TrojanSpy.Win32.RISEPRO.C
Trojan.GenericKD.72158805 (BITDEFENDER)
Windows

マルウェアタイプ:
スパイウェア/情報窃取型
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
スパイウェアは、ファイル感染する機能を備えていません。
スパイウェアは、ワーム活動の機能を備えていません。
スパイウェアは、バックドア活動の機能を備えていません。
スパイウェアは、感染コンピュータ上の特定の情報を収集します。
スパイウェアは、特定のWebサイトにアクセスし、情報を送受信します。
詳細
侵入方法
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
感染ポイント
スパイウェアは、ファイル感染する機能を備えていません。
インストール
スパイウェアは、異なるファイル名を用いて以下のフォルダ内に自身のコピーを作成します。
- %All Users Profile%\MPGPH131\MPGPH131.exe
- %AppDataLocal%\RageMP131\RageMP131.exe
(註:%All Users Profile%フォルダは、ユーザの共通プロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\All Users” です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData” です。. %AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。)
スパイウェアは、以下のファイルを作成します。
- %User Temp%\adobe{12 Random Characters}\Autofill\{Web Browser Name}_Default.txt
- %User Temp%\adobe{12 Random Characters}\CC\{Web Browser Name}_Default.txt
- %User Temp%\adobe{12 Random Characters}\Cookies\{Web Browser Name}_Default.txt
- %User Temp%\adobe{12 Random Characters}\Downloads\{Web Browser Name}_Default.txt
- %User Temp%\adobe{12 Random Characters}\Google Accounts\{Web Browser Name}_Default.txt
- %User Temp%\adobe{12 Random Characters}\information.txt → contains gathered system information
- %User Temp%\adobe{12 Random Characters}\passwords.txt → contains gathered passwords
- %User Temp%\adobe{12 Random Characters}\Plugins\{Web Browser Name}_Default.txt
- %User Temp%\adobe{12 Random Characters}\screenshot.png → screenshot of current display
- %User Temp%\adobe{12 Random Characters}\Wallets\{Web Browser Name}_Default.txt
- %User Temp%\heidi{12 Random Characters}\{12 Random Characters}Cookies
- %User Temp%\heidi{12 Random Characters}\{12 Random Characters}History
- %User Temp%\heidi{12 Random Characters}\{12 Random Characters}Login Data
- %User Temp%\heidi{12 Random Characters}\{12 Random Characters}Web Data
- %User Temp%\rage131MP.tmp
- %User Temp%\{23 Random Characters}.zip → Contains all gathered information, deleted afterwards
(註:%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)
スパイウェアは、以下のプロセスを追加します。
- schtasks /create /f /RU "{Username}" /tr "%All Users Profile%\MPGPH131\MPGPH131.exe" /tn "MPGPH131 HR" /sc HOURLY /rl HIGHEST
- schtasks /create /f /RU "{Username}" /tr "%All Users Profile%\MPGPH131\MPGPH131.exe" /tn "MPGPH131 LG" /sc ONLOGON /rl HIGHEST
(註:%All Users Profile%フォルダは、ユーザの共通プロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\All Users” です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData” です。)
スパイウェアは、以下のフォルダを作成します。
- %All Users Profile%\MPGPH131
- %AppDataLocal%\RageMP131
- %User Temp%\adobe{12 Random Characters}
- %User Temp%\adobe{12 Random Characters}\Autofill
- %User Temp%\adobe{12 Random Characters}\CC
- %User Temp%\adobe{12 Random Characters}\Cookies
- %User Temp%\adobe{12 Random Characters}\Downloads
- %User Temp%\adobe{12 Random Characters}\FTP
- %User Temp%\adobe{12 Random Characters}\FTP\FileZilla
- %User Temp%\adobe{12 Random Characters}\FTP\TotalCommander
- %User Temp%\adobe{12 Random Characters}\Games
- %User Temp%\adobe{12 Random Characters}\Games\Battle.net
- %User Temp%\adobe{12 Random Characters}\Games\FeatherClient
- %User Temp%\adobe{12 Random Characters}\Games\Growtopia
- %User Temp%\adobe{12 Random Characters}\Games\LunarClient
- %User Temp%\adobe{12 Random Characters}\Games\Minecraft
- %User Temp%\adobe{12 Random Characters}\Games\Steam
- %User Temp%\adobe{12 Random Characters}\Games\TLauncher
- %User Temp%\adobe{12 Random Characters}\Google Accounts
- %User Temp%\adobe{12 Random Characters}\Messengers
- %User Temp%\adobe{12 Random Characters}\Messengers\Element
- %User Temp%\adobe{12 Random Characters}\Messengers\ICQ
- %User Temp%\adobe{12 Random Characters}\Messengers\Pidgin
- %User Temp%\adobe{12 Random Characters}\Messengers\Signal
- %User Temp%\adobe{12 Random Characters}\Messengers\Skype
- %User Temp%\adobe{12 Random Characters}\Messengers\Tox
- %User Temp%\adobe{12 Random Characters}\Plugins
- %User Temp%\adobe{12 Random Characters}\VPN
- %User Temp%\adobe{12 Random Characters}\VPN\OpenVPN Connect
- %User Temp%\adobe{12 Random Characters}\Wallets
- %User Temp%\heidi{12 Random Characters}
- %User Temp%\heidi{12 Random Characters}\{12 Random Characters}Cookies
- %User Temp%\heidi{12 Random Characters}\{12 Random Characters}History
- %User Temp%\heidi{12 Random Characters}\{12 Random Characters}Login Data
- %User Temp%\heidi{12 Random Characters}\{12 Random Characters}Login Data For Account
- %User Temp%\heidi{12 Random Characters}\{12 Random Characters}Web Data
(註:%All Users Profile%フォルダは、ユーザの共通プロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\All Users” です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData” です。. %AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local\Temp" です。)
自動実行方法
スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
RageMP131 = %AppDataLocal%\RageMP131\RageMP131.exe
感染活動
スパイウェアは、ワーム活動の機能を備えていません。
バックドア活動
スパイウェアは、バックドア活動の機能を備えていません。
情報漏えい
スパイウェアは、感染コンピュータ上の以下の情報を収集します。
- System Information:
- Malwre Build Number
- Machine ID
- GUID
- HWID
- Current Execution Path
- Working Directory
- IP Address
- Location
- OS Version
- Computer Name
- User Name
- Display Resolution
- Language
- Current Time
- Hardware Information:
- Processor
- CPU Count
- RAM Amount
- Video Card
- List of Running Processes
- List of Installed Applications
- Screenshot of Current Display
その他
スパイウェアは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。
- https://a{BLOCKED}yip.com/
- https://a{BLOCKED}.ipify.org/?format=json
- https://www.{BLOCKED}ind.com/en/locate-my-ip-address
スパイウェアは、以下のWebサイトにアクセスし、情報を送受信します。
- tcp://{BLOCKED}.{BLOCKED}.132.74:58709
スパイウェアは、以下を実行します。
- It connects to the following URLs to get the affected system's location:
- https://d{BLOCKED}.com/demo/home.php?s={IP Address of Affected Machine}
- https://i{BLOCKED}fo.io/widget/demo/{IP Address of Affected Machine}
- https://www.{BLOCKED}ind.com/geoip/v2.1/city/me
- It terminates itself if the country code of the IP address location is any of the following:
- RU
- KZ
- BY
- AM
- UZ
- MD
- KG
- TJ
- UA
- AZ
- It exfiltrates browser data (e.g. autofills, browsing history, cookies, download history, credentials/passwords, credit card data, browser extensions) from the following web browsers:
- 360Browser
- 7Star
- Amigo
- Atom
- Black Hawk
- Brave
- CentBrowser
- Chedot
- Chrome
- Chrome (x86)
- ChromePlus
- Chromium
- Chromodo
- Citrio
- CocCoc
- Comodo Dragon
- Comodo Ice Dragon
- Coowon
- CryptoTab
- Cyberfox
- Edge
- Elements Browser
- Epic Privacy Browser
- Firefox
- Iridium
- K-Melon
- Kometa
- liebao
- Maxthon3
- NetboxBrowser
- Nichrome
- Opera
- Opera GX
- Orbitum
- Pale Moon
- QIP SURF
- SeaMonkey
- Sleipnir5
- Sputnik
- Torch
- UCozMedia
- Uran
- Vivaldi
- Waterfox
- Yandex
- It exfiltrates data found on the following applications:
- Discord
- DiscordCanary
- DiscordPTB
- DiscordDevelopment
- NVIDIA GeForce Experience
- OpenVPN Connect
- Telegram Desktop
- It exfiltrates data on the following crypto wallets:
- Anoncoin
- Armory
- Atomic
- BBQCoin
- Bitcoin
- Coinomi
- Daedalus Mainnet
- DashCore
- devcoin
- digitalcoin
- Dogecoin
- ElectronCash
- Electrum
- Electrum-LTC
- Ethereum
- Exodus
- Florincoin
- Franko
- Freicoin
- GoldCoin (GLD)
- Guarda
- Infinitecoin
- IOCoin
- Ixcoin
- Ledger Live
- Liberty Jaxx
- Litecoin
- Megacoin
- Mincoin
- Monero
- Namecoin
- Primecoin
- Reddcoin
- Terracoin
- WalletWasabi
- YACoin
- Zcash
- It exfiltrates the following browser wallet extensions and 2FA appilications:
- Authenticator
- bhghoamapcdpbohphigoooaddinpkbai
- Metamask
- nkbihfbeogaeaoehlefnkodbefgpgknn
- Jaxx Liberty Extension
- cjelfplplebdjjenllpjcblmjkfcffne
- iWallet
- kncchdigobghenbbaddojjnnaogfppfj
- BitAppWallet
- fihkakfobkmkjojpchpfgcmhfjnmnfpi
- SaturnWallet
- nkddgncdjgjfcddamfgcmfnlhccnimig
- Guildwallet
- nanjmdknhkinifnkgdcggcfnhdaammmj
- MewCX
- nlbmnnijcnlegkjjpcfjclmcfggfefdm
- Wombat
- amkmjjmmflddogmhpjloimipbofnfjih
- CloverWallet
- nhnkbkgjikgcigadomkphalanndcapjk
- NeoLine
- cphhlgmgameodnhkjdmkpanlelnlohao
- RoninWallet
- fnjhmkhhmkbjkkabndcnnogagogbneec
- LiqualityWallet
- kpfopkelmapcoipemfendmdcghnegimn
- EQUALWallet
- blnieiiffboillknjnepogjhkgnoapac
- Guarda
- hpglfhgfnhbgpjdenjgmdgoeiappafln
- Coinbase
- hnfanknocfeofbddgcijnmhnfnkdnaad
- NiftyWallet
- jbdaocneiiinmjbjlgalhcelgbejmnid
- Yoroi
- ffnbelfdoeiohenkjibnmadjiehjhajb
- BinanceChainWallet
- fhbohimaelbohpjbbldcngcnapndodjp
- TronLink
- ibnejdfjmmkpcnlpebklmnkoeoihofec
- Phantom
- bfnaelmomeimhlpmgjnjophhpkkoljpa
- Oxygen
- fhilaheimglignddkjgofkcbgekhenbh
- PaliWallet
- mgffkfbidihjpoaomajlbgchddlicgpn
- Bolt X
- aodkkagnadcbobfpggfnjeongemjbjca
- ForboleX
- fmblappgoiilbgafhjklehhfifbdocee
- XDEFI Wallet
- hmeobnfnfcmdkdcmlblgagmfpfboieaf
- Maiar DeFi Wallet
- dngmlblcodfobpdpecaadgfbcggfjfnm
- KardiaChain
- pdadjkfkgcafgbceimcpbkalnfnepbnk
- coin98
- aeachknmefphepccionboohckonoeemg
- Terra
- aiifbnbfobpmeekipheeijimdpnlpgpp
- Harmony
- fnnegphlobjdpkhecapkijjdkgcjhkib
- Nami
- lpfcbjknijpeeillifnkikgncikgfhdo
- Exodus_E
- aholpfdialjgjfhomihkjbmgjidlcdno
- MathWallet
- afbcbjpbpfadlkmhmclhkeeodmamcflc
- Keplr
- dmkamcknogkgcdfhhbddcghachkejeap
- Sollet
- fhmfendgdocmcbmfikdcogofphimnkno
- AuroWallet
- cnmamaachppnkjgnildpdmkaakejnhae
- PolymeshWallet
- jojhfeoedkpkglbfimdfabpdfjaoolaf
- ICONex
- flpiciilemghbmfalicajoolhkkenfel
- EVER Wallet
- cgeeodpfagjceefieflmdfphplkenlfk
- Rabby
- acmacodkjbdgmoleebolmdjonilkdbch
- BraveWallet
- odbfpeeihdkbihmopkbjmoonfanlbfcl
- WavesKeeper
- lpilbniiabackdjcionkobglmddfbcjo
- Solflare
- bhhhlbepdkbapadjdnnojkbgioiodbic
- CyanoWallet
- dkdedlpgdmmkkfjabffeganieamfklkm
- KHC
- hcflpincpppdclinealmandijcmnkbgn
- TezBox
- mnfifefkajgofkcjkemidiaecocnkjeh
- Temple
- ookjlbkiijinhpmnjffcofjonbfbgaoc
- Goby
- jnkelfanjkeadonecabehalmbgpfodjm
- Braavos wallet
- jnlgamecbpmbajjfhmmmlhejkemejdma
- Eth and Polk Web3 Wallet
- kkpllkodjeloidieedojogacfhpaihoh
- OKX Wallet
- mcohilncbfahbmgdjkbpemcciiolgcge
- Sender Wallet
