• Email
• Facebook
• Twitter
• Google+
• Linkedin

TrojanSpy.Win32.EMOTET.SMC5

---

• マルウェアタイプ: スパイウェア/情報窃取型
• 破壊活動の有無: なし
• 暗号化: なし
• 感染報告の有無: はい

---

  概要

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェアは、実行後、自身を削除します。

ただし、情報公開日現在、このWebサイトにはアクセスできません。

---

  詳細

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• If sample executed with administrative privileges:
  
  • %System%\{String1}{String2}.exe
• If sample executed without administrative privileges:
  
  • %AppDataLocal%\{String1}{String2}\{String1}{String2}.exe

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local" です。)

スパイウェアは、以下のプロセスを追加します。

• {Malware file path}\{Malware file name}.exe --{8 Random Characters}
• If sample executed with administrative privileges:
  
  • %System%\{String1}{String2}.exe
  • %System%\{String1}{String2}.exe --{8 Random Characters}
• If sample executed without administrative privileges:
  
  • %AppDataLocal%\{String1}{String2}\{String1}{String2}.exe
  • %AppDataLocal%\{String1}{String2}\{String1}{String2}.exe --{8 Random Characters}

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local" です。)

スパイウェアは、以下のフォルダを作成します。

• If the sample is executed without administrative privileges:
  
  • %AppDataLocal%\{String1}{String2}

(註：%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local" です。)

スパイウェアは、実行後、自身を削除します。

スパイウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• Global\I{Volume Serial Number}
• Global\M{Volume Serial Number}

自動実行方法

スパイウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{String1}{String2}
ImagePath = %System%\{String1}{String2}.exe

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{String1}{String2} = %AppDataLocal%\{String1}{String2}\{String1}{String2}.exe

バックドア活動

スパイウェアは、以下のWebサイトにアクセスし、不正リモートユーザからのコマンドを送受信します。

• {BLOCKED}.{BLOCKED}.126.11:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.254.82:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.200.208:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.30.33:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.207.142:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.40.15:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.12.228:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.131.107:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.67.229:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.74.214:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.29.128:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.192.231:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.6.116:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.229.152:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.13.135:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.78.109:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.134.203:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.113.97:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.179.55:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.224.18:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.126.129:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.173.117:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.212.149:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.152.140:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.208.221:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.205.162:7080/{Random Characters}
• {BLOCKED}.{BLOCKED}.30.28:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.212.209:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.87.136:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.6.174:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.14.170:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.76.47:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.87.133:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.102.195:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.170.128:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.60.109:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.165.52:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.132.35:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.247.216:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.142.115:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.253.80:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.244.92:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.43.153:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.55.23:7080/{Random Characters}
• {BLOCKED}.{BLOCKED}.122.211:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.190.235:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.230.33:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.26.78:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.53.159:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.140.80:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.225.15:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.93.103:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.31.181:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.131.122:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.217.200:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.37.244:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.207.86:7080/{Random Characters}
• {BLOCKED}.{BLOCKED}.140.226:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.241.106:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.74.164:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.254.209:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.235.113:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.161.90:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.195.176:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.104.238:7080/{Random Characters}
• {BLOCKED}.{BLOCKED}.116.57:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.114.180:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.12.63:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.87.198:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.56.36:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.91.187:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.153.251:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.246.238:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.36.142:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.25.24:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.137.131:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.163.232:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.164.178:8081/{Random Characters}
• {BLOCKED}.{BLOCKED}.167.246:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.153.20:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.171.255:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.46.90:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.107.70:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.70.207:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.140.68:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.7.188:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.93.123:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.240.93:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.130.105:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.167.120:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.118.12:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.248.25:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.71.88:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.96.86:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.27.123:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.249.74:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.116.139:995/{Random Characters}
• {BLOCKED}.{BLOCKED}.123.60:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.40.21:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.3.63:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.75.240:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.57.205:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.167.25:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.245.204:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.86.136:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.47.161:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.155.123:990/{Random Characters}
• {BLOCKED}.{BLOCKED}.213.180:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.162.204:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.7.166:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.210.113:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.153.139:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.217.94:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.220.183:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.241.221:443/{Random Characters}
• {BLOCKED}.{BLOCKED}.56.70:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.119.137:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.32.129:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.251.100:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.211.95:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.57.50:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.160.220:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.116.130:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.113.235:80/{Random Characters}
• {BLOCKED}.{BLOCKED}.14.27:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.37.196:8080/{Random Characters}
• {BLOCKED}.{BLOCKED}.70.174:80/{Random Characters}

情報漏えい

スパイウェアは、以下の情報を収集します。

• Computer Name
• Process SessionId
• OS Version
• Running Processes
• File CRC
• Processor Architecture

その他

スパイウェアは、以下を実行します。

• It creates the service for persistence if the sample is executed with administrative privileges, otherwise it uses an autorun registry.
• It combines any two of the following strings and uses it as its filename "{String1}{String2}":
  
  • acc
  • avi
  • basic
  • bid
  • blb
  • bta
  • cards
  • channel
  • clr
  • cors
  • createa
  • ctl
  • cyan
  • dbt
  • devices
  • digital
  • driver
  • duck
  • dvb
  • edge
  • elem
  • ellipse
  • etw
  • exce
  • format
  • guid
  • inet
  • khmer
  • metrics
  • mexico
  • mfidl
  • msg
  • msra
  • mult
  • pal
  • pdeft
  • pfx
  • ptr
  • purge
  • query
  • radio
  • restore
  • roam
  • rtp
  • send
  • ses
  • shext
  • shlp
  • sidebar
  • space
  • symbol
  • targets
  • taskmgr
  • thrd
  • thunk
  • timeout
  • url
  • violet
  • vmd
  • vol
  • volume
  • wce
  • wmistr
  • wmp
• It deletes outdated copies of itself with a combination of any two of the following strings as its file name:
  
  • acquire
  • angle
  • appid
  • attrib
  • boost
  • char
  • chunker
  • compon
  • cors
  • def
  • deploy
  • dispid
  • fill
  • footer
  • func
  • group
  • hal
  • hant
  • ias
  • inbox
  • iplk
  • ipmi
  • leel
  • lua
  • mailbox
  • maker
  • malert
  • manual
  • memo
  • methods
  • monthly
  • more
  • msp
  • netsh
  • nic
  • non
  • pdf
  • print
  • prints
  • publish
  • raw
  • rds
  • run
  • scan
  • sensor
  • serial
  • shades
  • sitka
  • smo
  • special
  • speed
  • stuck
  • tcg
  • texas
  • textto
  • title
  • trns
  • wiz
  • wow
  • wrap
  • wsa
  • wsat
  • xcl
  • zap

ただし、情報公開日現在、このWebサイトにはアクセスできません。

---

  対応方法

ご利用はいかがでしたか？　アンケートにご協力ください