最新ウイルス情報 【 リモートアクセスで不正なコマンドを受け取り動作するバックドア 】
はじめに : 本ページのウイルス情報について
ウイルスについては、非常に多くの亜種および検体ファイルが存在し、一般的には、亜種毎またはウイルスの検体ファイル毎に詳細な動作は異なる可能性がございます。そのため、本ページのウイルス情報は、特定の亜種や検体に依存しない汎用的な参考情報としてご案内させて頂いております。
また、本ページでご案内させて頂いているウイルスは、主に【情報漏洩を発生させる危険なウイルス】についてご案内させて頂いております。
そのため、本ページにあるようなウイルスのタイプ(ウイルス名)に感染した場合は、ウイルスによって情報漏洩した可能性が考えられます。弊社【ウイルス解析サービス】をご利用頂ければ、通信の接続先、作成するファイルやレジストリ情報、脆弱性情報等、貴社で発生したウイルスに特化したさらに詳細な情報がご案内可能でございます。
弊社の【ウイルス解析サービス】についての詳細はこちらをご確認頂けますでしょうか。
はじめに : 用語説明
■ウイルス、コンピュータウイルス、マルウェア、スパイウェア
各種メーカー等によって呼称や定義は異なることがございますが、一般的には、「ウイルス」はユーザやマシンにとって有害で悪意ある不正活動を行うプログラムまたはソフトウェア全般を指し、コンピュータウイルス、マルウェア、スパイウェアについても、基本的にはほぼ類似した意味となります。昨今のウイルスで、最も危険な不正活動としては、「情報漏洩」や「重要ファイルの暗号化」等が挙げられます。■ウイルス名
ウイルス名は、基本的には、各種ウイルス対策メーカーが独自に決定しています。そのため、類似した動作を持つウイルスでも、名称が異なることが多くございます。そのため、本ページでは一般的に多く使用されている名称を幾つかご紹介させて頂いております。■ファミリ
一般的には、ある特定の目的や動作を持ったウイルスのグループ(種類、分類、タイプ等)のことを指します。■Web通信
URL(リンク)を使用して、ブラウザからインターネット上のWebページを表示する、ファイルをダウンロードする等の操作に使用される通信で、インターネット上に公開されているWebサイト(Webページ、ホームページ等)との通信と考えて頂いて問題ありません。■C&Cサーバ
悪意ある攻撃者が、インターネット上に公開した、不正コマンドを指令するためのサーバです。一般的には、これらのサーバにWeb通信で接続を行い、不正コマンドの実行や情報漏洩が行われます。また、後述の、標的型攻撃や遠隔操作ウイルスに使用されることが多くございます。■標的型攻撃、遠隔操作ウイルス、バックドアウイルス、ボットウイルス
こちらのページに、詳細な説明や実例がございますため、ご確認頂けますでしょうか。■脆弱性を利用したウイルス
こちらのページに、詳細な説明や実例がございますため、ご確認頂けますでしょうか。2024年09月 :リモートアクセスで不正なコマンドを受け取り動作するバックドア
■ウイルス名
Backdoor.Win32.ASYNCRAT.YX、Generic.mg.c1ade258f05c512e、Trojan.TR/Dropper.Gen、HEUR:Backdoor.MSIL.Crysan.gen 等■概要
本ウイルスはバックドア型ウイルスとして確認され、感染に成功した場合端末はリモートアクセスが可能となります。ウイルスは利用者に気づかれないように、ローカル上の隠しフォルダとなる%User Temp%\のフォルダ内に
自身のウイルスファイルのコピーや収集したキーストロークスの情報を格納します。
収集した情報は外部のC&Cサーバに送信されますが、感染した端末は外部からリモートアクセスが
可能となるため、本ウイルスの場合攻撃者がコマンドを実行することで様々な命令を受け取ります。
受け取るコマンド例
・gettxt → クリップボードのデータを抽出して送信する
・klget → 「%User Temp%\Log.tmp」からキー入力操作情報を抽出して送信する
・pong → pingテスト
・setxt → C&Cサーバから受信した値に応じてクリップボードのデータの値をクリアまたは設定する
・weburl → C&Cサーバから指定されたファイルをダウンロードして実行する 等
■漏洩する情報
感染した場合、以下の情報が漏洩する可能性があります。・ユーザ名
・OSのシステム情報
・インストールされているウイルス対策製品の一覧
・HWID
暗号資産(仮想通貨)ウォレット
・Binance
・BitKeep
・BitPay
・Coinbase
・Exodus
・MetaMask
・Phantom
・Ronin
・TronLink
・TrustWallet
Webブラウザの情報
・Google Chrome
・MicroSoft Edge
・Firefox
・Opera
■想定される侵入経路
悪意あるWebサイトまたは、他のマルウェアに作成されることが推測されます。2024年08月 : .Net Frame Workを悪用したウイルス
■ウイルス名
Trojan.MSIL.DOWNLOADER、TrojanDownloader:MSIL/TinyDow.A、HEUR:Trojan.MSIL.Tasker.gen、Generic.mg.4ef284c7f5647453 等■概要
本ウイルスは.Net Frame Workを悪用するウイルスとして確認されており、感染した場合システム情報やソフトウェアの情報を盗み、
外部インターネット上のC2サーバへ情報を送信します。
.Net Frame Workは様々なWindowsOSで幅広く利用されていることから
汎用性があり攻撃者にも利用される傾向があります。
また、アクセスするインターネット上のサーバにはC2サーバのほか
マイクロソフト社への通信や一般的にも利用されている証明書サイトから
証明書のダウンロードを行う挙動が確認されています。
その他、C2サーバから新たなウイルスファイルをダウンロードします。
監視面としてはアンチデバッグ機能が搭載されておりウイルスが
デバッグ環境上で動作されているか監視を行います。
〇攻撃を受けるURI /admin
/admin.php
/administrator/
/administrator/index.php
/index.php
/login/index.php
/phpmyadmin/
/user/login
/wp-admin/
/wp-login.php 等
その他の動作として当該ウイルスにより作成されるフォルダをバックグラウンドで隠し属性にしたり、
ウイルスが永続的にブルートフォースアタック(総当たり攻撃)ができるように自身のウイルスを
スタートアップに追加することでOSの起動時に自動実行ができます。
■漏洩する情報
感染した場合、以下の情報が漏洩する可能性があります。・OSのシステム情報
・攻撃を仕掛けたWebサイトの情報 等
■想定される侵入経路
他のマルウェアからの作成, インターネットからのダウンロード2024年07月 : 感染した端末からWebサイトへブルートフォースアタックを行うウイルス
■ウイルス名
Trojan.Win32.CMSBRUTE.NLJ、ML.Attribute.HighConfidence、HEUR:Trojan.Win32.Agent.gen、W32/Kryptik.HWMW!tr 等■概要
当該ファイルは正規ソフトにみられるファイル名とアイコンの偽装を行い一見すると無害なファイルになりすましています。
しかし、当該ファイルを実行するとTor(The Onion Router)を使用してインターネット上へアクセスを試みて
インターネット上に公開されているWebサーバへHTTP、HTTPSの通信を使用して攻撃を仕掛ける動作が確認されています。
通信を行うほか、しばらくするとブルートフォースアタック(総当たり攻撃)を開始してひっきりなしに
また、ブルートフォースアタック(総当たり攻撃)の際にアクセスするWebサイトには以下URIが含まれており、
Web サイトの管理画面に対して攻撃を仕掛けている可能性が考えられます。
〇攻撃を受けるURI /admin
/admin.php
/administrator/
/administrator/index.php
/index.php
/login/index.php
/phpmyadmin/
/user/login
/wp-admin/
/wp-login.php 等
その他の動作として当該ウイルスにより作成されるフォルダをバックグラウンドで隠し属性にしたり、
ウイルスが永続的にブルートフォースアタック(総当たり攻撃)ができるように自身のウイルスを
スタートアップに追加することでOSの起動時に自動実行ができます。
■漏洩する情報
感染した場合、以下の情報が漏洩する可能性があります。・OSのシステム情報
・攻撃を仕掛けたWebサイトの情報 等
■想定される侵入経路
他のマルウェアからの作成, インターネットからのダウンロード2024年06月 : 自由自在、コマンドラインを使用してマシンを操るワームウイルス
■ウイルス名
TrojanSpy.Win32.XWORM、Backdoor.Win32.Agent.myuvxx、Backdoor.BDS/Agent.gpbmy、Trojan:Win32/Leonem 等■概要
当該ウイルスはワームウイルスとして知られており、感染した場合ワーム自身のコピーを拡散させる伝染機能をもつウイルスとして確認されています。
また、有益な情報を端末から盗むため、キー入力操作情報の監視(キーロギング)や
C&Cサーバへの通信などコマンドを実行して様々な活動を行います。
利用されるコマンドライン(例)
・findstr (文字列を検索)
・cmd /c md (ランダムフォルダの作成)
ワームウイルスは自身をコピーしたり、不正活動を行うために悪意あるファイルを
作成しますが、ウイルス対策製品や利用者、ホワイトハッカーからの早期発見を逃れるため、
特定のフォルダ内にファイルを作成したり、稼働中のプロセス自体を隠し属性に変更して
隠ぺいを行うことが確認されています。
その他、隠し属性のフォルダ内に搾取した情報をログファイルとして蓄積したり、
永続的に稼働できるようにスタートアップに自動実行のレジストリキーの追加、
タスクスケジューラにて3分間隔で自身を実行できるように設定します。
■漏洩する情報
感染した場合、以下の情報が漏洩する可能性があります。・CPU情報
・GPU 情報
・OSの正式名称、バージョン、アーキテクチャ
・RAM情報
・インストールされているウイルス対策製品に関する情報
・ウェブカメラの情報
・クリップボード
・コンピュータ名
・プロセッサ数
・ユーザ名
■想定される侵入経路
他のマルウェアからの作成, インターネットからのダウンロード2024年05月 : 遠隔で端末を操り、攻撃者の手中に収めることを目的としたウイルスDarkComet
■ウイルス名
Backdoor.Win32.DARKOMET.NLJ、Backdoor.Win32.DarkKomet.ikdn、Trojan:Win32/CoinMiner!pz、W32/Injector.DZRT!tr 等■概要
ダークコメットは、遠隔で端末を操るためのバックドア型ウイルスです。感染した端末は、インターネットを介して攻撃者から不正なコマンドを受信し、遠隔で操作されます。
また、自動実行のレジストリキーを作成し、端末起動時に自身を実行するように設定します。
さらに、端末から収集した情報を利用者の目につかない、隠しフォルダ内に設置し、 収集後、特定の不正なサーバに送受信します。
■漏洩する情報
感染した場合、以下の情報が漏洩する可能性があります。・OSのシステム情報
・管理者権限
・ユーザ名
・メモリ使用量
・Webカメラとマイクへの接続
・キーボード操作の情報 など
外部の不正サーバから遠隔で操作を行えるようになった場合、
以下のようなコマンドを実行される可能性があります。
・CD-ROMドライブのドアの開閉
・Web カメラの一覧表示およびビデオの監視/キャプチャ
・サウンドの録音および再生
・コンピュータのシャットダウン、再起動、ログオフ、またはロック
・システムのホストファイルの変更
・ディスクドライブの一覧表示
・パスワードの窃取
・ファイアウォールの操作
・プログラムのアンインストール
・マウスのクリック
・リモートシェルコマンド など
■リバースエンジニアリング対策
特定の環境での実行となる場合、ウイルスは動作を終了します。具体的な対策として、サンドボックスの検出や仮想マシンの検出が考えられます。
■想定される侵入経路
悪意のあるWebサイトから誤ってダウンロードされたり、他のマルウェアによって作成されることが推測されます。2024年04月 : 端末のローカル内を洗いざらい探索して仮想通貨を奪うウイルス
■ウイルス名
TrojanSpy.Win32.LUMMASTEALER、ML.Attribute.HighConfidence、Trojan.TR/Crypt.Agent.didpj、Generic.mg.30732747ca33bd37 等■概要
本ウイルスはLumma Stealerというファミリーのウイルスとして確認され、感染することで端末内のシステム情報やソフトウェアの情報などが盗まれます。
また、本ウイルスは仮想通貨を標的として、Webブラウザの拡張機能に追加された
仮想通貨の情報が盗まれるほか、関連するプログラムとして多要素認証に使用する
オーセンティケーターや、パスワードマネージャーといったサービスに登録された
資格情報も盗まれる可能性があります。
■漏洩する情報
感染した場合、以下の情報が漏洩する可能性があります。端末に侵入後ウイルスは、以下の基本的な情報を収集します。
・OSのシステム情報
・インストールされたウイルス対策製品の情報
・インストールされたアプリケーション/バージョン情報
・ディスプレイの解像度
・クリップボードのデータ
■リバースエンジニアリング対策
特定の環境での実行となる場合、ウイルスは動作を終了します。・サンドボックスの検出
・仮想マシンの検出
・デバッグ環境の検出
■想定される侵入経路
Webサイトまたは、他のウイルスに作成されることが推測されます。2024年03月 : ウイルス対策機能、FW機能の無力化を行い、情け容赦なく情報を盗むAmadey bot
■ウイルス名
Trojan.Win32.AMADEY.YXECWZ、Trojan:Win32/Casdet!rfn、UDS:DangerousObject.Multi.Generic、A Variant Of MSIL/Kryptik.ALFV 等■概要
本ウイルスはPowershellを悪用したり正規プログラムに不正コードを注入することで端末の監視や有益な情報を盗み外部に送信を行う動作などが確認されています。
感染後、PowerShellを用いて自身のコピーファイルの複製や正規OSプログラムになりすました
検体ファイルの作成を行います。
この際、利用者や導入した監視機器から不審なものとして発見を逃れるため
ウィンドウを非表示にする細工が組み込まれています。
特定のEPP(エンドポイント)の権限を奪うことで、ウイルスが作成した他のウイルスファイルや
フォルダの除外登録を行います。
▼除外登録されたパス
C:\Users\<ユーザプロファイル>\AppData\Local
C:\Users\<ユーザプロファイル>\AppData\Local\Temp\
また、正規OSプログラムに不正なコードの注入(インジェクション)を行うことで著名なオンライン
ストレージサービスやインストールされたWebブラウザソフトのプロセスの監視を行うようになります。
外部URLへの通信の一部として、端末の位置情報を特定するサイトへのアクセス、
侵害されたサーバへ有益な情報のアップロード、
無料のダイナミックDNSサービスにアクセス、感染した端末に特定のドメイン名を関連付けることで
遠隔で操作を利用できるようにする手法が確認されています。
本ウイルスは予めファイヤーウォールの設定変更を行い外部通信におけるウイルスの通信を
バイパス化することで回避します。
その他にも感染や攻撃を行うにあたり特定の不要となるタスクの無効化や、永続的に活動するために
自動実行のレジストリを追加します。
■漏洩する情報
感染した場合、以下の情報が漏洩する可能性があります。・OSのシステム情報
・プロバイダの情報
・Webブラウザ(Edge、Google Chrome等)の情報
・メールソフトの資格情報
・クリップボードのデータ 等
■リバースエンジニアリング対策
特定の環境での実行となる場合、ウイルスは動作を終了します。・アンチウイルス製品の検出
・サンドボックスの検出
・仮想マシンの検出
・デバッグ環境の検出
・難読化処理
■想定される侵入経路
Webサイトまたは、他のウイルスに作成されることが推測されます。2024年02月 : 正規プログラムを乗っ取り、有益な情報を盗むウイルス
■ウイルス名
TROJ_GEN.R014H0DBQ24、Trojan.GenericKD.71776672、Trojan.MSIL.Agent.qwirpl、Trojan.TR/Redcap.pmids 等■概要
本ウイルスは感染した場合、正規プログラムを乗っ取り不正なコードを挿入することで、端末から有益な情報を盗むウイルスとして確認されております。
端末侵入時の早期発見を逃れるための対策としてウイルスファイルのプロパティ情報は
正規サードパーティーのインストーラになりますため明確に記載されています。
また、ウイルスにより乗っ取られた正規プログラムは実行したウイルスに
代わりインストールされた著名なブラウザソフトから資格情報やシステム情報を
取得するといった動作が確認されています。
その他の動作として、著名なWebブラウザをバックグラウンドで起動し
設定の改ざんを行ったり、端末にインストールされたアンチウイルスソフトの
照会や、スクリーンショットの撮影といった挙動が確認されています。
なお、漏洩した情報はインターネットを介して不正なサーバへ送信されますが
一部の通信先は攻撃者などで利用されているMaas(Malware-as-a-Service)のサーバとして
稼働しているため、送信後アンダーグラウンドフォーラムの会員制サイトで漏洩した情報が
取引に利用されています。
■漏洩する情報
感染した場合、以下の情報が漏洩する可能性があります。・インストールされたウイルス対策製品の情報
・スクリーンショットの取得
・Webブラウザ(Edge、Google Chrome等)の情報
・OSのシステム情報 等
■想定される侵入経路
Webサイトまたは、他のウイルスに作成されることが推測されます。2024年01月 : プロセスの監視やセキュリティ機能の改ざんを行い情報を盗むウイルス
■ウイルス名
ML.Attribute.HighConfidence、Trojan.Win32.SMOKELOADER、Trojan:Win32/Glupteba.SAP!、UDS:DangerousObject.Multi.Generic 等■概要
本ウイルスは、感染すると端末のシステム情報を盗み、OS上のセキュリティ機能を改ざんして他のウイルスを実行させやすくすることが確認されています。
ウイルスが実行されると、ルートキットがドライバのインストールフォルダに追加され、
稼働中の正規OSプログラムのプロセスを監視します。この際、意図しないOSの再起動が
強制的に発生します。
また、Windowsの正規OSプログラムである[ csrss.exe ]と同一のファイルが作成されます。
本来、[ csrss.exe ]はC:\Windows\System32\に存在しますが、当該ウイルスによって作成された
プログラムは上記フォルダとは異なるフォルダに作成され正規ファイルを装います。
さらに、ログオン時に自動的に実行されるようにタスクスケジューラにタスクを作成し、
ファイヤーウォール機能で当該ファイルの通信が遮断されないように送受信規則を作成し、
ネットワーク設定の改ざんを行います。
この改ざんによりウイルスは特に通信をブロックされることなくインターネットへの
アクセスが可能となります。
その他の不正な動作として、特定のエンドポイントの設定変更を行い検出の回避や、
リバースエンジニアリング対策としてサンドボックス環境、仮想環境上で動作した場合、
ウイルスは自身を終了します。
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。・OSのシステム情報
・ブラウザ情報(履歴、パスワードなど)
・メールソフトの資格情報
・クリップボードのデータ
・ウェブカメラの監視 等
■想定される侵入経路
スパムメールに添付されたファイルより感染することが推測されます。2023年12月 : 著名なブラウザソフトやメールソフトを操り有益な情報を盗むウイルス
■ウイルス名
Trojan.Win32.GULOADER、NSIS/Injector、HEUR:Trojan.Win32.Makoob、ML.Attribute.HighConfidence 等■概要
本ウイルスはGuLoaderとして特定され、攻撃者がマルウェアを大規模に配布するために使用するダウンローダーの一部です。
感染後、ウイルスは端末内の偵察を行い、有益な情報を盗み取り
C&Cサーバーに送信します。
ウイルスの動作としては、著名なWebブラウザをバックグラウンドで起動し、
ダウンロードフォルダ内のファイルへのアクセスやWebブラウザの資格情報を
盗むことがあります。
また、PowerShellを起動した後、インストールフォルダ内の著名なメールソフトに不正なコードを注入し、
呼び出しを行った子プロセスの監視を行います。
なお、リバースエンジニアリング対策として、PowerShellのコードはすべて難読化されています。
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。・OSのシステム情報
・ブラウザ情報(履歴、パスワードなど)
・メールソフトの資格情報
・クリップボードのデータ
・ウェブカメラの監視 等
■想定される侵入経路
スパムメールに添付されたファイルより感染することが推測されます。2023年11月 : 端末の監視やシステム情報の窃取、横感染を狙うウイルス
■ウイルス名
Backdoor.Win32.DARKCOMET、Backdoor.Win32.DarkKomet.hqxy、W32/Redline!E8F02FA9ACB0、Worm:Win32/AutoRun!pz 等■概要
本ウイルスに感染した場合、端末のシステム情報を盗み、キーボード操作を監視することが確認されています。
感染後、ウイルスは証明書を取得しC&CサーバにHTTPS通信を介して接続を行うことで
信頼できる通信であるかのように偽装します。
また、%program data%フォルダや%ProgramFiles%フォルダなどに、正規のソフトウェア名を
装ったフォルダを作成し、自身のコピーまたはダウンロードした他のウイルスファイルを
設置します。
その他の動作として不正活動を永続的に行うために自動実行のレジストリを追加します。
作成されるレジストリ名は正規のドライバ名を装い利用者や解析者からの発見を逃れる工夫が
施されています。
さらに、端末がWindowsのセキュリティ更新プログラムなどを未適用の場合、
ウイルスは脆弱性を利用してWindowsの正規プログラムにインジェクションを行います。
また、ウイルスはシステム情報などから端末に接続されているUSBドライブの探索を行い、
USBドライブが接続されている場合、自身のコピーをUSBに配置することで、他の端末に
USBドライブを接続した場合、さらなる感染被害をもたらします。
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。・GUID
・OSの情報
・インストールされたアプリケーション/バージョン情報
・ディスクの空き容量
・ディレクトリやファイルの抽出
・デバイスのボリューム情報 (名前、シリアル番号など)
・ネットワークサービスディスカバリ
・ビデオカード情報
・プロセッサ情報
・ホストファイルの情報
・レジストリ キー
・稼働中のすべてのドライバーのリスト
・環境変数
・稼働中のプロセス情報
・キーボード操作の情報
・仮想通貨
・Webブラウザ(Edge、Google Chrome等)の情報
・SNS(FaceBook)/動画サイト(YouTube)などの資格情報 等
■想定される侵入経路
誤ってダウンロードすることによりコンピュータに侵入することが想定されます。2023年10月 : システムの改ざんや監視を行い有益な情報を搾取するウイルス
■ウイルス名
Trojan.Win32.SMOKELOADER.YXDJ、Trojan.TR/AD.Nekark.dee、Trojan:Win32/Stealc.MTB、W32/Kryptik.HUKQ! 等■概要
本ウイルスは感染した場合端末のシステム情報の他、著名なブラウザソフトやSNS、動画サイトの資格情報やビットコインを盗むウイルスとして確認されております。
また、OSで稼働中の正規プログラムやメモリに不正なコードの注入(インジェクション)を行うことで、
稼働中の正規プログラムを介して通信を行い収集したデータの送信や、他のウイルスをダウンロードする
動きも確認されています。
その他にも本ウイルスの不正な動作として以下が挙げられます。
・端末への侵入の際ウイルスファイル自体がウイルス対策ソフトからの発見を逃れる
対策としてファイル自体のコードが暗号化や一般的に利用されない拡張子に変更
・侵入後ローカル上で動作する際に端末の利用者などから不正なファイルではないものとして
なりすましを行うため、ファイル自体に自己証明書や正規ファイルを模したプロパティ情報が記載
■端末への影響
感染した場合ウイルスにより以下の影響を受ける可能性が考えられます。・キーストロークの監視
・ファイルのアクセス権限やファイル属性の変更
・特定のEPP(エンドポイント)通知やスキャンを無効化
・特定のレジストリ キー/値の変更
・タスクスケジューラーにウイルスが自動実行できるよう永続化
・OSのシャットダウン/OSの再起動
・ランサムウェアやルートキットなどを含む他のウイルスのダウンロードと実行
・著名なブラウザや動画サイト、SNSのログイン画面を自動起動及び情報の搾取
・侵害されたサーバから各種コマンドの受け取り
また、リバースエンジニアリング対策として、端末がサンドボックス環境、仮想環境、
といった特定の環境となる場合、自身を終了します。
・アンチウイルス製品の検出
・サンドボックスの検出
・仮想マシンの検出
・デバッグ環境の検出
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。・GUID
・OSの情報
・インストールされたアプリケーション/バージョン情報
・ディスクの空き容量
・ディレクトリやファイルの抽出
・デバイスのボリューム情報 (名前、シリアル番号など)
・ネットワークサービスディスカバリ
・ビデオカード情報
・プロセッサ情報
・ホストファイルの情報
・レジストリ キー
・稼働中のすべてのドライバーのリスト
・環境変数
・稼働中のプロセス情報
・キーボード操作の情報
・仮想通貨
・Webブラウザ(Edge、Google Chrome等)の情報
・SNS(FaceBook)/動画サイト(YouTube)などの資格情報 等
■想定される侵入経路
誤ってダウンロードすることによりコンピュータに侵入することが想定されます。2023年09月 : 複数の通信やファイルの生成実行によって、目的の攻撃をカモフラージュするウイルス
■ウイルス名
HEUR:Trojan.Win32.Chapak、Trojan.Gen、TrojanSpy.Win32.REDLINE、BehavesLike.Win32.Lockbit 等■概要
本ウイルスは感染した場合、正規のソフトウェアをインストールする挙動や複数のC&Cサーバや正規のサイトへ接続することで、複数の不正なファイルをダウンロードすることや、バッチファイルを生成するウイルスとして確認されております。
感染後永続的に不正活動を行うため、生成した複数のバッチファイルや実行ファイルをスタートアップに設定することで、
OSが起動する際に複数のコマンドプロンプトが表示され、バッチファイルや実行ファイルが自動起動します。
また、主にtemp領域やWindowsフォルダ内にファイルを生成し複数の不正活動することで、ランサムウェア自体を
感染するための時間稼ぎやカモフラージュさせるためのウイルスとなります。
その他の動作として本ウイルスにより不正に権限の昇格が行われた場合以下のセキュリティ機能で設定変更が行われます。
・特定のEPP(エンドポイント)で不正ファイルが検出されないよう機能の無効化
・特定のファイヤーウォールでC&Cサーバへの通信に対する監視の無効化
またホワイトハッカーによる解析への対策として端末内に解析ツールが存在する場合などは以下のような確認を行い
長期のスリープ状態や感染活動自体を終了する設定が施されています
・サンドボックスの検出
・仮想マシンの検出
・デバッグ環境の検出
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。・システム情報
・稼働中のドライバ/プロセス情報
・管理者権限の情報
・仮想通貨 等
■想定される侵入経路
Webサイトまたは、他のマルウェアに作成されることが推測されます。2023年08月 : OSシステムの改ざんや端末内部の情報を盗むウイルス
■ウイルス名
HEUR:Trojan-Spy.Win32.Windigo、Trojan.Win32.AMADEY.YXDH、Trojan:Win32/Wacatac.B、Trojan.TR/Redcap 等■概要
本ウイルスは感染した場合、稼働中のプロセスの監視やシステム情報を盗むウイルスとして確認されており、「C:\Windows\」フォルダ内に
自身のコピーファイルやルートキットをフォルダ内に追加します。
また、利用者などからの早期発見を逃れるためファイル自体に自己証明書や、
正規ファイルになりすますためのファイル名、プロパティ情報の記載があります。
ウイルスは端末に侵入後永続的に不正活動を行うため、OSにログオンの都度
自動で実行が行えるようにレジストリの改ざんや、特定のウイルス対策製品が
インストールされている場合、検索機能の無効化やウイルスファイル自体の除外登録、
また、ファイヤーウォールの設定でウイルスの許可を行うなどといった、
様々な改ざんを行うことが確認されております。
その他、仮想マシン、サンドボックス上での実行を検知した場合、
動的解析や検知を回避するためのスリープや終了するなどの対策を備えているため、
発見が厄介な性質を持っています。
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。・キーストローク情報
・OSのシステム情報
・GUID
・端末名
・シリアル番号
・稼働中のプロセス情報
・GUID
・インストールされたソフトウェア情報
・メモリの情報
■想定される侵入経路
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
2023年07月 : 端末内から様々な情報を盗むRedLine
■ウイルス名
HEUR:Trojan-Spy.Win32.Stealer、Trojan.TR/AD.RedLineSteal、Trojan:Win32/Redline.GNF!、TrojanSpy.Win32.REDLINE 等■概要
本ウイルスは2020年頃に出現したウイルスRedLine(レッドライン)として確認されており、感染した場合、他のウイルスと同様に端末にインストールされた
ブラウザソフトやFTPソフトの資格情報や、ローカル内のインストールフォルダや
ファイルの情報を盗むほか、暗号通貨の情報や著名なゲームアプリケーションの情報を
盗むウイルスとして確認されております。
また、ホワイトハッカーによる解析への対策のため、端末内に解析ツールが存在する場合など、
以下のような確認を行い長期のスリープ状態や感染活動自体を終了する設定が施されています
・アンチウイルス製品の検出
・サンドボックスの検出
・仮想マシンの検出
・デバッグ環境の検出
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。・OSのシステム情報
・GUID
・端末名
・シリアル番号
・ディスク情報
・ビデオカード情報
・プロセッサ情報
・稼働中のプロセス情報
・ディレクトリやファイルの検出
・インストールされたアンチウイルスソフトの情報
・インストールされているソフトウェアの情報
・暗号通貨ウォレットの情報
・ブラウザの資格情報(履歴、パスワード 等)
・メーラーの資格情報
・特定のゲームアプリケーションの資格情報
・ftpログイン資格情報 等
■想定される侵入経路
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
2023年06月 : 正規ファイルを装い端末のシステム情報を盗むウイルス
■ウイルス名
A Variant Of Win32/TrojanDropper.Agent、GenericRXAA-AA!F77F8F、Trojan.Chikdos!、Trojan.Win32.Swisyn.cs 等■概要
本ウイルスは端末のシステム情報やネットワーク情報を盗むウイルスとして確認されており、感染した場合、「Program Files」フォルダ内に一般的なソフト名に偽装したフォルダと、
Windowsの正規プログラム名を装ったウイルスをフォルダ内に作成します。
上述のフォルダ内に作成される設定ファイル情報(通信先及び特定ポート番号)を元に、
定期的に通信を行う挙動があり、その他にも、端末内のネットワーク情報や端末のシステム情報等を
収取しようとする挙動が確認されております。
また、本ウイルスは仮想マシンやサンドボックスでの実行を検知し、実行時は動作を隠蔽する目的で
スリープするなど、動的解析や検知を回避するための機能を持ち、発見が厄介な性質を持っています。
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。・OSのシステム情報
・インストールされたモジュールや存在するファイルの情報
・システムロケール(言語や国・地域等の情報)
・スタートアップ情報の取得
・稼働中のプロセス情報 等
■想定される侵入経路
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
2023年05月 : 端末のカメラやマイクに接続を行い監視やシステム情報を盗むウイルス
■ウイルス名
Backdoor.MSIL.SOLMYR、Trojan:MSIL/BitRat.NEAC、HEUR:Trojan-Spy.MSIL.Solmyr、Trojan.TR/Kryptik 等■概要
本ウイルスは感染した場合、稼働中のプロセスの監視を行い、端末のカメラや音声マイクへの接続、キーロギングやシステム情報を盗む
ウイルスとして確認されています。
また、隠しフォルダ属性の[ roaming ]フォルダ内に自身のコピーを作成し、
自動実行をできるように、1分おきにスケジュールされたタスクスケジューラーの
作成を行います。
その他、リバースエンジニアリングへの対策として、ウイルスは難読化処理が
施されているほか、アンチデバッグ機能が施されていることも確認されています。
永続的に感染活動を継続するため権限の昇格を行い特定のEPP(エンドポイント)に対して
検出されないよう、機能を無効化にするといった挙動が確認されております。
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。・OSのシステム情報
・製品情報
・クリップボードのデータ
・キー入力操作情報
・ブラウザ(Edge、Google Chrome等)の情報 等
接続先となるC&Cサーバーが閉鎖していない場合、リモートコマンドを受け取って
次の機能が実行される可能性があります。
・ウイルスのダウンロードと実行
・メモリ内で不正コードを実行
・仮想通貨のマイニング
・Webカメラとマイクへの接続
・ファイルの管理 (削除、圧縮、検索) 等
■想定される侵入経路
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
2023年04月 : キーボードで入力した情報を監視し有益な情報を盗むウイルス
■ウイルス名
A Variant Of MSIL/Kryptik、HEUR:Trojan.Win32.Invader、TROJ_GEN.R002C0DCB23、Trojan:MSIL/SnakeKeylogger 等■概要
本ウイルスは端末に感染した場合、キーボードで入力した情報の監視を行い有益な情報を盗むウイルスとして確認されています。
また、リバースエンジニアリング対策として、端末がサンドボックス環境、仮想環境、
といった特定の環境となる場合、自身を終了します。
■自身を終了する例
・感染した端末内のファイルパスにvirus、sandboxなどの文字列が含まれている・レジストリデータに特定の文字列が含まれている
・サンドボックス、仮想環境で使用するプロセスが動作している 等
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。・OSのシステム情報
・スクリーンショットの取得
・クリップボード域のデータ情報
[ ブラウザ ]
・Baidu
・BlackHawk
・Chrome
・Chromium
・Coowon
・Firefox
・Internet Explorer
・Microsoft Edge
・Opera
・Safari
・Tor Browser
・Torch
・Yandex
[ FTP ]
・FileZilla
・WebDrive
・WinSCP
[ メール ]
・Foxmail
・GMail
・Opera Mail
・Outlook
・Thunderbird
[ チャットソフト ]
・Skype
■想定される侵入経路
他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入することが想定されます。
2023年03月 : ブラウザ等のサードパーティ製品を含む情報を盗むウイルス
■ウイルス名
A Variant Of MSIL/Kryptik、HEUR:Trojan.Win32.Invader、TROJ_GEN.R002C0DCB23、Trojan:MSIL/SnakeKeylogger 等■概要
本ウイルスは端末にインストールされたサードパーティ製品の資格情報を盗むウイルスとして確認され、外部の侵害されたサーバから、
他のウイルスを介して端末に侵入を行うことや、
稼働中のプロセスに不正なコードを挿入して意図しない実行を行う
挙動が確認されています。
また、隠しフォルダ属性のフォルダ(roaming)内に自身の
コピーを作成し、端末のログオン時に自動実行できるように
タスクスケジューラーの作成を行います。
但し、タスクスケジューラーの作成日時を表示すると、作成された日時より
遥かに古い日時が記されていることから、あたかも端末で長期にわたり
利用されていたタスクスケジューラーであることを偽っています。
その他にも、端末のグローバルIPアドレスの特定を行うため
外部サイトに通信を行ったり、特定のEPP(エンドポイント)に対して
検出されないように除外登録を行うといった挙動が確認されております。
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。・OSのシステム情報
・グローバルIPアドレス
・Google Chrome
・Microsoft Edge
・Microsoft Outlook
・Telegram 等
■想定される侵入経路
他のウイルスの実行などによりC&Cサーバからダウンロードされ侵入することが想定されています。
2023年02月 : 端末内部の情報を偵察し不正活動を行うウイルス
■ウイルス名
Trojan-Downloader.Win32.Gomal、TROJ_GEN.R03BH0CBI23、Heuristic.HEUR/AGEN.1253552、Trojan:Win32/Casdet!rfn 等■概要
本ウイルスに感染した場合、端末内のシステム情報、稼働中のプロセス情報やスクリーンショットの取得を行い侵害されたサーバーへ送信を行います。ウイルスは、端末に侵入すると、コマンドラインによりOSのローミングフォルダ内に、自身の複製を行い、自動実行が行えるようにレジストリの改ざんやスケジュールされた タスクの作成を行います。
またウイルスは侵入した端末で活動することを隠ぺいするため、Windows正規ファイルのプロセスにインジェクションを行う可能性があります。
その他、リバースエンジニアリングからの発見を逃れるため仮想環境やサンドボックス上で実行されていないかの確認を行う設定が組み込まれています。
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。・OSのシステム情報
・稼働中のプロセス情報
・スクリーンショット 等
■想定される侵入経路
Webサイトまたはスパムメールから感染することが推測されます。2023年01月 : 正規ソフト(プログラム)にインジェクションを行い情報を盗むウイルス
■ウイルス名
TROJ_GEN.R002C0PLN、HEUR:Trojan.MSIL.Scarsi.gen、A Variant Of MSIL/TrojanDownloader.Agent.OIT、Artemis!F07E946C8273 等■概要
本ウイルスに感染した場合、端末にインストールされている正規ソフト(プログラム)にインジェクションを行い、端末内の情報を盗むウイルスとして確認されています。
該当の正規ソフト(プログラム)は、ウイルスからの命令を受け取ることで
感染端末から情報を収集し、不正なサーバへ送信することが確認されています。
また、本ウイルスは感染した端末のユーザから不正なファイルとして判断されないよう、
ユーザプロファイル内にファイルを作成し、実行したフォルダから自身の削除を行うことや、
発見を逃れるための対策として、ファイルのプロパティ情報に著名な会社の情報を
記載することで正規ファイルのように、なりすましていることが確認されています。
その他、リバースエンジニアリングからの発見を逃れるため 仮想環境やサンドボックス上で実行されていないかの確認を行う
設定が組み込まれています。
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。・OSのシステム情報
・GUID
・端末名
・シリアル番号
・ブラウザ情報(履歴、パスワードなど)
・稼働中のプロセス情報 等
・ブラウザの資格情報(Google Chrome 履歴、パスワード 等)
・インストールされたアンチウイルスソフト、設定されたファイヤーウォール 等
■想定される侵入経路
誤ってダウンロードすることによりコンピュータに侵入することが想定されます。2022年12月 : 著名なエンドポイントセキュリティ製品になりすまして情報を盗むウイルス
■ウイルス名
Artemis!A387FD7276、ML.Attribute.HighConfidence、HEUR:Trojan.MSIL.Shelpak、TROJ_GEN.R002C0DLI 等■概要
本ウイルスに感染した場合、端末のシステム情報やブラウザの資格情報を盗むウイルスとして確認されております。 端末で実行されると、C:\Users\<ユーザアカウント名>\AppData\roaming\<任意のフォルダ>\に
著名なエンドポイントセキュリティ製品名に関する名前が入ったウイルスを作成する動作が
確認されています。
また、その他には外部への通信やタスクスケジューラーを用いて、本ウイルスがログオン時に
実行される設定を行っているため、永続的に感染活動を行う挙動を確認しております。
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。・ブラウザの資格情報(履歴、パスワード 等)
・ftpログイン資格情報
・端末のシステム情報
・メッセンジャー/メールアカウント
・ブラウザ情報(履歴、パスワードなど)を収集して盗もうとします
・稼働中のプロセス情報
・キーストロークの監視 等
■想定される侵入経路
他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入することが想定されます。
2022年11月 : エンドポイントの検出を回避して情報を盗むウイルス
■ウイルス名
TROJ_GEN.R002C0RKQ、Trojan:MSIL/AgentTesla、HEUR:Trojan-PSW.MSIL.Agensla、ML.Attribute.High 等■概要
本ウイルスに感染した場合、PowerShellを用いて下記ローミングフォルダ内に、自身のコピーを複数複製し、その後自動起動できるようにレジストリの改ざんや特定のEPP(エンドポイント)
に対して検出されないように除外登録を行う挙動を確認しております。
▼複製および、除外登録されたパス
C:\Users\<ユーザアカウント名>\AppData\roaming\<ウイルスファイルまたはフォルダ>
自動起動等の設定後に、複数の外部通信先へ通信を行う事が確認されており、端末から
収集した情報を送信することや新たな機能をダウンロードすることが考えられます。
挙動も確認されています。
また、感染した端末のIPを把握するため、正規サイトに接続を試みIPアドレスの確認を行うほか、
ウイルスは解析者(ホワイトハッカー)によるリバースエンジニアリングから
発見を逃れるため仮想環境やサンドボックス上で実行されていないかの確認を行う設定が
組み込まれています。
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。・端末のシステム情報
・ブラウザの資格情報(履歴、パスワード 等)
・FTPの資格情報
・キーストロークの監視
・稼働中のプロセス情報 等
■想定される侵入経路
スパムメールに添付されたファイルより感染することが確認されています。他のウイルスの実行などによりC&Cサーバからダウンロードされ侵入することが想定されています。
2022年10月 : 稼働中のプロセスの監視を行い情報を盗むウイルス
■ウイルス名
TROJ_GEN.R002H07JR、HEUR:Trojan-Spy.MSIL.Noon、PWS:MSIL/Lokibot.GG!、Scr.Malcode! 等■概要
本ウイルスは感染した場合、端末のシステム情報やブラウザの資格情報を盗むウイルスとして確認されております。端末で実行されると、自身を削除し、C:\Users\<ユーザアカウント名>\AppData\roaming\にコピーファイルの作成を行うことが確認されているほか、
侵害されたサーバにポート80のHTTPで接続を行い端末から収集した情報を送信することが考えられます。
その他にも、端末で稼働しているWindows正規ファイルのプロセスに悪性コードのインジェクションを行い監視を行ったり、
アンチデバッグ機能により、端末がデバッグ環境だった場合には動作しないといった設定が組み込まれています。
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。・実行中のすべてのプロセス情報
・端末名
・シリアル番号
・ブラウザの資格情報(Google Chrome 履歴、パスワード 等)
・FTPの資格情報
・メールソフトの資格情報 等
■想定される侵入経路
他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入することが想定されます。
2022年09月 : システム情報やブラウザ情報を盗むウイルス
■ウイルス名
Trojan:Win32/RanumBot、Trojan.TR/AD.VidarStealer、HEUR:Trojan.Win32.Inject、A Variant Of Win32/Kryptik 等■概要
本ウイルスは感染した場合、端末で使用されているブラウザの資格情報を盗むウイルスとして確認されています。
また、ウイルスはインターネットに接続することが可能な端末であるか、
インストールされたネットワークアダプタの情報を確認したり、
一般的によく利用される検索エンジンサイトにアクセスするといった
挙動も確認されています。
その他、稼働中のプロセスの検出を行い、デバッグ環境であることを確認する機能や
さらなる感染を目的とした他のウイルスファイルのダウンロードを行う
挙動も確認されています。
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。[ ブラウザ ]
・Amigo
・CentBrowser
・Chedot
・Chromium
・Elements Browser
・Google Chrome
・Internet Explorer / Edge
・Kometa
・Mozilla Firefox
・Orbitum
・Torch
・Uran
[ 端末のシステム情報 ]
・インストールされたモジュールや存在するファイルの情報
・システムロケール(言語や国・地域等の情報)
・スタートアップ情報の取得
・ディスクの空き容量
・ユーザ名の取得
・稼働中のプロセス情報
■想定される侵入経路
他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入することが想定されます。
2022年08月 : システム情報やデータファイルの内容を元に有益なソフトウェアの情報を盗むウイルス
■ウイルス名
Trojan.TR/Crypt.XPACK、Trojan:Win32/MarsStealer、A Variant Of Win32/PSW.Agent、TrojanSpy.Win32.MARS 等■概要
本ウイルスは端末に侵入した場合、OSのシステム情報や特定の拡張子をもつデータファイルの情報を盗み、端末内に存在する有益なソフトウェアの情報を盗み取るウイルスとして確認されています。
ただし、収集したOSのシステム情報のうち、ウイルスが指定した特定の情報(例:端末の存在する国、ユーザ名、マシン名)を
発見した場合、ウイルスはその後の感染活動を終了してしまいます。おそらくホワイトエンジニアによる
リバースエンジニアリングから発見を逃れるための対策であることが考えられます。
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。[ 端末のシステム情報 ]
・GUID
・IPアドレス
・OSのシステム情報
・RAM情報
・インストールされているソフトウェア
・キーボードレイアウト
・コンピュータID
・コンピュータ名
・システムロケール(言語や国・地域等の情報)
・ディスプレイの解像度
・ドメイン名
・ビデオカード情報
・プロセッサ情報
・ユーザ名
・スクリーンショット
[ 漏洩するファイル ]
C&C(外部)サーバーから受け取った情報に基づいて、
以下の拡張子が付与されたファイルを端末内から収集し
外部に送信を行うことが確認されています。
・*.doc
・*.json
・*.txt
・*.xss
・*.zip 等
[ ブラウザ ]
漏洩するソフトウェアにはWebブラウザが含まれており
クッキー、ダウンロード、履歴、認証情報、オートフィル、クレジットカードの
情報を抜き取ることが確認されています。
・Amigo
・BlackHawk
・Brave
・Cent
・Chrome
・Chromium
・Cyberfox
・Edge_Chromium
・Elements
・Firefox
・Opera
・Orbitum
・Sputnik
・Telegram
・Torch
・Waterfox
[ 仮想通貨 ]
・Atomic
・Binance
・Coinomi
・ElectronCash
・Ethereum
・Exodus
・JAXX
・MultiDoge
[ メールソフト ]
・Thunderbird
■想定される侵入経路
悪意のあるWebサイトから誤ってダウンロードされたり、他のマルウェアによって作成されることが推測されます。
2022年07月 : SMTPを用いて収集した情報を外部に送信するウイルス
■ウイルス名
Trojan:MSIL/AgentTesla、Msil.Trojan-spy、HEUR:Trojan-Spy.MSIL、Scr.Malcode 等■概要
本ウイルスは端末内のVPN、ブラウザ、メール、FTPなどの情報を盗むウイルスとして確認されており、収集した情報を外部に送信するために、SMTPを用いてメールで情報を
送信する挙動が確認されており、その他にも、ウイルスは解析者(ホワイトハッカー)による
リバースエンジニアリングから発見を逃れるため仮想環境やサンドボックス上で
実行されていないかの確認を行う設定が組み込まれています。
そのため、本ウイルスは仮想環境やサンドボックスに関連したレジストリキーが
端末内に存在していないかの確認を行い、仮想環境上で実行されていた場合は
本ウイルスは動作を終了します。
■漏洩する情報
感染した場合、システム情報以外に端末内のブラウザ、電子メールクライアント、FTPクライアント、VPNなどのアプリケーションで保存された資格情報が漏えいする可能性が考えられます。
(1)ブラウザ
- Chrome
- Chromium
- Firefox
- Microsoft Edge
- Opera
- QQBrowser
- Sleipnir 6
- Waterfox
(2)メールクライアント
- MailBird
- PostBox
- ThunderBird
- Becky!
- FoxMail
- Opera Mail
- Outlook
(3)FTPソフトウェア
- CoreFTP
- FTP Navigator
- FileZilla
- SmartFTP
- WinSCP
(4)VPNソフトウェア
- NordVPN
- OpenVPN
- PIA VPN
■想定される侵入経路
他のウイルスの実行により不正にダウンロードや作成されて侵入することが推測されます。
2022年06月 : ブラウザ、メール、FTPといったソフトの資格情報を盗むウイルス
■ウイルス名
TrojanSpy.MSIL.NEGASTEAL、HEUR:Trojan.MSIL、Trojan:MSIL/Agent、MSIL/Kryptik.WYG 等■概要
本ウイルスは端末内のブラウザ、メール、FTPなどの情報を盗むウイルスとして確認されています。
また、ウイルスは不正な動作として端末内に.NET Framework 4 (Web インストーラー)が存在するかの
確認を行い、端末にインストールされている場合、正規のメッセージを装った
エラーメッセージを表示する動作や、永続的にウイルスが動作できるよる、
端末に利用者がログインの度に実行できるよう、隠しフォルダ上に
当該ウイルスのコピーの作成と自動実行のレジストリ値を追加します。
■漏洩する情報
感染した場合、端末内のブラウザ、電子メールクライアント、FTPクライアントなどのアプリケーションで保存された資格情報が漏えいする可能性が考えられます。
(1)ブラウザ
- Brave
- ChromePlus
- Chromium
- Falkon
- Firefox
- Google Chrome
- Liebao
- Microsoft Edge
- Opera
- QQBrowser
- Sleipnir
- Sputnik
- UCBrowser
- Yandex
(2)メールクライアント
- Becky
- FoxMail
- Opera Mail
- Outlook
- Thunderbird
(3)FTPソフトウェア
- CoreFTP
- FTP Navigator
- FileZilla
- SmartFTP
- WinSCP
■想定される侵入経路
スパムメール経由で感染することが推測されます。2022年05月 : 遠隔操作を行い感染した端末から情報を盗むバックドア
■ウイルス名
HEUR:HackTool.Win32.Agent.gen 、TROJ_GEN.R002C0、Trojan.TR/Injector、Trojan:Win32/RemcosCrypt 等■概要
本ウイルスはバックドア系のウイルスとして確認されており、感染した端末に対して遠隔操作によるウイルスの実行と端末内の情報を盗みとる動作などが確認されています。
感染した端末は、初動として端末がインターネットに接続しているかの疎通確認のため
正規サイトに接続を試みたり、インターネット上に存在するC&Cサーバに接続を行います。
また、本ウイルスは下記の動作をすることが確認されています。
・他のウイルスのダウンロードおよびファイルの実行
・稼働中のサービスの取得
・シェルコマンドの実行
・OSのシャットダウン/OSの再起動
・ユーザ操作によるマウスイベントの監視
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。・インストールされたモジュールや存在するファイルの情報
・システムロケール(言語や国・地域等の情報)
・スタートアップ情報の取得
・稼働中のプロセス情報
・画面レイアウト情報
・Google Chrome、FireFoxのパスワード情報とクッキー情報
・クリップボード域のデータ情報 等
■想定される侵入経路
スパムメールに添付されたファイルより感染することが確認されています。また、他のウイルスの実行などによりC&Cサーバからダウンロードされ
侵入することが確認されています。
2022年04月 : 感染したネットワーク環境内で感染活動を行うワームについて
■ウイルス名
HEUR:Trojan-Downloader.Win32、Trojan:Win32/Gandcrab、Packed.Generic、A Variant Of Win32 等■概要
本ウイルスはワームとして確認され、侵入した端末が感染した場合、OSの再起動を行うと本ウイルスが自動実行を行えるようにレジストリ値の追加を行い
永続的に動作するよう設定されているほか、端末が接続しているネットワークドライブや
利用しているリムーバブルディスクドライブを介して別の端末に感染を
行うことが確認されています。
本ウイルスは、その他にも下記のような挙動が確認されております。
〇無効となる可能性があるWindowsシステム
ウイルスは侵入した端末で活動することを隠ぺいするため
下記のWindowsシステムを無効にし端末を危険な状態にする
可能性があります。
・Windows Defender
・セキュリティ通知
・自動更新
・システムの復元
・ファイアウォール 等
〇存在すると動作しないプログラム
仮想環境やデバッグツールで使用されているプログラムやモジュールが
端末に存在するかを確認し、存在する場合は本ウイルスは動作を終了します。
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。・モジュール名やファイル名
・スタートアップ情報の取得
・画面レイアウト情報 等
C&Cサーバーが閉鎖していない場合、リモートコマンドを受け取って
新たな機能を追加するために、他のウイルスをダウンロードします。
■想定される侵入経路
スパムメールに添付されたファイルより感染することが推測されます。ネットワークドライブやリムーバブルディスクドライブを経由して感染することが考えられます。
また、Webサイトを介してユーザが意図せず侵入することが想定されます。
2022年03月 : 端末内の有益な情報を盗みとるボットウイルス
■ウイルス名
Trojan:Win32/GuLoader、Win32:TrojanX-gen、A Variant Of Win32/Kryptik、TrojanSpy.Win32.DANABOT 等■概要
本ウイルスはボットウイルスとして確認され、感染した場合、端末内の偵察を行い有益な情報を盗みとりC&Cサーバーに送信することが確認されています。
また、ボットウイルスは実行後、自身の削除を行い端末が感染したことを隠蔽したり、
利用者がマシンをログオフするとスタートアップに自身のコピーの作成を行い
自動実行されるといった動きが確認されています。
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。・ローカル/外部IPアドレス
・MACアドレス
・アカウント名(管理者権限を含む)
・マシン名
・システムロケール(言語や国・地域等の情報)
・稼働中のプロセス情報
・ウェブブラウザの情報
・Windowsプロダクトキー
・OSとOSのバージョン
・ストレージ情報 (容量, ドライブ)
・システム情報(製造元やモデル名、プロセッサ)
その他にも、端末内で保有している下記のアカウント情報が漏えいする
可能性が考えられます。
・VPNアカウント
・電子メールアカウント
・FTPアカウント
・Webブラウザ 等
接続先となるC&Cサーバーが閉鎖していない場合、リモートコマンドを受け取って
次の機能が実行される可能性があります。
・匿名通信への切り替え
・スクリーンショットの取得及び送信
・新たなウイルスのダウンロード
■想定される侵入経路
スパムメールに添付されたファイルより感染することが推測されます。2022年02月 : 情報漏えいを行う新たなEMOTETについて
■ウイルス名
Trojan.Win32.EMOTET、Malware.W97M/Dldr、Trojan.Emotet、HEUR:Trojan.Win32.Mansabo 等■概要
マクロウイルスを筆頭に現在日本国を標的としたEMOTETが猛威をふるう状況が継続して発生し感染被害が後を絶たない状況が続いております。本ウイルス情報では改めてEMOTETのウイルス情報についてご案内させて頂きます。
過去、EMOTETはテイクダウンされたことが話題となりましたが、攻撃者によりEMOTETの見直しがなされ再び攻撃が発生しております。
また、EMOTETは様々な亜種が確認されておりますが、一般的に以下の方法で端末に侵入を行い端末内の情報を盗む出す挙動が報告されております。
1.攻撃者によりマクロウイルスを添付したメールが送信される。
差出人を確認すると実在するユーザ名を名乗っているものの、メールアドレス部分が、不審な外国のドメインを使用しており、
ドメインと差出人が合致せず送信者のなりすましを行っています。
また、既にやり取りを行っているメールに対して返信されたように装い、件名に「Re」や「Fw」などを付与した形式となるため、
安易に開いてしまうことが考えられます。
2.端末ローカル上などでマクロウイルスのマクロを有効化。
現在の手法として、メールの添付ファイルがパスワード付きzipファイルで保護されていることが確認されております。
そのためゲートウェイなどの監視機器をくぐり抜けてしまいメールソフトで受信してしまうほか、
端末利用者が上記1.のなりすましの差出人であることに気づくことができず
添付ファイルのマクロを有効にすることが散見されています。
マクロウイルスはあくまでも外部からEMOTETをおびき寄せる橋渡しのようなマルウェアではありますが、マクロ機能を有効にすることで、
外部からEMOTETがダウンロードされるため甚大な被害をもたらすものと存じます。
3.端末上にウイルスを作成や侵害されたサーバよりEMOTETウイルスがダウンロードされる。
マクロを有効にした場合、マクロウイルスは端末にプロセスを追加しローカル上に新たなEMOTET関連のファイルの作成や
侵害されたサーバからEMOTETのダウンロードを行います。
4.端末内の情報が盗まれ外部に送信される。
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。・システム情報
・管理者権限
・メールアドレスやブラウザ情報 等
■想定される侵入経路
スパムメールに添付されたファイルより感染することが確認されています。他のウイルスの実行などによりC&Cサーバからダウンロードされ侵入することが確認されています。
2022年01月 : 端末内にインストールされたソフトの情報を盗み出すボットウイルス
■ウイルス名
Trojan:Win32/InjectorGen、Trojan.MSIL.Agent、MSIL/GenKryptik、 TrojanSpy.Win32.LOKI.YRF 等■概要
本ウイルスはボットウイルスとして確認され、端末内のユーザー資格情報を盗みとりC&Cサーバーに送信することが確認されています。キーロギング機能により端末の利用者が打鍵するキーボードを監視しFTPソフト、インターネットブラウザ、メールソフト、SSHソフトなどのソフトの端末ローカル内に保存されたパスワードを取得し 盗みだす可能性が考えられます。
また、ボットウイルスは、端末のメモリ内に他のウイルスを解凍し、メモリ上にロードを行う動作や、正規のプロセスに不正なコードを注入するといった動きが確認されています。
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。・ユーザー名
・ホスト名
・端末が所属するドメイン
・画面の解像度
・OS情報
■パスワードの漏えいが発生すると考えられるソフトウェア
上述のキーロギング機能により漏えいする可能性が考えられるソフトウェアとして下記がございます。・「Filezilla」「MyFTP」「WinFtp」等のFTPソフトウェア
・「Chrome」「Firefox」「Internet Explorer」等のブラウザ
・「Outlook」「Thunderbird」等のメールソフト
・「KiTTY」「PuTTY」等のSSHソフトウェア
C&Cサーバーを閉鎖していない場合、攻撃者はリモートコマンドを使って
下記の機能を実行することが可能です。
・さらに別のウイルスをダウンロードさせて実行
・端末に侵入させたウイルスのバージョンアップ
・キーストロークの監視
・スクリーンショットの撮影
■想定される侵入経路
・スパムメールに添付されたファイルを実行してしまい侵入※例として裁判所からの召喚状、荷物の配達通知、売上請求書、および支払い状況のご案内等のメールに添付されているファイル
・悪意のあるWebサイトから誤ってダウンロードしてしまい侵入
・他のウイルスの実行などにより侵入
2021年12月 : ローカルデータの暗号化や他のウイルスを呼び込むランサムウェア
■ウイルス名
Trojan-Ransom.Win32、TROJ_FRS.0NA103、W32/GenKryptik、Trojan:Win32/Predator 等■概要
本ウイルスはランサムウェアとして確認され、感染した場合ローカル上のデータファイルの暗号化を行う動作が確認されています。また、ランサムウェアは侵入に成功した端末内で暗号化を行う際、特定の拡張子をもつファイルを暗号化しないよう設定が登録されており
これは暗号化の処理の際、ランサムウェアに関連するプログラムを誤って暗号化しないよう対策が取られている可能性が考えられます。
また、自身の感染活動を継続させるため、以下のような挙動を行います。
【除外される拡張子】
.sys .ini .dll .blf .bat .lnk .dat 等
なお、ランサムウェアはホワイトハッカーによる早期発見を遅らせるため、侵入に成功した端末の環境がデバッグ環境、
サンドボックス環境といった場合、動作を終了するアンチ機能が施されています。
その他、ランサムウェアは、プログラムの中に予めリスト化された国コードや言語コードが組み込まれているため感染した端末の
ロケーションをC&Cサーバに照会を行ったり、管理者権限を不正に昇格することが成功した場合、情報漏えいを行う
別のウイルスのダウンロードを行うことで、端末内の情報や侵入に成功したネットワークを盗み出す動作やネットワークが
確認されております。
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。・システム情報
・管理者権限の情報 等
■想定される侵入経路
・Webサイトまたは、他のマルウェアに作成されることが推測されます。2021年11月 : C&Cサーバへ繰り返しアクセスを試みるウイルス
■ウイルス名
Trojan.MSIL.DLOADR、Heuristic.HEUR/AGEN、HEUR:Trojan.MSIL.Agent、Trojan:Win32/Wacatac等■概要
本ウイルスは、感染した端末が別のウイルスをダウンロードする挙動や、複数のC&CサーバへSSL通信を使用して接続を試みる挙動が確認されています。あわせて、本ウイルスに感染した端末がインターネット接続可能かの確認のため、疎通確認として正規のサイトへアクセスを試みる挙動も
確認されております。
また、自身の感染活動を継続させるため、以下のような挙動を行います。
・C&Cサーバよりダウンロードした悪意のあるファイルを、メモリ内に読み込ませ実行。
・感染した端末は、複数のC&Cサーバから応答があるまで不正URLに繰り返し接続を試みる。
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。・システム情報など
■想定される侵入経路
・Webサイトまたは、他のマルウェアに作成されることが推測されます。2021年10月 : 端末の監視と制御を行う不正なリモートアクセスツール
■ウイルス名
MSIL/Agent.BYE、GenericRXHQ-EU!42DF9216、ML.Attribute.High、Trojan:Win32/Tiggre! 等■概要
本ウイルスは不正なリモートアクセスツール(RAT)として確認され、初期段階の不正な活動として侵入に成功した端末の監視や制御、システム情報を搾取する挙動が確認され、搾取した情報からローカルネットワーク上に存在する周囲の端末の情報を搾取する動作も確認されています。
ウイルスは早期発見を遅らせるため、侵入に成功した端末がデバッグ環境やサンドボックス環境だった場合、動作を終了する機能が施されています。
また、端末内の標的となる正規プログラムの監視を行い、正規プログラムのプロセスが実行されている場合にはそのプロセスの強制終了を行い、正規プログラムと同名の不正な
プログラムが作成される動作が確認されています。
■端末が受ける影響
C&Cサーバーが閉鎖していない場合、次の機能が実行される可能性があります。- 稼働プロセスの監視
- ウェブカメラの監視
- 管理者権限の搾取
- 端末内のメモリまたはディスク内のファイルを実行
- タスクスケジュールの作成
- シェルスクリプトの実行
- WindowsDefenderの無効
- ブラックスクリーンの表示
- インターネット上で情報探索
- DOS攻撃の実施
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。・IPアドレス
・ユーザー名
・端末名
・アカウント/パスワード情報等(管理者権限を含む)
・キーボードで打鍵した情報
■想定される侵入経路
・他のウイルスの実行などによりC&Cサーバからダウンロードされ、侵入することが推測されます。2021年09月 : 感染活動を行いやすい環境を狙うボットウイルス
■ウイルス名
TROJ_FRS.0NA10320、HEUR:Trojan-Downloader.Win32.Agent、Trojan Horse、Trojan.TR/Crypt.XPACK 等■概要
本ウイルスはボットウイルスとして確認され、感染した場合に端末内の情報を盗み出すことが確認されています。また、ボットウイルスは特定の下記ソフトが端末内に存在する場合、感染活動を終了する設定が施されています。
・アンチウイルス製品の検出
・サンドボックスの検出
・仮想マシンの検出
・デバッグ環境の検出
端末に侵入したボットウイルスは、自身のコピーファイルを %AppData%フォルダーに作成し自動実行ができるようレジストリキーの追加を行います。
また、端末内に存在するWindows正規ファイルとなるexplorer.exe、iexplore.exe、mobsync.exeなどにインジェクションを行うことで、これら正規プログラムの動作を監視することが確認されています。
その他の挙動として、C&Cサーバーが閉鎖していない場合バックドア、ランサムウェアなどのウイルスやログイン情報を盗む不正なツールMimikatzを外部からおびき寄せる挙動が確認されており、感染した端末では更なる感染被害が発生することが考えられます。
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。・OSのログイン情報
・システムプロセッサ
・ローカルIPとグローバルIP
・ユーザ名
・マシン名
・インストールされたアプリケーション 等
■想定される侵入経路
スパムメールに添付されたファイルより感染することが推測されます。2021年08月 : システム情報や権限の情報を盗むためにPCの改ざんを行うウイルス
■ウイルス名
ML.Attribute.HighConfidence 、Trojan.TR/Crypt.XPACK、W32/PinkSbot-HC!F5D5B、TROJ_FRS.0NA103 等■概要
本ウイルスは感染した場合、Windowsの正規プログラム「explorer.exe」に不正なコードを挿入したり、スケジュールされた時間に自身のコピーファイルを自動実行できるよう設定を追加するなど、端末のシステムを
改ざんしシステム情報やオンラインバンクの情報を盗むウイルスとして確認されています。
本ウイルスは以下のフォルダにランダム名のフォルダを生成し、自身のコピーとなる exeファイルを配置したり、
感染後、意図しない通信として、インターネットに接続を試み、IPアドレスの検索サイトにアクセスを行い
外部との疎通確認を行うほか、C&C サーバから不正なコマンドを受け取ることでタスクスケジューラに
自身のコピーとなる exeが自動動作するようスケジュールを組み込む動きがございます。
・C:\Users\
また、ウイルスは解析者(ホワイトハッカー)によるリバースエンジニアリングから発見を逃れるため
アンチサンドボックス機能やウイルスが仮想マシン上で実行されていないかの確認を行う設定が
含まれています。
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。・システム情報
・端末が所属しているグループと権限の情報
・オンラインバンキングの情報 等
■想定される侵入経路
スパムメールの添付ファイルより感染することが想定されます。2021年07月 : 感染後レジストリ値の追加や変更を行い端末内の情報を抜き取るウイルス
■ウイルス名
Trojan.Win32.Inject、Malicious.f70404、TROJ_GEN.R002C0PLP20、Trojan.TR/Dropper.Gen 等■概要
本ウイルスは感染した場合、レジストリ値の変更や追加を行う挙動が確認され、レジストリにウイルスが自動実行できるよう値を追加したり、Windows OSの設定「ユーザーアカウント制御の設定」で通知の無効化を行い端末利用者が気づかないよう設定の変更を行うことが確認されてます。
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。・端末にインストールされたソフトウェア、セキュリティ製品、ファイヤーウォール製品 などの情報
・システム情報(ユーザネームやシステムアカウント)
・FileZillaのパスワード情報の取得
・キーボード操作情報
■想定される侵入経路
他のウイルスの実行などによりC&Cサーバからダウンロードされ侵入することが推測されます。2021年06月 : リモートデスクトップ(RDP)の設定情報を改ざんし、情報を盗むウイルス
■ウイルス名
Backdoor.Win64、Trojan-Dropper.MSIL.Agent、Trojan:Win32/Ymacco 、Trojan:Win64/Donipye 等■概要
本ウイルスは、感染した端末のリモートデスクトップ(以後:RDP)関連のレジストリを改ざんし、最終的に攻撃者が感染端末へ接続するために、RDPアカウントを作成するウイルスとして確認されております。
また、本ウイルスが端末に侵入し実行された場合、PowerShell、Cmd等がバックグラウンドで起動し、RDP機能の有効化やRDP関連の設定を変更及び、
RDPアカウントの追加まで完了すると一時フォルダに作成したファイルと、本ウイルス自身も削除する挙動が確認されております。
その他の挙動として、複数のC&Cサーバーへ接続を行い、情報の受け渡しを行ったり、不正なコマンドを受け取る動作も確認されております。
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。・OSの構成情報
・ユーザ名
・コンピュータ名
C&Cサーバーが閉鎖していない場合、リモートコマンドを受け取って
次の機能が実行される可能性があります。
・リモートデスクトップ接続
・キーボード操作の情報
・ブラウザからCookieまたは認証情報の取得
・OS情報を取得
■想定される侵入経路
Webサイトまたは、他のマルウェアに作成されることが推測されます。2021年05月 : 感染した端末を遠隔で操り資格情報を盗むウイルス
■ウイルス名
VirTool:Win32/Injector、Trojan-Spy.Win32.Zbot、TSPY_ZBOT、Gen:Variant.Symmi 等■概要
本ウイルスは一般的によく知られているアプリケーション(FTPクライアント、電子メールクライアントなど)のログオン資格情報を盗むことが確認されております。
端末に侵入した場合、ウイルスはランダムに生成されたファイル名を使用して%AppData%フォルダーに自身のコピーを作成し、
その後自動実行のレジストリキーを作成します。
また、C&Cサーバーが閉鎖していない場合、不正活動に必要な構成ファイルのダウンロードを試みるほか、
以下のような動作をリモートコマンドとして受け取り実行することも確認されております。
・端末内のファイル検索
・端末内のスクリーンショットを撮影
・端末内に作成されたすべてのユーザアカウントのログオン資格情報の収集
・ウイルスファイル自体の更新
・マシンの再起動
・マシンのシャットダウン
・ユーザーアカウントの作成/削除/ログオフ
・ブラウザのホームページの変更
またウイルスは侵入した端末で活動することを隠ぺいするため下記のWindows正規ファイルのプロセスにインジェクションを行う
可能性があります。
・taskhost.exe
・taskeng.exe
・wscntfy.exe
・ctfmon.exe
・rdpclip.exe
・explorer.exe
■漏洩する情報
感染した場合下記アプリケーションのログオン資格情報を盗む可能性が考えられます。〇アプリケーション
Outlook
WinMail
Windows Live Mail
FlashXP
Total Commander
FileZilla
WS_FTP
WinSCP
CoreFTP
SmartFTP
また、下記の端末情報を盗む可能性が考えられます。
〇端末情報
証明書
クッキー情報
OSシリアルキー
コンピュータネーム 等
■想定される侵入経路
Webサイトまたはスパムメールから感染すると推測されます。2021年04月 : JavaのWebアプリケーションを利用したWebサーバを標的としたウイルス
■ウイルス名
Trojan.JS.SPRAT、Backdoor.Java.Agent、Backdoor:JSP、Backdoor.Hadmad 等■概要
本ウイルスはWebサーバで稼働する Java Webアプリケーション(JSP)を標的としたバックドア系のウイルスとして確認されております。
本ウイルスに感染し、かつC&Cサーバと通信ができる場合、リモートコマンドが
実行でき、コマンドオプションにてファイルの情報の取得やサーバのファイルや
データベースサーバの情報をC&Cサーバへ送信されることが確認されています。
また、ディレクトリの作成/変更/削除を行うことも確認されております。
■漏洩する情報
感染した場合、Webサーバ内の下記情報が漏えいする可能性が考えられます。・ファイル名
・ファイルやディレクトリの読み取り/書き取り権限情報
・ファイルの最終変更日
・データベースのテーブル名
・データベースカタログの搾取
・指定されたテーブル内のすべてのエントリ情報
・ディレクトリ内に存在するファイルのファイル名、最終変更の情報
■想定される侵入経路
主な侵入経路として適切にセキュリティレベルが低いWebサーバ、もしくは、Webサーバ内に存在する脆弱性を利用して感染することが考えられます。
2021年03月 : 永続的に端末から情報を盗むためアンチウイルスソフト機能・タスクスケジュール機能が実装されたウイルス
■ウイルス名
Trojan.TR/AD.Qbot、W32/GenKryptik.EHFB、Trojan:Win32/Wacatac、Generic.mg.39e26ed982 等■概要
本ウイルスはアンチウイルスソフト機能が含まれており侵入した端末にアンチウイルスソフトが存在した場合、検出を回避するためプロセスを終了します。その後、ウイルスは自分自身を削除し、%system32%にコピーを作成し正規ファイルと同一のファイル名になりすまし不正に稼働を行うほか、
C:\Users\
また、スタートアップに自動実行のレジストリキーを作成し、スケジュール化されたタスクで永続的に情報を盗み侵害されたサーバに情報の送信を行う
動作が確認されております。 収集した情報を侵害されたサーバに送付するため、事前準備としてバックグラウンドで正規の通信先へ通信接続テストを行い、
該当端末のグローバルIPを特定の上、C:\Users\
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。・キーストロークス
・資格情報ログイン、パスワード
・ブラウザのクッキーの情報
・実行中のPowerShellの情報
■想定される侵入経路
スパムメール経由で感染することが推測されます。2021年02月 : 端末内のアプリケーションやブラウザの情報を盗むウイルス
■ウイルス名
Trojan.Mdropper、Malware.JAVA/Agent、HEUR:Trojan.Java.SAgent、Backdoor.Java.ADWIND■概要
本ウイルスは、Javaがインストールされている環境で実行され、感染した場合、端末からユーザーの資格情報やシステム情報を抽出し、侵害されたサーバーへ送信を行います。
抽出する手法の一つとして、端末内のローカル上に存在するデータベースから不正にパスワードを取得する挙動が確認されています。
また、端末のローカルに保存されたアプリケーションの構成情報を取得し、収集した内部の情報にはハードコード化されたアプリケーションリストと
そのディレクトリといったものが含まれています。
その他リバースエンジニアリング対策としてファイル自体のコードに暗号化が施されているため、どのような情報がコードに書かれているか
一見では判断できないよう難読化が施されています。
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。・コンピュータ名
・OSのシステム情報
・ユーザプロファイル
・ローカルIPとグローバルIP
・利用可能なプロセッサの情報
・空きメモリと合計メモリの情報
・Java製品のインストールパス 等
【ブラウザの情報】
・Brave
・Centbrowser
・Chromium
・Firefox
・Google Chrome
・K-Meleon
・Opera
・Sputnik
・Torch
・IExplorer
・UCBrowser
【アプリケーションの情報】
・Composer
・Credman
・Outlook
・PostgreSQL
・Squirrel
■想定される侵入経路
他のマルウェアにてダウンロードが行われたり、Webサイトを介してユーザが意図せず(ドライブバイダウンロード)侵入することが想定されます。2021年01月 : 正規ファイルになりすまし機密情報を盗むウイルス
■ウイルス名
Backdoor.MSIL、Ransom.Crysis、Trojan.TR/Dropper、UDS:DangerousObject等■概要
本ウイルスは.NETファイルに偽装していることが確認されており一見、Windowsの正規ファイルであるように細工されておりますが、
端末で実行した場合、不正な活動としてファイル内に圧縮されている
RATツール(リモートアクセスアクセスを行うトロイの木馬)のロードを
行ったり、端末の機密情報を盗む動作が確認されております。
自身の感染活動を継続させるため、以下のような挙動を行います。
・C:\Windows\System32へ自身のコピーを設置し、端末の起動時に起動させる。
・不正なコマンドを使用して攻撃対象となる特定のアンチウイルス製品の
動作を無効にする。
また、本ウイルスはリバースエンジニアリング対策として、ウイルスファイル自体のコードが
難読化されているほか、デバッグツールが組み込まれている環境では実行しないよう
設定が施されています。
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。・コンピュータ名
・ユーザ名
・OSのシステム情報
・CPUの情報
・インストールされているアンチウイルス製品
・ファイアウォールの情報
■想定される侵入経路
スパムメールに添付されたファイルより感染することが推測されます。2020年12月 : 他のウイルスをおびき寄せるため端末から情報を抜き取るウイルス
■ウイルス名
Trojan.TR/Bsymem、Trojan.Win32.Bsymem、W32/Kryptik、TROJ_FRS等■概要
本ウイルスは端末の資格情報やWebブラウザの情報を盗むといった動作が確認されており、感染後の動作として「explorer.exe」、「mobsync.exe」、「iexplorer.exe」といった
Windowsの正規プログラムに不正なコードを挿入され、収集された情報が
侵害されたサーバへ送信する動作が確認されています。
ウイルスは端末がインターネットに接続されていることを確認する為に、
正規の通信先に接続を試みたり、収集した情報をインターネット上に存在する
100以上のC&Cサーバへ暗号化が施された通信で情報の送信を行うことが
確認されています。
■漏洩する情報
ウイルスは以下のコマンドを利用して自身のネットワーク環境の確認を行い情報を収集します。
・arp
・whomai
・ipconfig
・net share
・route print
・netstat -nao
・net localgroup
・qwinsta
感染した場合、下記の情報が漏えいする可能性が考えられます。
・ユーザー情報とドメイン情報を盗みます。
・システム時間
・プロセス
・キーストロークス
・資格情報ログイン、パスワード
・ウェブブラウザの情報
・クッキーの情報
攻撃者により指定されたWebサイトのID/パスワードを盗み、ユーザーを装って
不正利用する可能性が考えられます。
感染したコンピューターのブラウザーで特定のWebサイトにアクセスすると、
不正なコードが埋め込まれ以下の情報を盗みます。
■想定される侵入経路
スパムメールに添付されたファイルより感染することが推測されます。メールの件名には bills, invoicesとビジネスでよくみられる
件名を装っていることが確認されています。
2020年11月 : 端末内に保存されたパスワード情報を盗み取るウイルス
■ウイルス名
Trojan.Gen.2、Troj/MSIL-PWF、 Trojan:Win32/Wacatac.C!ml、HEUR:Backdoor.MSIL.Androm.gen等■概要
本ウイルスは、情報窃取型マルウェア「AZORult」に属するウイルスとして、端末内に保存されたパスワード等の資格情報を盗み取り、侵害されたサーバに
送信することが確認されています。
また、自身の感染活動を継続させるため、以下のような挙動を行います。
・C#.Netにてコンパイルされ、悪意のあるモジュールをメモリにロードさせる。
・AppDataフォルダへ自身のコピーを設置し、端末の起動時にウイルスも起動させる。
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。【仮想通貨】
・Electrum
・Electrum-LTC
・Ethereum
・Exodus
・Jaxx
・MultiBitHD
【端末のシステム情報】
・システムインフォメーション
・アクティブなプロセス
・インストールされているアプリケーション
・マシンID
・マルウェアの実行パス
・コンピューター名とユーザー名
・画面レイアウト
・タイムゾーン
・CPUモデル
・RAMサイズ
など
【アプリケーションの情報】
・WinSCP
・Steam
・Psi+
・Pidgin
・Skype
・Telegram
■想定される侵入経路
主に悪意のあるソフトウェアを経由して感染することが推測されます。2020年10月 : 銀行口座などの情報を盗むように設計されたウイルス
■ウイルス名
Trojan.TR/Crypt.XPACK、Trojan-Downloader.Win32、TROJ_FRS.0NA、W32/PinkSbot-HC 等■概要
本ウイルスは、主に銀行口座などの金融機関などの情報を盗む目的で作成された「Qakbot」系のウイルスとして確認されています。
また、本ウイルスに感染した場合、感染した端末がインターネット接続を確認するために
特定のURLにアクセスします。
さらにインターネット接続を確認後、C&Cサーバへの接続が可能な場合、ウイルス感染した端末より
情報を収集され、リモートサーバに保存されてしまいます。
感染した端末へリモートコマンドも実行できるようになり、バックドアやランサムウェアなどの
ウイルスを感染した端末にダウンロードさせることも可能になってしまいます。
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。・キーストロークの情報
・ブラウザに保存されているログインやパスワード情報、クッキー情報
■想定される侵入経路
主に悪意のあるソフトウェアを経由して感染することが推測されます。2020年09月 : ファイルを暗号化し、新たにウイルスをダウンロードし情報の窃取を行うウイルス
■ウイルス名
Trojan.TR/AD.InstaBot、Ransom_Stop、Trojan-Ransom.Win32■概要
本ウイルスはファイルを暗号化したのち、身代金を要求するランサムウェアに分類される不正プログラムとなり、さらにC&C(外部)サーバから新たなウイルスをダウンロードし、
環境に合わせて実行する挙動が確認されています。
▼ダウンロードされるウイルスの挙動例
・ブラウザのデータ、二要素認証のデータなどを盗むウイルス
・ランサムウェアの存在を隠したり、マルウェアの動作に基づいて検出を回避するためのウイルス
・不審な活動や悪意のある活動は行わないが、WindowsUpdateの画面を表示するウイルス
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。盗まれたデータはProgramDataディレクトリ内のランダムな名前のフォルダに保存され、
C&C(外部)サーバへ送信されます。
・ブラウザのログイン情報
・ブラウザの履歴
・クッキー
・ブラウザキャッシュ
・OSのシステム情報
・保存されているメッセージ、メール等
・二要素認証データ
■想定される侵入経路
主に悪意のあるソフトウェアを経由して感染することが推測されます。2020年08月 : 電子メールの添付ファイルから侵入し、資格情報を盗み取るウイルス
■ウイルス名
Trojan.TR/Kryptik、TrojanSpy.MSIL、A Variant Of MSIL/Kryptik、HEUR:Trojan.MSIL■概要
本ウイルスは情報漏えいを行うウイルスとして感染した場合、ハードコードされたHTTPヘッダー値を使用して、収集したデータを感染した端末から侵害されたサーバに送信することが確認されています。また、ウイルスは一度実行すると、自分自身を削除し、別の場所に自身のファイルを作成します。
<作成されるフォルダ例>
C:\Users\<ユーザプロファイル>\AppData\Local\Temp\<ランダムなフォルダ名>\
また、ウイルスは、explorer.exeに不正なコードを注入し、正当なWindowsプロセスのように見えるように、端末内のWindows実行可能ファイルから新しいランダムプロセスを生み出します。
▼端末内の実行可能ファイルは以下のとおりです。
svchost.exe, msiexec.exe, wuauclt.exe, lsass.exe, wlanext.exe, msg.exe, lsm.exe, dwm.exe,help.exe, chkdsk.exe, cmmon32.exe,nbtstat.exe, spoolsv.exe, rdpclip.exe, control.exe,
taskhost.exe, rundll32.exe, systray.exe, audiodg.exe, wininit.exe, services.exe,autochk.exe,
autoconv.exe, autofmt.exe, cmstp.exe, colorcpl.exe, cscript.exe, explorer.exe, WWAHost.exe,
ipconfig.exe, msdt.exe,mstsc.exe, NAPSTAT.EXE, netsh.exe, NETSTAT.EXE, raserver.exe,
wscript.exe, wuapp.exe, cmd.exe
リバースエンジニアリングへの対策として、ウイルスは難読化処理が施されているほか、アンチデバッグ機能やキーストロークとスクリーンショットをキャプチャすることができます。
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。下記アプリケーションの資格情報
▼対象アプリケーション
[ブラウザ]
・Internet Explorer
・Mozilla Firefox
・Mozilla Thunderbird
・Opera
・Chrome
[メールソフト]
・Outlook
▼その他
・キーストロークの監視
・端末のスクリーンショットを取得
■想定される侵入経路
スパムメールに添付されたファイルより感染することが推測されます。2020年07月 : レジストリの改ざん活動を行い不正活動を行うウイルス
■ウイルス名
BehavesLike.Win32.AdwareDealPly、Trojan Horse、Trojan.TR/Dldr.Delf、W32/Delf.BZ■概要
本ウイルスに感染した場合、ウイルスは永続的に不正活動が行えるよう、自動実行のレジストリを改ざんする動作が確認されています。ウイルスは端末から取集したデータに暗号化処理を施し一時的にLocalフォルダ内に収集したデータを蓄積、
その後C&Cサーバへデータの送信を行います。
また、新たな不正プログラム(.bat、hta、.dll vbs等)を作成されることや、端末が起動した際にインターネットが未接続だった場合、
不要な動作を行わないようウイルスの自動実行が無効となる機能が施されています。
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。・マシン名
・ログイン中のユーザー情報
・ブラウザ内の機密情報(ログオン資格情報)等
■想定される侵入経路
スパムメール経由で感染することが推測されます。2020年06月 : 個人情報の窃取やリモートで操作を可能にするウイルス
■ウイルス名
ML.Attribute、Trojan.MSIL.MALREP、HEUR:Trojan-Spy.MSIL、Trojan.TR/Spy.Quasar■概要
本ウイルスに感染した場合、.NET Frameworkやaddinprocess.exe、addinprocess32.exe といったプログラムに不正なコードを挿入し、端末から収集した情報をC&Cサーバへ送信していることが確認されています。
また、ウイルスは仮想環境上で動作している場合、自身のファイル削除とプロセスを終了します。
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。システム情報:
・IPアドレス
・ハードウェアID
・ユーザー名
・端末名
・OSのバージョン
・インストールしたセキュリティ対策ソフト
・インストールされている言語と使用中の言語
・モニターのサイズ
・タイムゾーンや使用地域など
セッション情報:
・リモートデスクトップ接続
・デスクトップのファイルのコピーファイル
・FileZilla
・実行中のプロセス
・インストールされたプログラム
・スクリーンショット
ブラウザ:
・ブラウザに保存されているパスワードやクッキー情報
・オートフィル機能
・クレジットカード情報
仮想通貨:
・LiteCoin, Monero, Ethereum, Electrum, Exodus, Bytecoin
■想定される侵入経路
他のマルウェアにてダウンロードが行われ侵入されたり、スパムメール経由で感染することが推測されます。2020年05月 : 情報を盗むだけなくリモート操作されてしまうウイルス
■ウイルス名
Trojan Horse、HEUR:Trojan.MSIL.Crypt.gen、Backdoor.MSIL.NANOCORE、Trojan:Win32/Occamy.C 等■概要
本ウイルスに感染した場合、外部から端末を操ること(リモートアクセス)ができるツールを端末内へインストールします。また、別のウイルスをダウンロードさせることもでき、端末起動時にはウイルスが起動するようにタスクにスケジュールさせることで、 永続的にウイルスを動作させます。
■端末が受ける影響
・コマンドプロンプトでコマンドが実行される(ファイルアクセスコマンドなど)・身に覚えのないソフトウェアのインストールやアンインストール
■漏洩する情報
感染した場合、下記の情報が漏洩する可能性が考えられます。・感染した端末のシステム情報
・設定しているパスワード
・キーボードで打鍵した情報
・デスクトップなどのスクリーンショット
■想定される侵入経路
ほとんどがスパムメールに添付されているファイルから感染されることが推測されます。2020年04月 : システム情報の取得と端末の動作を監視するウイルス
■ウイルス名
Backdoor.MSIL.REMCOS、Trojan-PSW.MSIL、Trojan.TR/Spy、Attribute.High■概要
本ウイルスに感染した場合、クリップボード、キーストロークの監視を行ったり、端末のスクリーンショットを取得する挙動が確認されています。
また、ブラウザ、メール、FTPなど、ユーザが端末にインストールしたソフトの
認証情報を盗みSMTP通信などを用いて、C&Cサーバへ送信していることが確認されています。
■漏洩する情報
感染した場合、下記の情報が漏洩する可能性が考えられます。・端末名
・ユーザ名
・実行中のプロセス情報
・OSの名前とバージョン
・メモリ情報
・画面のスナップショット
・クリップボードのデータ
・下記ソフトウェアの認証情報
(1)ブラウザ
- Mozilla
- BlackHawk
- CyberFox
- Opera
- Yandex
- 360 Browser
- Torch Browser
- 7Star
- Amigo
(2)メールクライアント
- FoxMail
- Thunderbird
- OperaMail
- The Bat!
- PostBox
- Trillian
(3)FTPソフトウェア
- FileZilla
- WinSCP 2
- CoreFTP
- FTP Navigator
- SmartFTP
■想定される侵入経路
ほとんどがスパムメールから感染することが推測されます。2020年03月 : 感染した端末をリモートで監視を行い、情報を抜き取るウイルス
■ウイルス名
Backdoor.MSIL.NANOCORE、RDN/Generic、Heuristic.HEUR/AGEN、Trojan:Win32/Occamy 等■概要
本ウイルスは、端末のリモート監視を行ったり、端末の情報を盗み取るウイルスとして確認されております。また、盗み取った情報をC&Cサーバへ送信し、C&Cサーバから追加モジュールをダウンロード、さらに盗み取った情報を用いてシステムを乗っ取ることで、ダウンロードしたウイルスが 実行するようタスクスケジューラなどを用いて設定を行い、感染した端末が起動する度に本ウイルスが実行される動作も確認されております。
■漏洩する情報
感染した場合、下記の情報が漏洩する可能性が考えられます。IPアドレス、OS情報、アカウント/パスワード情報等。
またC&Cサーバーが閉鎖していない場合、以下の機能をリモートコマンドとして実行する可能性が考えられます。
・ファイルの更新およびファイルの削除
・システム情報、OS情報の詳細を取得
・他のファイルのダウンロードなど
■想定される侵入経路
Webサイトまたはスパムメールから感染すると推測されます。2020年02月 : インターネットで公開使用されている共有ファイルサーバを使用し感染させるウイルス
■ウイルス名
Trojan.Win32.NOON、Trojan-Spy.Win32.Noon、W32/Generik.MZ、Trojan.TR/Spy.Noon 等■概要
本ウイルスは、一般的に利用されているインターネット上で公開されたファイルサーバーのWebリンクを悪用して、不正なファイルを端末にダウンロードする動作が確認され、感染した場合、端末の資格情報を盗み、C&Cサーバへ情報を送信します。
端末に侵入したウイルスはリバースエンジニアリングへの対策として、デバッガーで使用されるプロセスが端末内で検出されると
利用しているプロセスの終了を行うほか、早期発見を逃れるためファイル自体のコードに暗号化が施されています。
■漏洩する情報
感染した場合、下記の情報が漏洩する可能性が考えられます。・ユーザーの資格情報
■想定される侵入経路
主にスパムメールに記載の共有リンクから感染することが考えられます。また、他のマルウェアによってダウンロードされることが推測されます。
2020年01月 : 日本国内で感染被害が後を絶たないEmotet
■ウイルス名
HEUR:Trojan-Banker 、Trojan.TR/AD.Emotet 、TROJ_FRS 、Trojan/Win32.Emotet 等■概要
本ウイルスに感染した場合、端末内のシステムフォルダにファイルが作成され端末のシステム情報が収集されます。収集された情報はC&Cサーバに送信されますが、接続先IPと使用ポートは通信の中身を隠ぺいするため暗号化処理が
施されたコードが組み込まれています。
■漏洩する情報
感染した場合、下記の情報が漏えいする可能性が考えられます。以下のシステム情報
・コンピュータ名
・実行中のプロセスのリスト
C&Cサーバが稼働している場合、サーバから命令を受け取ることで、悪意ある他のファイルのダウンロードや実行、
ウイルスに作成されたサービスの削除を行う挙動が確認されています。
その他、アンチウイルスソフトによってウイルスが早期に検知されないようファイルのバイナリの情報を更新する挙動が
確認されています。