- epapihdplajcdnnkdeiahlgigofloibg
- Hashpack
- gjagmgiddbbciopjhllkdnddhcglnemk
- Eternl
- kmhcihpebfmpgmihbkipmjlmmioameka
- GeroWallet
- bgpipimickeadkjlklgciifhnalhdjhe
- Pontem Aptos Wallet
- phkbamefinggmakgklpkljjmgibohnba
- Petra Aptos Wallet
- ejjladinnckdgjemekebdpeokbikhfci
- Opera Wallet
- gojhcdgcpbpfigcaejpfhfegekdgiblk
- EMartian Aptos Wallet
- efbglgofoippbgcjepnhiblaibcnclgk
- Finnie
- cjmkndjhnagcfbpiemnkdpomccnjblmj
- Leap Terra Wallet
- aijcbedoijmgnlmjeegjaglmepbmpkpi
- Trust Wallet
- egjidjbpglichdcondbcbdnbeeppgdph
- Magic Eden Wallet
- mkpegjkblkkefacfnmkajcjmabijhclg
- Backpack
- aflkmfhebedbjioipglgcbcmnbpgliof
- MetaMask Edge
- ejbalbakoplchlghecdalmeeeajnimhm
- Venom
- ojggmchlghnjlapmfbnjholfjkiidbch
- Sui
- opcgpfmipidbgpenhmajoajpbobppdil
- Fewcha
- ebfidpplhabeedpnhjnobghokpiioolj
- Core
- agoakfejjabomempkjlepdflaleeobhb
- Tokenpocket
- mfgccjchihfkkindfppnaooecgfneiii
- Safepal
- lgmpcpglpngdoalbgeoldeajfclnhafa
- Kaikas
- jblndlipeogpafnldhgmapagcccfchpi
- XMR.PT
- eigblbgjknlfbajkfhopmcojidlgcehm
- Goblin Wallet
- ghpilmjholiicaobfjdkefcogmgaabif
- EOS Authenticator
- oeljdldpnmdbchonielidgobddffflal
- GAuth Authenticator
- ilgcnhelpchnceeipipijaljkblbcobl
- Trezor Password Manager
- imloifkgjagghnncjkhggdhalmcnfklk
- MYKI
- bmikpgodpkclnkgmnpphehdgcimmided
- Splikity
- jhfjfclepacoldmjmkmdlmganfaalklb
- CommonKey
- chgfefjpcobfbnpmiokfjjaglahmnded
- Zoho Vault
- igkpcodhieompeloncfnbekccinhapdb
- Norton Password Manager
- admmjipmmciaobhojoghlmleefbicajg
- Avira Password Manager
- caljgklbbfbcjjanaijlacgncafpegll
- It exfiltrates user credentials found on the following email clients:
- Outlook
- Thunderbird
- It exfiltrates user credentials found on the following gaming applications:
- Battle.net
- FeatherCLient
- Growtopia
- LunarClient
- Minecraft
- Steam
- TLauncher
- It exfiltrates user credentials found on the following messaging clients:
- Element
- ICQ
- Pidgin
- Skype
- Tox
- It exfiltrates user data found on the following FTP clients:
- FileZilla
- TotalCommander
以下のスケジュールされたタスクを追加します:
- Name: MPGPH131 HR
- Trigger: 1 hour after scheduled task creation (After triggered, repeat every1 hour indefinitely)
- Action: %All Users Profile%\MPGPH131\MPGPH131.exe
- Name: MPGPH131 LG
- Trigger: At log on of any user
- Action: %All Users Profile%\MPGPH131\MPGPH131.exe
(註:%All Users Profile%フォルダは、ユーザの共通プロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\All Users” です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData” です。)
スパイウェアは、脆弱性を利用した感染活動を行いません。
<補足>
インストール
スパイウェアは、以下のファイルを作成します。
- %User Temp%\adobe{ランダムな12文字}\Autofill\{Webブラウザ名}_Default.txt
- %User Temp%\adobe{ランダムな12文字}\CC\{Webブラウザ名}_Default.txt
- %User Temp%\adobe{ランダムな12文字}\Cookies\{Webブラウザ名}_Default.txt
- %User Temp%\adobe{ランダムな12文字}\Downloads\{Webブラウザ名}_Default.txt
- %User Temp%\adobe{ランダムな12文字}\Google Accounts\{Webブラウザ名}_Default.txt
- %User Temp%\adobe{ランダムな12文字}\information.txt → 収集されたシステム情報を含む
- %User Temp%\adobe{ランダムな12文字}\passwords.txt → 収集されたパスワードを含む
- %User Temp%\adobe{ランダムな12文字}\Plugins\{Webブラウザ名}_Default.txt
- %User Temp%\adobe{ランダムな12文字}\screenshot.png → 現在のディスプレイのスクリーンショット
- %User Temp%\adobe{ランダムな12文字}\Wallets\{Webブラウザ名}_Default.txt
- %User Temp%\heidi{ランダムな12文字}\{ランダムな12文字}Cookies
- %User Temp%\heidi{ランダムな12文字}\{ランダムな12文字}History
- %User Temp%\heidi{ランダムな12文字}\{ランダムな12文字}Login Data
- %User Temp%\heidi{ランダムな12文字}\{ランダムな12文字}Web Data
- %User Temp%\rage131MP.tmp
- %User Temp%\{ランダムな23文字}.zip → 収集されたすべての情報を含むが、後に削除される
スパイウェアは、以下のプロセスを追加します。
- schtasks /create /f /RU "{ユーザ名}" /tr "%All Users Profile%\MPGPH131\MPGPH131.exe" /tn "MPGPH131 HR" /sc HOURLY /rl HIGHEST
- schtasks /create /f /RU "{ユーザ名}" /tr "%All Users Profile%\MPGPH131\MPGPH131.exe" /tn "MPGPH131 LG" /sc ONLOGON /rl HIGHEST
スパイウェアは、以下のフォルダを作成します。
- %All Users Profile%\MPGPH131
- %AppDataLocal%\RageMP131
- %User Temp%\adobe{ランダムな12文字}
- %User Temp%\adobe{ランダムな12文字}\Autofill
- %User Temp%\adobe{ランダムな12文字}\CC
- %User Temp%\adobe{ランダムな12文字}\Cookies
- %User Temp%\adobe{ランダムな12文字}\Downloads
- %User Temp%\adobe{ランダムな12文字}\FTP
- %User Temp%\adobe{ランダムな12文字}\FTP\FileZilla
- %User Temp%\adobe{ランダムな12文字}\FTP\TotalCommander
- %User Temp%\adobe{ランダムな12文字}\Games
- %User Temp%\adobe{ランダムな12文字}\Games\Battle.net
- %User Temp%\adobe{ランダムな12文字}\Games\FeatherClient
- %User Temp%\adobe{ランダムな12文字}\Games\Growtopia
- %User Temp%\adobe{ランダムな12文字}\Games\LunarClient
- %User Temp%\adobe{ランダムな12文字}\Games\Minecraft
- %User Temp%\adobe{ランダムな12文字}\Games\Steam
- %User Temp%\adobe{ランダムな12文字}\Games\TLauncher
- %User Temp%\adobe{ランダムな12文字}\Google Accounts
- %User Temp%\adobe{ランダムな12文字}\Messengers
- %User Temp%\adobe{ランダムな12文字}\Messengers\Element
- %User Temp%\adobe{ランダムな12文字}\Messengers\ICQ
- %User Temp%\adobe{ランダムな12文字}\Messengers\Pidgin
- %User Temp%\adobe{ランダムな12文字}\Messengers\Signal
- %User Temp%\adobe{ランダムな12文字}\Messengers\Skype
- %User Temp%\adobe{ランダムな12文字}\Messengers\Tox
- %User Temp%\adobe{ランダムな12文字}\Plugins
- %User Temp%\adobe{ランダムな12文字}\VPN
- %User Temp%\adobe{ランダムな12文字}\VPN\OpenVPN Connect
- %User Temp%\adobe{ランダムな12文字}\Wallets
- %User Temp%\heidi{ランダムな12文字}
- %User Temp%\heidi{ランダムな12文字}\{ランダムな12文字}Cookies
- %User Temp%\heidi{ランダムな12文字}\{ランダムな12文字}History
- %User Temp%\heidi{ランダムな12文字}\{ランダムな12文字}Login Data
- %User Temp%\heidi{ランダムな12文字}\{ランダムな12文字}Login Data For Account
- %User Temp%\heidi{ランダムな12文字}\{ランダムな12文字}Web Data
情報漏えい
スパイウェアは、感染コンピュータ上の以下の情報を収集します。
- システム情報:
- マルウェアのビルド番号
- コンピュータID
- GUID(グローバル一意識別子)
- ハードウェアID
- 現在の実行パス
- 作業ディレクトリ
- IPアドレス
- 位置情報
- オペレーティングシステム(OS)のバージョン
- コンピュータ名
- ユーザ名
- 画面の解像度
- 言語
- 現在の時刻
- ハードウェア情報:
- プロセッサ
- CPUの数
- RAMの容量
- ビデオカード
- 実行中のプロセスの一覧
- インストールされているアプリケーションの一覧
- 現在のディスプレイのスクリーンショット
その他
スパイウェアは、以下を実行します。
- 以下のWebサイトにアクセスして影響を受けるコンピュータの位置情報を取得します。
- https://d{BLOCKED}.com/demo/home.php?s={影響を受けるコンピュータのIPアドレス}
- https://i{BLOCKED}fo.io/widget/demo/{影響を受けるコンピュータのIPアドレス}
- https://www.{BLOCKED}ind.com/geoip/v2.1/city/me
- IPアドレスの位置の国コードが以下のいずれかである場合、自身の不正活動を終了します。
- RU
- KZ
- BY
- AM
- UZ
- MD
- KG
- TJ
- UA
- AZ
- 以下のWeb ブラウザからブラウザデータ(自動入力、閲覧履歴、Cookie、ダウンロード履歴、認証情報/パスワード、クレジットカードデータ、ブラウザ拡張機能など)を抽出します。
- 360Browser
- 7Star
- Amigo
- Atom
- Black Hawk
- Brave
- CentBrowser
- Chedot
- Chrome
- Chrome (x86)
- ChromePlus
- Chromium
- Chromodo
- Citrio
- CocCoc
- Comodo Dragon
- Comodo Ice Dragon
- Coowon
- CryptoTab
- Cyberfox
- Edge
- Elements Browser
- Epic Privacy Browser
- Firefox
- Iridium
- K-Melon
- Kometa
- liebao
- Maxthon3
- NetboxBrowser
- Nichrome
- Opera
- Opera GX
- Orbitum
- Pale Moon
- QIP SURF
- SeaMonkey
- Sleipnir5
- Sputnik
- Torch
- UCozMedia
- Uran
- Vivaldi
- Waterfox
- Yandex
- 以下のアプリケーション上で見つかったデータを抽出します。
- Discord
- DiscordCanary
- DiscordPTB
- DiscordDevelopment
- NVIDIA GeForce Experience
- OpenVPN Connect
- Telegram Desktop
- 以下の暗号資産(仮想通貨)ウォレットのデータを抽出します。
- Anoncoin
- Armory
- Atomic
- BBQCoin
- Bitcoin
- Coinomi
- Daedalus Mainnet
- DashCore
- devcoin
- digitalcoin
- Dogecoin
- ElectronCash
- Electrum
- Electrum-LTC
- Ethereum
- Exodus
- Florincoin
- Franko
- Freicoin
- GoldCoin (GLD)
- Guarda
- Infinitecoin
- IOCoin
- Ixcoin
- Ledger Live
- Liberty Jaxx
- Litecoin
- Megacoin
- Mincoin
- Monero
- Namecoin
- Primecoin
- Reddcoin
- Terracoin
- WalletWasabi
- YACoin
- Zcash
- 以下のブラウザウォレット拡張機能および2要素認証アプリケーションを抽出します。
- Authenticator
- bhghoamapcdpbohphigoooaddinpkbai
- Metamask
- nkbihfbeogaeaoehlefnkodbefgpgknn
- Jaxx Liberty Extension
- cjelfplplebdjjenllpjcblmjkfcffne
- iWallet
- kncchdigobghenbbaddojjnnaogfppfj
- BitAppWallet
- fihkakfobkmkjojpchpfgcmhfjnmnfpi
- SaturnWallet
- nkddgncdjgjfcddamfgcmfnlhccnimig
- Guildwallet
- nanjmdknhkinifnkgdcggcfnhdaammmj
- MewCX
- nlbmnnijcnlegkjjpcfjclmcfggfefdm
- Wombat
- amkmjjmmflddogmhpjloimipbofnfjih
- CloverWallet
- nhnkbkgjikgcigadomkphalanndcapjk
- NeoLine
- cphhlgmgameodnhkjdmkpanlelnlohao
- RoninWallet
- fnjhmkhhmkbjkkabndcnnogagogbneec
- LiqualityWallet
- kpfopkelmapcoipemfendmdcghnegimn
- EQUALWallet
- blnieiiffboillknjnepogjhkgnoapac
- Guarda
- hpglfhgfnhbgpjdenjgmdgoeiappafln
- Coinbase
- hnfanknocfeofbddgcijnmhnfnkdnaad
- NiftyWallet
- jbdaocneiiinmjbjlgalhcelgbejmnid
- Yoroi
- ffnbelfdoeiohenkjibnmadjiehjhajb
- BinanceChainWallet
- fhbohimaelbohpjbbldcngcnapndodjp
- TronLink
- ibnejdfjmmkpcnlpebklmnkoeoihofec
- Phantom
- bfnaelmomeimhlpmgjnjophhpkkoljpa
- Oxygen
- fhilaheimglignddkjgofkcbgekhenbh
- PaliWallet
- mgffkfbidihjpoaomajlbgchddlicgpn
- Bolt X
- aodkkagnadcbobfpggfnjeongemjbjca
- ForboleX
- fmblappgoiilbgafhjklehhfifbdocee
- XDEFI Wallet
- hmeobnfnfcmdkdcmlblgagmfpfboieaf
- Maiar DeFi Wallet
- dngmlblcodfobpdpecaadgfbcggfjfnm
- KardiaChain
- pdadjkfkgcafgbceimcpbkalnfnepbnk
- coin98
- aeachknmefphepccionboohckonoeemg
- Terra
- aiifbnbfobpmeekipheeijimdpnlpgpp
- Harmony
- fnnegphlobjdpkhecapkijjdkgcjhkib
- Nami
- lpfcbjknijpeeillifnkikgncikgfhdo
- Exodus_E
- aholpfdialjgjfhomihkjbmgjidlcdno
- MathWallet
- afbcbjpbpfadlkmhmclhkeeodmamcflc
- Keplr
- dmkamcknogkgcdfhhbddcghachkejeap
- Sollet
- fhmfendgdocmcbmfikdcogofphimnkno
- AuroWallet
- cnmamaachppnkjgnildpdmkaakejnhae
- PolymeshWallet
- jojhfeoedkpkglbfimdfabpdfjaoolaf
- ICONex
- flpiciilemghbmfalicajoolhkkenfel
- EVER Wallet
- cgeeodpfagjceefieflmdfphplkenlfk
- Rabby
- acmacodkjbdgmoleebolmdjonilkdbch
- BraveWallet
- odbfpeeihdkbihmopkbjmoonfanlbfcl
- WavesKeeper
- lpilbniiabackdjcionkobglmddfbcjo
- Solflare
- bhhhlbepdkbapadjdnnojkbgioiodbic
- CyanoWallet
- dkdedlpgdmmkkfjabffeganieamfklkm
- KHC
- hcflpincpppdclinealmandijcmnkbgn
- TezBox
- mnfifefkajgofkcjkemidiaecocnkjeh
- Temple
- ookjlbkiijinhpmnjffcofjonbfbgaoc
- Goby
- jnkelfanjkeadonecabehalmbgpfodjm
- Braavos wallet
- jnlgamecbpmbajjfhmmmlhejkemejdma
- Eth and Polk Web3 Wallet
- kkpllkodjeloidieedojogacfhpaihoh
- OKX Wallet
- mcohilncbfahbmgdjkbpemcciiolgcge
- Sender Wallet
- epapihdplajcdnnkdeiahlgigofloibg
- Hashpack
- gjagmgiddbbciopjhllkdnddhcglnemk
- Eternl
- kmhcihpebfmpgmihbkipmjlmmioameka
- GeroWallet
- bgpipimickeadkjlklgciifhnalhdjhe
- Pontem Aptos Wallet
- phkbamefinggmakgklpkljjmgibohnba
- Petra Aptos Wallet
- ejjladinnckdgjemekebdpeokbikhfci
- Opera Wallet
- gojhcdgcpbpfigcaejpfhfegekdgiblk
