
手順 5
スケジュールされたタスクを削除する
タスク削除の手順に含まれる{タスク名} - {実行するタスク}には以下が当てはまります。
- Task Name: {GUID}
Task to be run:{Malware File Path}\{Malware File Name}.exe
Windows 2000、Windows XP、Windows Server 2003の場合:
- [スタート]→[プログラム]→[アクセサリ]→[システムツール]→[スケジュールされたタスク]をクリックして、スケジュールされたタスクを開きます。
- 上記の{タスク名} を、[名前]の欄に入力します。
- 入力した{タスク名} 持つファイルを右クリックします。
- [プロパティ]をクリックします。 [実行]フィールドで、表示されている{実行するタスク}を確認します。
- 上記の{実行するタスク}と文字列が一致するタスクを削除します。
Windows Vista、Windows 7、Windows Server 2008、Windows 8、Windows 8.1、およびWindows Server 2012の場合:
- Windowsタスクスケジューラを開きます。
• Windows Vista、Windows 7、Windows Server 2008の場合、[スタート]をクリックし、[検索]フィールドに「taskchd.msc」と入力してEnterキーを押します。
• Windows 8、Windows 8.1、Windows Server 2012の場合、画面の左下隅を右クリックし、[実行]をクリックし、「taskchd.msc」と入力してEnterキーを押します。 - 左側のパネルで、[タスクスケジューラライブラリ]をクリックします。
- 中央上部のパネルで、上記の{タスク名}を[名前]の欄に入力します。
- 中央下部のパネルで、[アクション]タブをクリックします。 [詳細]の欄で、{実行するタスク}を確認します。
- 文字列が一致するタスクを削除します。
手順 6
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- {Random characters} = {Malware File Path}\{Malware File Name}.exe
- {Random characters} = {Malware File Path}\{Malware File Name}.exe
手順 7
以下のファイルを検索し削除します。
- {Malware File Path}\{Random characters}.dat
- %User Temp%\~{File name that ran explorer.exe}.tmp
手順 8
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TrojanSpy.Win32.QAKBOT.TIGOCEY」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください