• Email
• Facebook
• Twitter
• Google+
• Linkedin

TrojanSpy.JS.REDLINE.PRL

---

• マルウェアタイプ: スパイウェア/情報窃取型
• 破壊活動の有無: なし
• 暗号化:  
• 感染報告の有無: はい

---

  概要

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェアは、ワーム活動の機能を備えていません。

スパイウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。 ただし、情報公開日現在、このWebサイトにはアクセスできません。

---

  詳細

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、以下のファイルを作成し実行します。

• %Application Data%\OFsUEelmcAJ\NvPlhiGXOZzAHBpMRIwDoXGRmmFGvq.js → dropped copy

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
OFsUEelmcAJ = "%Windows%\System32\wscript.exe" "{malware path}" hiGXOZzA

感染活動

スパイウェアは、ワーム活動の機能を備えていません。

バックドア活動

スパイウェアは、不正リモートユーザからの以下のコマンドを実行します。

• -7 → Updates the malware script and execute
• -6 → Uninstall itself from the system
• -5 → Exit the script
• -4 → Restart and set connected status
• -3 → Set disconnected status
• -2 → Set connected status
• -1 → Sleep
• 1 → Download file and execute from C2 then reset ping and connection state
• 2 → Execute command from C2 then reset ping and connection state

スパイウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

• http://{BLOCKED}.{BLOCKED}.{BLOCKED}.56:5219/WzbtsL

ただし、情報公開日現在、このWebサイトにはアクセスできません。

ルートキット機能

スパイウェアは、ルートキット機能を備えていません。

ダウンロード活動

スパイウェアは、以下のファイル名でダウンロードしたファイルを保存します。

• %User Temp%\{random}

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

情報漏えい

スパイウェアは、以下の情報を収集します。

• Computer Serial Number
• Total RAM
• OS Information
• User Domain
• Username
• Process List

その他

スパイウェアは、以下を実行します。

• It opens a decoy pdf in from the following URL:
  • https://{BLOCKED}omd.org/uploads/2018/05/blank.pdf

マルウェアは、以下のパラメータを受け取ります。

• Accepts the following parameters:
  • hiGXOZzA → immediately start connection to the C2 server
  • RIwDoXGR → wait and then connect to c2 server
  • --update → copy and execute malware update from c2 server then delete old copy

  マルウェアは、脆弱性を利用した感染活動を行いません。

  <補足>
  インストール

  スパイウェアは、以下のファイルを作成し実行します。

  • %Application Data%\OFsUEelmcAJ\NvPlhiGXOZzAHBpMRIwDoXGRmmFGvq.js → 作成された自身のコピー

  バックドア活動

  スパイウェアは、不正リモートユーザからの以下のコマンドを実行します。

  • -7 → マルウェアのスクリプトを更新して実行する
  • -6 → 感染コンピュータからアンインストールする
  • -5 → スクリプトを終了する
  • -4 → 再起動して接続状態を設定する
  • -3 → 切断状態を設定する
  • -2 → 接続状態を設定する
  • -1 → スリープ
  • 1 → C&Cサーバからダウンロードしたファイルを実行後、pingおよび接続状態をリセットする
  • 2 → C&Cサーバからのコマンドを実行後、pingおよび接続状態をリセットする

  情報漏えい

  スパイウェアは、以下の情報を収集します。

  • コンピュータのシリアル番号
  • RAMの総容量
  • オペレーティングシステム（OS）の情報
  • ユーザドメイン
  • ユーザ名
  • プロセスの一覧

  その他

  スパイウェアは、以下を実行します。

  • 以下のURLに接続して、おとりの PDFファイルを開きます。
    • https://{BLOCKED}omd.org/uploads/2018/05/blank.pdf

  マルウェアは、以下のパラメータを受け取ります。

  • 以下のパラメータを受け入れます。
    • hiGXOZzA → すぐに&Cサーバへの接続を開始する
    • RIwDoXGR → 待機してからC&Cサーバに接続suru
    • --update → C＆Cサーバからマルウェアアップデートをコピーして実行した後、古いコピーを削除する

  ---

    対応方法

  対応検索エンジン: 9.800

  初回 VSAPI パターンバージョン 20.378.04

  初回 VSAPI パターンリリース日 2025年8月7日

  VSAPI OPR パターンバージョン 20.379.00

  VSAPI OPR パターンリリース日 2025年8月8日

  手順 1

  Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

  手順 2

  このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム（OS）の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル／フォルダ／レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

  手順 3

  Windowsをセーフモードで再起動します。

  [ 詳細 ]

  [ 戻る ]

  セーフモードでの起動：

  • Windows 2000 の場合：

  1. コンピュータを起動させます。
  2. 「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
  3. 「Windows 拡張オプション メニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

  • Windows XP の場合：

  1. コンピュータを起動させます。
  2. 「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
  3. 「Windows 拡張オプション メニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

  • Windows Server 2003 の場合：

  1. コンピュータを起動させます。
  2. 「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
  3. 「Windows 拡張オプション メニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

  • Windows Vista、Windows 7 および Windows Server 2008 の場合：

  1. コンピュータを起動させます。
  2. 「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
  3. 「詳細ブート オプション」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

  • Windows 8、8.1 および Server 2012の場合：

  1. 画面の右上隅へマウスポインタを移動し、[チャーム]バーを表示します。
  2. マウスで、[設定]－[PC設定の変更]を選択します。
  3. 左側のパネルで、[全般]を選択します。
  4. 右側のパネルで、[PCの起動をカスタマイズする]が表示されるまで下にスクロールし、[今すぐ再起動]をクリック。コンピュータが再起動するまで待ちます。
  5. [オプションの選択]メニューで、[トラブルシューティング]－[詳細オプション]－[スタートアップ設定]－[再起動]をクリックします。
  6. [スタートアップ設定]メニューで、[4]キーを押し、「4）セーフモードを有効にする」を選択します。

  • Windows 10 の場合：

  1. キーボードの「Windowsロゴ」キーおよび「（アルファベットの）i」キーを押して「設定」を開きます。これで開かない場合は「スタート」ボタンをクリックして「設定」を選択します。
  2. 「更新とセキュリティ」→「回復」を選択します。
  3. 「詳細起動」下にある「今すぐ再起動」を選択します。
  4. 再起動後、「オプションの選択」画面で「トラブルシューティング」→「詳細オプション」→「スタートアップ設定」→「再起動」を選択します。
  5. 再起動後、「オプションを選択するには、番号を押してください」が表示されます。「4)」を選択するか「F4」キーを押して、セーフモードで起動します。

  手順 4

  以下のレジストリ値を削除します。

  [ 詳細 ]

  [ 戻る ]

  警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
  レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。レジストリの編集前にこちらをご参照ください。

   

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • OFsUEelmcAJ = "%Windows%\System32\wscript.exe" {malware path} hiGXOZzA
      

  追加されたレジストリ値の削除：

  1. 「レジストリエディタ」を起動します。
     
     • Windows 2000、XP および Server 2003 の場合:
       [スタート]-[ファイル名を指定して実行]を選択し、regedit と入力し、Enter を押します。
     • Windows Vista、7、Server 2008 の場合：
       [スタート]をクリックし、検索入力欄に regedit と入力し、Enter を押します。
     • Windows 8、8.1 および Server 2012 の場合：
       画面の左下隅を右クリックし、[ファイル名を指定して実行]を選択します。入力ボックスに regedit と入力し、Enter を押します。
     ※regedit は半角英数字で入力する必要があります（大文字／小文字は区別されません）。
  2. 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
     HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run
  3. 右側のパネルで以下のレジストリ値を検索し、削除します。
     OFsUEelmcAJ = "%Windows%\System32\wscript.exe" {malware path} hiGXOZzA
  4. 「レジストリエディタ」を閉じます。

  手順 5

  以下のファイルを検索し削除します。

  [ 詳細 ]

  [ 戻る ]

  コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

  • %Application Data%\OFsUEelmcAJ\NvPlhiGXOZzAHBpMRIwDoXGRmmFGvq.js
  • %User Temp%\{random}

  マルウェアのコンポーネントファイルの削除：

• Windows 2000、XP および Server 2003 の場合：
  1. [スタート]-[検索]-[ファイルとフォルダすべて]を選択します。
  2. [ファイル名のすべてまたは一部]に以下のファイル名を入力してください。
     
     • %Application Data%\OFsUEelmcAJ\NvPlhiGXOZzAHBpMRIwDoXGRmmFGvq.js
     • %User Temp%\{random}
  3. [探す場所]の一覧から[マイコンピュータ]を選択し、[検索]を押します。
  4. 検索が終了したら、ファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
  5. 残りのファイルに対して、マルウェアのコンポーネントファイルの削除の手順 2.）から4 .）を繰り返してください。

• Windows Vista、7、Server 2008、8、8.1 および Server 2012 の場合：
  1. Windowsエクスプローラ画面を開きます。
     • Windows Vista、7 および Server 2008 の場合：
       • [スタート]-[コンピューター]を選択します。
     • Windows 8、8.1 および Server 2012 の場合：
       • 画面の左下隅を右クリックし、[エクスプローラー]を選択します。
  2. [コンピューターの検索]に、以下を入力します。
     
     • %Application Data%\OFsUEelmcAJ\NvPlhiGXOZzAHBpMRIwDoXGRmmFGvq.js
     • %User Temp%\{random}
  3. ファイルが表示されたら、そのファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
  4. 残りのファイルに対して、マルウェアのコンポーネントファイルの削除の手順 2.）から4 .）を繰り返してください。
     註：Windows 7 において上記の手順が正しく行われない場合、マイクロソフトのWebサイトをご確認ください。