- EMartian Aptos Wallet
- efbglgofoippbgcjepnhiblaibcnclgk
- Finnie
- cjmkndjhnagcfbpiemnkdpomccnjblmj
- Leap Terra Wallet
- aijcbedoijmgnlmjeegjaglmepbmpkpi
- Trust Wallet
- egjidjbpglichdcondbcbdnbeeppgdph
- Magic Eden Wallet
- mkpegjkblkkefacfnmkajcjmabijhclg
- Backpack
- aflkmfhebedbjioipglgcbcmnbpgliof
- MetaMask Edge
- ejbalbakoplchlghecdalmeeeajnimhm
- Venom
- ojggmchlghnjlapmfbnjholfjkiidbch
- Sui
- opcgpfmipidbgpenhmajoajpbobppdil
- Fewcha
- ebfidpplhabeedpnhjnobghokpiioolj
- Core
- agoakfejjabomempkjlepdflaleeobhb
- Tokenpocket
- mfgccjchihfkkindfppnaooecgfneiii
- Safepal
- lgmpcpglpngdoalbgeoldeajfclnhafa
- Kaikas
- jblndlipeogpafnldhgmapagcccfchpi
- XMR.PT
- eigblbgjknlfbajkfhopmcojidlgcehm
- Goblin Wallet
- ghpilmjholiicaobfjdkefcogmgaabif
- EOS Authenticator
- oeljdldpnmdbchonielidgobddffflal
- GAuth Authenticator
- ilgcnhelpchnceeipipijaljkblbcobl
- Trezor Password Manager
- imloifkgjagghnncjkhggdhalmcnfklk
- MYKI
- bmikpgodpkclnkgmnpphehdgcimmided
- Splikity
- jhfjfclepacoldmjmkmdlmganfaalklb
- CommonKey
- chgfefjpcobfbnpmiokfjjaglahmnded
- Zoho Vault
- igkpcodhieompeloncfnbekccinhapdb
- Norton Password Manager
- admmjipmmciaobhojoghlmleefbicajg
- Avira Password Manager
- caljgklbbfbcjjanaijlacgncafpegll
- Authenticator
- 以下の電子メールクライアント上で見つかったユーザの認証情報を抽出します。
- Outlook
- Thunderbird
- 以下のゲームアプリケーション上で見つかったユーザの認証情報を抽出します。
- Battle.net
- FeatherCLient
- Growtopia
- LunarClient
- Minecraft
- Steam
- Tlauncher
- 以下のメッセージングクライアント上で見つかったユーザの認証情報を抽出します。
- Element
- ICQ
- Pidgin
- Skype
- Tox
- 以下のFTPクライアント上で見つかったユーザデータを抽出します。
- FileZilla
- TotalCommander
以下のスケジュールされたタスクを追加します:
- 名前: MPGPH131 HR
- トリガ: スケジュールされたタスクの作成から1時間後(トリガ後、1時間毎に無期限に繰り返します)
- アクション: %All Users Profile%\MPGPH131\MPGPH131.exe
- 名前: MPGPH131 LG
- トリガ: 任意のユーザのログオン時
- アクション: %All Users Profile%\MPGPH131\MPGPH131.exe
対応方法
手順 1
トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。
- Troj.Win32.TRX.XXPE50FFF079
手順 2
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 3
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 4
Windowsをセーフモードで再起動します。
手順 5
セーフモード時のスケジュールタスクの削除方法
- セーフモードのまま、以下の{タスク名}-{実行するタスク}のリストを使用し、以下のステップで確認する必要があります。
- Task name: MPGPH131 HR Task to be run: %All Users Profile%\MPGPH131\MPGPH131.exe
- Task name: MPGPH131 LG Task to be run: %All Users Profile%\MPGPH131\MPGPH131.exe
- Windows 7 および Server 2008 (R2) をご使用の場合は、[スタート] > [コンピューター] をクリックします。
- Windows 8、8.1、10、Server 2012をご使用の場合は、画面左下で右クリックし、「ファイルエクスプローラ」をクリックします。
- PCの検索欄に、次のように入力します。
- System%\Tasks\{タスク名}
- ファイルを選択し、SHIFT+DELETEキーを押して削除します。
- レジストリエディタを開き、以下を実行してください。
- Windows 7およびServer 2008(R2)をご使用の場合は、[スタート]ボタンをクリックし、[検索]入力フィールドに「regedit」と入力し、Enterキーを押します。
- Windows 8、8.1、10、およびServer 2012(R2)をご使用の場合は、画面の左下隅を右クリックし、[実行]をクリックして、テキストボックスに「regedit」と入力します。
- レジストリエディタウィンドウの左パネルで、以下をダブルクリックします。
- HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Schedule>TaskCache>Tree>{タスク名}
- 作成されたエントリを探し、レジストリ値のデータをメモする。
- ID={タスクデータ}
- データを記録した後、レジストリキーを削除します。
- HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Schedule>TaskCache>Tree>{タスク名}
- レジストリエディタウィンドウの左パネルで、以下をダブルクリックします。
- HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Schedule>TaskCache>Tasks
- 左側のパネルで、手順6で配置したTask Dataと同じ名前のレジストリキーを探して削除します。
- ={タスクデータ}
- レジストリエディタを閉じます。
手順 6
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- RageMP131 = %AppDataLocal%\RageMP131\RageMP131.exe
- RageMP131 = %AppDataLocal%\RageMP131\RageMP131.exe
手順 7
以下のファイルを検索し削除します。
- %User Temp%\adobe{12 Random Characters}\Autofill\{Web Browser Name}_Default.txt
- %User Temp%\adobe{12 Random Characters}\CC\{Web Browser Name}_Default.txt
- %User Temp%\adobe{12 Random Characters}\Cookies\{Web Browser Name}_Default.txt
- %User Temp%\adobe{12 Random Characters}\Downloads\{Web Browser Name}_Default.txt
- %User Temp%\adobe{12 Random Characters}\Google Accounts\{Web Browser Name}_Default.txt
- %User Temp%\adobe{12 Random Characters}\information.txt
- %User Temp%\adobe{12 Random Characters}\passwords.txt
- %User Temp%\adobe{12 Random Characters}\Plugins\{Web Browser Name}_Default.txt
- %User Temp%\adobe{12 Random Characters}\screenshot.png
- %User Temp%\adobe{12 Random Characters}\Wallets\{Web Browser Name}_Default.txt
- %User Temp%\heidi{12 Random Characters}\{12 Random Characters}Cookies
- %User Temp%\heidi{12 Random Characters}\{12 Random Characters}History
- %User Temp%\heidi{12 Random Characters}\{12 Random Characters}Login Data
- %User Temp%\heidi{12 Random Characters}\{12 Random Characters}Web Data
- %User Temp%\rage131MP.tmp
- %User Temp%\{23 Random Characters}.zip
手順 8
以下のフォルダを検索し削除します。
- %All Users Profile%\MPGPH131
- %AppDataLocal%\RageMP131
- %User Temp%\adobe{12 Random Characters}\Autofill
- %User Temp%\adobe{12 Random Characters}\CC
- %User Temp%\adobe{12 Random Characters}\Cookies
- %User Temp%\adobe{12 Random Characters}\Downloads
- %User Temp%\adobe{12 Random Characters}\FTP\FileZilla
- %User Temp%\adobe{12 Random Characters}\FTP\TotalCommander
- %User Temp%\adobe{12 Random Characters}\FTP
- %User Temp%\adobe{12 Random Characters}\Games\Battle.net
- %User Temp%\adobe{12 Random Characters}\Games\FeatherClient
- %User Temp%\adobe{12 Random Characters}\Games\Growtopia
- %User Temp%\adobe{12 Random Characters}\Games\LunarClient
- %User Temp%\adobe{12 Random Characters}\Games\Minecraft
- %User Temp%\adobe{12 Random Characters}\Games\Steam
- %User Temp%\adobe{12 Random Characters}\Games\TLauncher
- %User Temp%\adobe{12 Random Characters}\Games
- %User Temp%\adobe{12 Random Characters}\Google Accounts
- %User Temp%\adobe{12 Random Characters}\Messengers\Element
- %User Temp%\adobe{12 Random Characters}\Messengers\ICQ
- %User Temp%\adobe{12 Random Characters}\Messengers\Pidgin
- %User Temp%\adobe{12 Random Characters}\Messengers\Signal
- %User Temp%\adobe{12 Random Characters}\Messengers\Skype
- %User Temp%\adobe{12 Random Characters}\Messengers\Tox
- %User Temp%\adobe{12 Random Characters}\Messengers
- %User Temp%\adobe{12 Random Characters}\Plugins
- %User Temp%\adobe{12 Random Characters}\VPN\OpenVPN Connect
- %User Temp%\adobe{12 Random Characters}\VPN
- %User Temp%\adobe{12 Random Characters}\Wallets
- %User Temp%\adobe{12 Random Characters}
- %User Temp%\heidi{12 Random Characters}\{12 Random Characters}Cookies
- %User Temp%\heidi{12 Random Characters}\{12 Random Characters}History
- %User Temp%\heidi{12 Random Characters}\{12 Random Characters}Login Data
- %User Temp%\heidi{12 Random Characters}\{12 Random Characters}Login Data For Account
- %User Temp%\heidi{12 Random Characters}\{12 Random Characters}Web Data
- %User Temp%\heidi{12 Random Characters}
手順 9
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TrojanSpy.Win32.RISEPRO.C」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください