TrojanSpy.Win32.XTRAT.A
Windows
- マルウェアタイプ: スパイウェア/情報窃取型
- 破壊活動の有無: なし
- 暗号化: はい
- 感染報告の有無: はい
概要
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
スパイウェアは、ワーム活動の機能を備えていません。
スパイウェアは、特定のWebサイトにアクセスし、情報を送受信します。
詳細
侵入方法
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
スパイウェアは、以下のフォルダを作成します。
- %Application Data%\Ypertiesvacd\Default\klogs\ → for storing keylogger logs
- %Application Data%\Ypertiesvacd\Default\slogs\ → for storing screenshot logs
- %Application Data%\Ypertiesvacd\Default\plugs\ → for storing browser plugin/extension data
- %Application Data%\Ypertiesvacd\Default\usbfiles\ → for storing stolen USB files
- %Application Data%\Ypertiesvacd\Default\MnemonicWord\ → for storing cryptocurrency seed phrases
(註:%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)
スパイウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- F06CDD06E60F272F36ACF32FC64AE31250F53E3125D16CC826
自動実行方法
スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
YpertiesvacdYpertiesvacd = {malware path}
感染活動
スパイウェアは、ワーム活動の機能を備えていません。
バックドア活動
スパイウェアは、以下のWebサイトにアクセスし、情報を送受信します。
- 202.{BLOCKED}:2869 ({BLOCKED}e.com)
- http://{BLOCKED}u.com/comments/add
ルートキット機能
スパイウェアは、ルートキット機能を備えていません。
プロセスの終了
スパイウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。
- 360sd.exe
- 360se.exe
- 360tray.exe
- a2guard.exe
- adam.exe
- ad-watch.exe
- ananwidget.exe
- arcatasksservice.exe
- ashdisp.exe
- ast.exe
- avcenter.exe
- avg.exe
- avgauard.exe
- avgwdsvc.exe
- avk.exe
- avp.exe
- avwatchservice.exe
- baidusdsvc.exe
- beikesan.exe
- bkavservice.exe
- ccapp.exe
- ccsetmgr.exe
- ccsvchst.exe
- cksoftshiedantivirus4.exe
- cleaner8.exe
- cmctrayicon.exe
- coranticontrolcenter32.exe
- cpf.exe
- d_manage.exe
- egui.exe
- fortitray.exe
- f-prot.exe
- fsavgui.exe
- f-secure.exe
- fyfirewall.exe
- gg.exe
- hipstray.exe
- hwspanel.exe
- iptray.exe
- k7tsecurity.exe
- knsdtray.exe
- kpfwtray.exe
- ksafe.exe
- kswebshield.exe
- kvmonxp.exe
- kxetray.exe
- lenovotray.exe
- mcshield.exe
- mongoosagui.exe
- mpmon.exe
- msmpeng.exe
- mssecess.exe
- nspupsvc.exe
- outpost.exe
- parmor.exe
- patray.exe
- pfw.exe
- psafesystray.exe
- qqpcrtp.exe
- quhlpsvc.exe
- ravmond.exe
- remupd.exe
- rfwmain.exe
- rtvscan.exe
- safedog.exe
- safedogtray.exe
- savprogress.exe
- sbamsvc.exe
- servudaemon.exe
- spidernt.exe
- spywareterminatorshield.exe
- tmbmsrv.exe
- trojanhunter.exe
- unthreat.exe
- v3svc.exe
- vba32lder.exe
- vsmon.exe
- vsserv.exe
- yunsuo_agent_daemon.exe
情報漏えい
スパイウェアは、以下の情報を収集します。
- System Information:
- Computer Name
- User Name
- OS Version
- System Info
- Memory Status
- Disk Space
- Window Titles
- CPU Info
- Hardware IDs
- Browser Credentials:
- Google Chrome
- Microsoft Edge
- Brave Browser
- 360 Secure Browser (360se6)
- Sogou Explorer
- Tencent QQBrowser
- GPT Browser (SPChrome)
- Internet Explorer
- If the following cryptocurrency wallet and 2FA browser extensions exist in the affected system:
- MetaMask
- Phantom
- Binance Chain Wallet
- Trust Wallet
- Coinbase Wallet
- Ronin Wallet
- Keplr Wallet
- Rabby Wallet
- Math Wallet
- Coin98 Wallet
- XDEFI Wallet
- Maiar DeFi Wallet
- TON Wallet
- Leap Cosmos Wallet
- Oasis Wallet
- OKX Web3 Wallet
- Sui Wallet
- Temple Wallet
- Petra Wallet
- Martian Wallet
- Fewcha Move Wallet
- Pontem Wallet
- Typhon Wallet
- Wombat Gaming Wallet
- Keeper Wallet
- Exodus Web3 Wallet
- BitKeep Wallet
- UniSat Wallet
- Sentinel X Wallet
- Carbon Wallet
- ZEON Wallet
- Avana Wallet
- Nitrogen Wallet
- Meteor Wallet
- TronLink
- Flint Wallet
- Solflare Wallet
- Sender Wallet
- KardiaChain Wallet
- Clover Wallet
- Terra Station Wallet
- Nabox Wallet
- MWC Wallet
- Stash Wallet
- JustLiquidity Wallet
- Crypto.com DeFi Wallet
- Terra Station Classic
- ONTO Wallet
- Math Wallet Chrome
- Authenticator
- Math Wallet Firefox
- Crocobit Wallet
- Mobox Wallet
- Neon Wallet
- Ambire Wallet
- XVERSE Wallet
- SafeMoon Wallet
- Ternoa Wallet
- Hashpack Wallet
- LOBSTR Wallet
- XUMM Wallet
- Swash Wallet
- Elastos Essentials Wallet
- Saifu Wallet
- Messaging Applications:
- Telegram
- ICQ
- Mnemonic/seed phrase → cryptocurrency seed phrases
その他
スパイウェアは、以下のレジストリキーを追加します。
HKEY_CURRENT_USER\Software\GFE70424A125TH
ConnectIp = {C2 Server}
HKEY_CURRENT_USER\Software\GFE70424A125TH
OffKeyLog =
HKEY_CURRENT_USER\Software\GFE70424A125TH
InjectProcess =
HKEY_CURRENT_USER\Software\GFE70424A125TH
ReplaceClipboard =
HKEY_CURRENT_USER\Software\GFE70424A125TH
CopyUSBDeviceFiles =
HKEY_CURRENT_USER\Software\GFE70424A125TH
MonitoringAPI =
HKEY_CURRENT_USER\Software\GFE70424A125TH
ShareExclusive =
HKEY_CURRENT_USER\Software\GFE70424A125TH
LoginName =
HKEY_CURRENT_USER\Software\GFE70424A125TH
LoginGroup =
HKEY_CURRENT_USER\Software\GFE70424A125TH
E31FFE70423 =
スパイウェアは、以下を実行します。
- It has the following backdoor capabilities:
- Keylogging
- Clipboard Hijacking
- Network Packet Sniffing
- Video/Webcam Capture
- USB File Monitoring
- Screenshot Capture
- Process injection (explorer.exe, svchost.exe, notepad.exe)
- RDP enablement with firewall bypass
- PowerShell/CMD/WMI command execution
マルウェアは、脆弱性を利用した感染活動を行いません。
<補足>
インストール
スパイウェアは、以下のフォルダを作成します。
- %Application Data%\Ypertiesvacd\Default\klogs\ → キー入力操作情報に関わるログが保存される
- %Application Data%\Ypertiesvacd\Default\slogs\ → スクリーンショットに関わるログが保存される
- %Application Data%\Ypertiesvacd\Default\plugs\ → ブラウザのプラグイン/拡張機能に関わるデータが保存される
- %Application Data%\Ypertiesvacd\Default\usbfiles\ → USBドライブから収集されたファイルが保存される
- %Application Data%\Ypertiesvacd\Default\MnemonicWord\ → 暗号資産(仮想通貨)シードフレーズが保存される
情報漏えい
スパイウェアは、以下の情報を収集します。
- システムに関わる情報:
- コンピュータ名
- ユーザ名
- オペレーティングシステム(OS)のバージョン
- システム情報
- メモリの状態
- ディスク容量
- ウインドウタイトル
- CPU情報
- ハードウェアID
- ブラウザに保存されている認証情報
- Google Chrome
- Microsoft Edge
- Brave Browser
- 360 Secure Browser (360se6)
- Sogou Explorer
- Tencent QQBrowser
- GPT Browser (SPChrome)
- Internet Explorer
- 感染コンピュータ内に、以下の暗号資産ウォレットまたは2要素認証に関わるブラウザ拡張機能が存在する場合:
- MetaMask
- Phantom
- Binance Chain Wallet
- Trust Wallet
- Coinbase Wallet
- Ronin Wallet
- Keplr Wallet
- Rabby Wallet
- Math Wallet
- Coin98 Wallet
- XDEFI Wallet
- Maiar DeFi Wallet
- TON Wallet
- Leap Cosmos Wallet
- Oasis Wallet
- OKX Web3 Wallet
- Sui Wallet
- Temple Wallet
- Petra Wallet
- Martian Wallet
- Fewcha Move Wallet
- Pontem Wallet
- Typhon Wallet
- Wombat Gaming Wallet
- Keeper Wallet
- Exodus Web3 Wallet
- BitKeep Wallet
- UniSat Wallet
- Sentinel X Wallet
- Carbon Wallet
- ZEON Wallet
- Avana Wallet
- Nitrogen Wallet
- Meteor Wallet
- TronLink
- Flint Wallet
- Solflare Wallet
- Sender Wallet
- KardiaChain Wallet
- Clover Wallet
- Terra Station Wallet
- Nabox Wallet
- MWC Wallet
- Stash Wallet
- JustLiquidity Wallet
- Crypto.com DeFi Wallet
- Terra Station Classic
- ONTO Wallet
- Math Wallet Chrome
- Authenticator
- Math Wallet Firefox
- Crocobit Wallet
- Mobox Wallet
- Neon Wallet
- Ambire Wallet
- XVERSE Wallet
- SafeMoon Wallet
- Ternoa Wallet
- Hashpack Wallet
- LOBSTR Wallet
- XUMM Wallet
- Swash Wallet
- Elastos Essentials Wallet
- Saifu Wallet
- メッセージングアプリ:
- Telegram
- ICQ
- Mnemonic/seed phrase → 暗号資産シードフレーズ
その他
スパイウェアは、以下のバックドア機能を備えています。
- キー入力操作情報
- クリップボードハイジャック
- ネットワークパケットの盗聴
- ビデオ/Webカメラの取得
- USBリムーバブルドライブ内に保存されたファイルの監視
- スクリーンショットの取得
- プロセスインジェクション(explorer.exe、svchost.exe、notepad.exe)
- ファイアウォールを回避したリモートデスクトップ(RDP)の有効化
- PowerShell/CMD/WMIコマンドの実行
対応方法
手順 1
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
Windowsをセーフモードで再起動します。
手順 4
以下のフォルダを検索し削除します。
- %Application Data%\Ypertiesvacd\Default\klogs\
- %Application Data%\Ypertiesvacd\Default\slogs\
- %Application Data%\Ypertiesvacd\Default\plugs\
- %Application Data%\Ypertiesvacd\Default\usbfiles\
- %Application Data%\Ypertiesvacd\Default\MnemonicWord\
手順 5
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- YpertiesvacdYpertiesvacd = {malware path}
- YpertiesvacdYpertiesvacd = {malware path}
手順 6
このレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\GFE70424A125TH
- ConnectIp = {C2 Server}
- ConnectIp = {C2 Server}
- In HKEY_CURRENT_USER\Software\GFE70424A125TH
- OffKeyLog =
- OffKeyLog =
- In HKEY_CURRENT_USER\Software\GFE70424A125TH
- InjectProcess =
- InjectProcess =
- In HKEY_CURRENT_USER\Software\GFE70424A125TH
- ReplaceClipboard =
- ReplaceClipboard =
- In HKEY_CURRENT_USER\Software\GFE70424A125TH
- CopyUSBDeviceFiles =
- CopyUSBDeviceFiles =
- In HKEY_CURRENT_USER\Software\GFE70424A125TH
- MonitoringAPI =
- MonitoringAPI =
- In HKEY_CURRENT_USER\Software\GFE70424A125TH
- ShareExclusive =
- ShareExclusive =
- In HKEY_CURRENT_USER\Software\GFE70424A125TH
- LoginName =
- LoginName =
- In HKEY_CURRENT_USER\Software\GFE70424A125TH
- LoginGroup =
- LoginGroup =
- In HKEY_CURRENT_USER\Software\GFE70424A125TH
- E31FFE70423 =
- E31FFE70423 =
手順 7
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TrojanSpy.Win32.XTRAT.A」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 8
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TrojanSpy.Win32.XTRAT.A」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください