Worm.Win32.EMOTET.AA
2020年2月14日
別名:
Trojan.Win32.Wofith.zw (KASPERSKY); Trojan:Win32/Emotet.HK!wln [non_writable_container] (MICROSOFT)
プラットフォーム:
Windows
危険度:
ダメージ度:
感染力:
感染確認数:
情報漏えい:
- マルウェアタイプ: ワーム
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
感染経路 他のマルウェアからの作成, インターネットからのダウンロード
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
ファイルサイズ 556,318 bytes
タイプ EXE
メモリ常駐 なし
発見日 2020年2月12日
ペイロード ファイルの作成, URLまたはIPアドレスに接続
侵入方法
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ワームは、以下のファイルを作成します。
- {malware directory}\service.exe → detected as TrojanSpy.Win32.EMOTET.TIABOFHL
ワームは、以下のファイルを作成し実行します。
- {malware directory}\worm.exe → attempts to bypass a wireless local area network (WLAN) and spread service.exe in connected devices
自動実行方法
ワームは、以下のサービスを開始します。
- {malware directory}\service.exe → this file is started as a service in infected devices
バックドア活動
ワームは、コマンド&コントロール(C&C)サーバに以下の情報を通知します。
- c={wireless network}:{password} → Passwords that successfully established a connection to a network
その他
ワームは、以下を実行します。
- Lists all WLAN interfaces enabled in the infected machine
- Lists all available network in WLAN interface
- Uses the following format for gathered information
- SSID: %s
- SIGNAL:%d
- SECURITY:{OPEN | WEP | WPA | WPA2 | UNKNOWN}
- encryption: {WEP104 | UNKNWOWN | CCMP |TKIP | WEP40 | NONE}
- NOTE:{Current Connecting | WLAN_AVAILABLE_NETWORK_HAS_PROFILE | WLAN_AVAILABLE_NETWORK_CONSOLE_USER_PROFILE }
- Security algorithm used for network authentication can be any of the following
- OPEN
- WEP
- WPAPSK
- WPA2PSK
- UNKNOWN
- Encryption method can be any of the following
- AES
- WEP
- TKIP
- NOEN
- Uses data obtained to create Network profiles with this template:
%s %s ESS auto %s %s false passPhrase false %s
- It uses the following credentials to try to login to a wireless network
- 123
- password
- Password
- letmein
- 1234
- 12345
- 123456
- 1234567
- 12345678
- 123456789
- 1234567890
- qwerty
- love
- iloveyou
- princess
- pussy
- master
- monkey
- abc123
- 99999999
- 9999999
- 999999
- 99999
- 9999
- 999
- 99
- 9
- 88888888
- 8888888
- 888888
- 88888
- 8888
- 888
- 88
- 8
- 77777777
- 7777777
- 777777
- 77777
- 7777
- 777
- 77
- 7
- 66666666
- 6666666
- 666666
- 66666
- 6666
- 666
- 66
- 6
- 55555555
- 5555555
- 555555
- 55555
- 5555
- 555
- 55
- 5
- 44444444
- 4444444
- 444444
- 44444
- 4444
- 444
- 44
- 4
- 33333333
- 3333333
- 333333
- 33333
- 3333
- 333
- 33
- 3
- 22222222
- 2222222
- 222222
- 22222
- 2222
- 222
- 22
- 2
- 11111111
- 1111111
- 111111
- 11111
- 1111
- 111
- 11
- 1
- 00000000
- 0000000
- 00000
- 0000
- 000
- 00
- 0987654321
- 987654321
- 87654321
- 7654321
- 654321
- 54321
- 4321
- 321
- 21
- 12
- super
- secret
- server
- computer
- owner
- backup
- database
- lotus
- oracle
- business
- manager
- temporary
- ihavenopass
- nothing
- nopassword
- nopass
- Internet
- internet
- example
- sample
- love123
- boss123
- work123
- home123
- mypc123
- temp123
- test123
- qwe123
- pw123
- root123
- pass123
- pass12
- pass1
- admin123
- admin12
- admin1
- password123
- password12
- password1
- default
- foobar
- foofoo
- temptemp
- temp
- testtest
- test
- rootroot
- root
- fuck
- zzzzz
- zzzz
- zzz
- xxxxx
- xxxx
- xxx
- qqqqq
- qqqq
- qqq
- aaaaa
- aaaa
- aaa
- sql
- file
- web
- foo
- job
- home
- work
- intranet
