TSPY_EMOTET.AUSJLA

トレンドマイクロは、このマルウェアをNoteworthy（要注意）に分類しました。

この情報収集型マルウェア（スパイウェア）は、請求書または支払い通知を偽装するスパムメールによって侵入します。ユーザがEメールに含まれるURLをクリックすると、EMOTETをダウンロードするPowerShellコマンドが実行されます。次に、収集した感染コンピュータの情報をC＆Cサーバに送出して、感染コンピュータに送信するペイロードを判断します。送信される可能性のあるペイロードの1つに、有名なオンライン銀行詐欺ツール（バンキングトロジャン）の「DRIDEX」があります。

スパイウェアは、リモートサイトから他のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。

スパイウェアは、特定のWebサイトにアクセスし、情報を送受信します。 スパイウェア マルウェアは、自身（コンピュータに侵入して最初に自身のコピーを作成した スパイウェア ）を削除します。

侵入方法

スパイウェアは、リモートサイトから以下のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。

• TSPY_EMOTET.SMD3

インストール

スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %AppDataLocal%\Microsoft\Windows\{string 1}{string 2}.exe - drops the file here if it has no admin privileges
• %System%\{string 1}{string 2}.exe - drops the file here if it has admin privileges
  
  where {string 1} and {string 2} is a combination of any of the following strings:
  • agent
  • app
  • audio
  • bio
  • bits
  • cache
  • card
  • cart
  • cert
  • com
  • crypt
  • dcom
  • defrag
  • device
  • dhcp
  • dns
  • event
  • evt
  • flt
  • gdi
  • group
  • help
  • home
  • host
  • info
  • iso
  • launch
  • log
  • logon
  • lookup
  • man
  • math
  • mgmt
  • msi
  • ncb
  • net
  • nv
  • nvidia
  • proc
  • prop
  • prov
  • provider
  • reg
  • rpc
  • screen
  • search
  • sec
  • server
  • service
  • shed
  • shedule
  • spec
  • srv
  • storage
  • svc
  • sys
  • system
  • task
  • time
  • video
  • view
  • win
  • window
  • wlan
  • wmi

(註：%AppDataLocal%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local" です。. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

スパイウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• M{hash of full file path}
• Global\M{volume serial number}

自動実行方法

スパイウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\{string 1}{string 2}
ImagePath = %System%\{string 1}{string 2}.exe
where {string 1} and {string 2} is the same name as the drop file

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{string 1}{string 2} = "%AppDataLocal%\Microsoft\Windows\{string 1}{string 2}.exe

情報漏えい

スパイウェアは、以下の情報を収集します。

• Machine Name
• System Locale
• OS Version
• Running Processes

その他

スパイウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• {BLOCKED}.{BLOCKED}.95.185:443
• {BLOCKED}.{BLOCKED}.252.178:8080
• {BLOCKED}.{BLOCKED}.159.58:443
• {BLOCKED}.{BLOCKED}.55.157:8080
• {BLOCKED}.{BLOCKED}.245.37:7080
• {BLOCKED}.{BLOCKED}.212.79.443
• {BLOCKED}.{BLOCKED}.192.45:8080
• {BLOCKED}.{BLOCKED}.131.20:8080
• {BLOCKED}.{BLOCKED}.252.178:8080

スパイウェア は、自身（コンピュータに侵入して最初に自身のコピーを作成した スパイウェア ）を削除します。

スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %AppDataLocal%\Microsoft\Windows\{文字列1}{文字列2}.exe
  ※管理者権限がない場合にファイルが作成される場所
• %System%\{文字列1}{文字列2}.exe
  ※管理者権限を有する場合にファイルが作成される場所

• agent
• app
• audio
• bio
• bits
• cache
• card
• cart
• cert
• com
• crypt
• dcom
• defrag
• device
• dhcp
• dns
• event
• evt
• flt
• gdi
• group
• help
• home
• host
• info
• iso
• launch
• log
• logon
• lookup
• man
• math
• mgmt
• msi
• ncb
• net
• nv
• nvidia
• proc
• prop
• prov
• provider
• reg
• rpc
• screen
• search
• sec
• server
• service
• shed
• shedule
• spec
• srv
• storage
• svc
• sys
• system
• task
• time
• video
• view
• win
• window
• wlan
• wmi

スパイウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• M{ファイルのフルパスのハッシュ}
• Global\M{ボリュームシリアル番号}

スパイウェアは、以下の情報を収集します。

• コンピュータ名
• システムロケール
• オペレーティング・システム(OS)のバージョン
• 実行中のプロセス

スパイウェアは以下を実行します。

• 感染したコンピュータは、マルウェアを拡散するスパムメールを送信するボットネットとして利用されます。 以下の情報がC＆Cサーバによって収集されます。
  • メッセージのテンプレート
  • 受信者のリスト
  • 収集した認証情報のリスト
• スパムメールには、次の情報が含まれている場合があります。
  Greetings {RCPT.NAME},
  
  We were not able to reach you. Please reply with the status of this invoice as soon as possible. http://{BLOCKED}y.us/Invoice-number-77467611-Notification/
  
  Many Thanks,
  {FRIEND.NAME}
  {FRIEND.EMAIL}
  
• 管理者権限を持っている場合はスタートアッププログラムが作成されます。管理者権限がない場合は、レジストリに自動実行エントリが作成されるのみとなります。