Trend Micro Security

TSPY_EMOTET.AUSYYNR

2017年12月8日
 解析者: Wilbert Vidal   

 別名:

Trojan.Emotet (Symantec); Emotet-FEA!166A3BA8EE51 (McAfee); W32.Trojan.Emotet(Webroot)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: スパイウェア
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェアは、実行後、自身を削除します。


  詳細

ファイルサイズ 126,976 bytes
タイプ EXE
発見日 2017年12月7日

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、以下のファイルを作成し実行します。

  • %System%\{random alphanumeric characters}.exe
  • %System%\{filename 1}{filename 2}.exe

(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

自動実行方法

スパイウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\{filename 1}{filename 2}
ImagePath = %System%\{filename 1}{filename 2}.exe

その他

スパイウェアは、以下の不正なWebサイトにアクセスします。

  • http://{BLOCKED}3.{BLOCKED}5.217.114:443/
  • http://{BLOCKED}6.{BLOCKED}0.105.121:8080/
  • http://{BLOCKED}8.{BLOCKED}1.155.6:8080/
  • http://{BLOCKED}0.{BLOCKED}1.139.203:8080/
  • http://{BLOCKED}9.{BLOCKED}8.17.49:443/
  • http://{BLOCKED}7.{BLOCKED}0.177.153:8080/
  • http://{BLOCKED}4.{BLOCKED}8.246.9/
  • http://{BLOCKED}.{BLOCKED}6.161.148/
  • http://{BLOCKED}6.{BLOCKED}7.57.9/
  • http://{BLOCKED}9.{BLOCKED}4.149.195:8080/
  • http://{BLOCKED}5.{BLOCKED}5.76.121:8080/
  • http://{BLOCKED}6.{BLOCKED}4.171.191:8080/
  • http://{BLOCKED}1.{BLOCKED}4.217.195:8080/
  • http://{BLOCKED}4.{BLOCKED}.205.55:7080/
  • http://{BLOCKED}6.{BLOCKED}8.11.99:8080/

スパイウェアは、実行後、自身を削除します。