- controller
- killer
- games
- private
- market
- coffee
- cookie
- forever
- freedom
- student
- account
- academia
- files
- windows
- monitor
- unknown
- anything
- letitbe
- domain
- access
- money
- campus
- explorer
- exchange
- customer
- cluster
- nobody
- codeword
- codename
- changeme
- desktop
- security
- secure
- public
- system
- shadow
- office
- supervisor
- superuser
- share
- adminadmin
- mypassword
- mypass
- pass
- Login
- login
- passwd
- zxcvbn
- zxcvb
- zxccxz
- zxcxz
- qazwsxedc
- qazwsx
- q1w2e3
- qweasdzxc
- asdfgh
- asdzxc
- asddsa
- asdsa
- qweasd
- qweewq
- qwewq
- nimda
- administrator
- Admin
- admin
- a1b2c3
- 1q2w3e
- 1234qwer
- 1234abcd
- 123asd
- 123qwe
- 123abc
- 123321
- 12321
- 123123
- James
- John
- Robert
- Michael
- William
- David
- Richard
- Charles
- Joseph
- Thomas
- Christopher
- Daniel
- Paul
- Mark
- Donald
- George
- Kenneth
- Steven
- Edward
- Brian
- Ronald
- Anthony
- Kevin
- Mary
- Patricia
- Linda
- Barbara
- Elizabeth
- Jennifer
- Maria
- Susan
- Margaret
- Dorothy
- Lisa
- Nancy
- Karen
- Betty
- Helen
- Sandra
- Donna
- Carol
- james
- john
- robert
- michael
- william
- david
- richard
- charles
- joseph
- thomas
- christopher
- daniel
- paul
- mark
- donald
- george
- kenneth
- steven
- edward
- brian
- ronald
- anthony
- kevin
- mary
- patricia
- linda
- barbara
- elizabeth
- jennifer
- maria
- susan
- margaret
- dorothy
- lisa
- nancy
- karen
- betty
- helen
- sandra
- donna
- carol
- baseball
- dragon
- football
- mustang
- superman
- 696969
- batman
- trustno1
- Credentials that successfully established connection are sent back to the C&C server
- Enumerates all network resources and all users connected to the resource and attempts to connect to the users
- Attempts to connect to the admin account of the network resource if the previous attempt failed
- After successful connection, the malware attempts to connect to C$\ share to have access to drive C of specified users and spread service.exe as my.exe
- It adds the dropped file as service with the following details
- Service name: Windows Defender System Service
- Display name: WinDefService
- Path: C:\\my.exe
- Start type: SERVICE_AUTO_START
モバイル端末を狙う不正プログラムの不正活動
ワームは、以下のコマンド&コントロール(C&C)サーバからコマンドを受信します。
- {BLOCKED}.{BLOCKED}.37.146:8080/230238982BSBYKDDH938473938HDUI33/index.php
対応方法
対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 15.680.04
初回 VSAPI パターンリリース日 2020年2月12日
VSAPI OPR パターンバージョン 15.681.00
VSAPI OPR パターンリリース日 2020年2月13日
手順 1
トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。
-
Troj.Win32.TRX.XXPE50FFF033
手順 2
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 3
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 4
「Worm.Win32.EMOTET.AA」で検出したファイル名を確認し、そのファイルを終了します。
[ 詳細 ]
- すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
- 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、こちらをご参照下さい。 - 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。
手順 5
このマルウェアのサービスを無効にします。
[ 詳細 ]
- Windows Defender System Service
手順 6
以下のファイルを検索し削除します。
[ 詳細 ]
コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。 - {malware directory}\worm.exe
- {malware directory}\service.exe
手順 7
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Worm.Win32.EMOTET.AA」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください