• TOP
  • >
  • 最新ウイルス情報 【 端末内に保存されたパスワード情報を盗み取るウイルス 】

最新ウイルス情報 【 端末内に保存されたパスワード情報を盗み取るウイルス 】



menu




はじめに : 本ページのウイルス情報について

ウイルスについては、非常に多くの亜種および検体ファイルが存在し、一般的には、亜種毎またはウイルスの検体ファイル毎に詳細な動作は異なる可能性がございます。そのため、本ページのウイルス情報は、特定の亜種や検体に依存しない汎用的な参考情報としてご案内させて頂いております。

また、本ページでご案内させて頂いているウイルスは、主に【情報漏洩を発生させる危険なウイルス】についてご案内させて頂いております。

そのため、本ページにあるようなウイルスのタイプ(ウイルス名)に感染した場合は、ウイルスによって情報漏洩した可能性が考えられます。弊社【ウイルス解析サービス】をご利用頂ければ、通信の接続先、作成するファイルやレジストリ情報、脆弱性情報等、貴社で発生したウイルスに特化したさらに詳細な情報がご案内可能でございます。

弊社の【ウイルス解析サービス】についての詳細はこちらをご確認頂けますでしょうか。




はじめに : 用語説明

■ウイルス、コンピュータウイルス、マルウェア、スパイウェア

各種メーカー等によって呼称や定義は異なることがございますが、一般的には、「ウイルス」はユーザやマシンにとって有害で悪意ある不正活動を行うプログラムまたはソフトウェア全般を指し、コンピュータウイルス、マルウェア、スパイウェアについても、基本的にはほぼ類似した意味となります。昨今のウイルスで、最も危険な不正活動としては、「情報漏洩」や「重要ファイルの暗号化」等が挙げられます。


■ウイルス名

ウイルス名は、基本的には、各種ウイルス対策メーカーが独自に決定しています。そのため、類似した動作を持つウイルスでも、名称が異なることが多くございます。そのため、本ページでは一般的に多く使用されている名称を幾つかご紹介させて頂いております。


■ファミリ

一般的には、ある特定の目的や動作を持ったウイルスのグループ(種類、分類、タイプ等)のことを指します。


■Web通信

URL(リンク)を使用して、ブラウザからインターネット上のWebページを表示する、ファイルをダウンロードする等の操作に使用される通信で、インターネット上に公開されているWebサイト(Webページ、ホームページ等)との通信と考えて頂いて問題ありません。


■C&Cサーバ

悪意ある攻撃者が、インターネット上に公開した、不正コマンドを指令するためのサーバです。一般的には、これらのサーバにWeb通信で接続を行い、不正コマンドの実行や情報漏洩が行われます。また、後述の、標的型攻撃や遠隔操作ウイルスに使用されることが多くございます。


■標的型攻撃、遠隔操作ウイルス、バックドアウイルス、ボットウイルス

こちらのページに、詳細な説明や実例がございますため、ご確認頂けますでしょうか。


■脆弱性を利用したウイルス

こちらのページに、詳細な説明や実例がございますため、ご確認頂けますでしょうか。





2021年09月 : 感染活動を行いやすい環境を狙うボットウイルス

■ウイルス名

TROJ_FRS.0NA10320、HEUR:Trojan-Downloader.Win32.Agent、Trojan Horse、Trojan.TR/Crypt.XPACK 等


■概要

本ウイルスはボットウイルスとして確認され、感染した場合に端末内の情報を盗み出すことが確認されています。
また、ボットウイルスは特定の下記ソフトが端末内に存在する場合、感染活動を終了する設定が施されています。

・アンチウイルス製品の検出
・サンドボックスの検出
・仮想マシンの検出
・デバッグ環境の検出

端末に侵入したボットウイルスは、自身のコピーファイルを %AppData%フォルダーに作成し自動実行ができるようレジストリキーの追加を行います。
また、端末内に存在するWindows正規ファイルとなるexplorer.exe、iexplore.exe、mobsync.exeなどにインジェクションを行うことで、これら正規プログラムの動作を監視することが確認されています。

その他の挙動として、C&Cサーバーが閉鎖していない場合バックドア、ランサムウェアなどのウイルスやログイン情報を盗む不正なツールMimikatzを外部からおびき寄せる挙動が確認されており、感染した端末では更なる感染被害が発生することが考えられます。

■漏洩する情報

感染した場合、下記の情報が漏えいする可能性が考えられます。

・OSのログイン情報
・システムプロセッサ
・ローカルIPとグローバルIP
・ユーザ名
・マシン名
・インストールされたアプリケーション 等

■想定される侵入経路

スパムメールに添付されたファイルより感染することが推測されます。





2021年08月 : システム情報や権限の情報を盗むためにPCの改ざんを行うウイルス

■ウイルス名

ML.Attribute.HighConfidence 、Trojan.TR/Crypt.XPACK、W32/PinkSbot-HC!F5D5B、TROJ_FRS.0NA103 等


■概要

本ウイルスは感染した場合、Windowsの正規プログラム「explorer.exe」に不正なコードを挿入したり、
スケジュールされた時間に自身のコピーファイルを自動実行できるよう設定を追加するなど、端末のシステムを
改ざんしシステム情報やオンラインバンクの情報を盗むウイルスとして確認されています。

本ウイルスは以下のフォルダにランダム名のフォルダを生成し、自身のコピーとなる exeファイルを配置したり、
感染後、意図しない通信として、インターネットに接続を試み、IPアドレスの検索サイトにアクセスを行い
外部との疎通確認を行うほか、C&C サーバから不正なコマンドを受け取ることでタスクスケジューラに
自身のコピーとなる exeが自動動作するようスケジュールを組み込む動きがございます。

 ・C:\Users\\AppData\Roaming\Microsoft\

また、ウイルスは解析者(ホワイトハッカー)によるリバースエンジニアリングから発見を逃れるため
アンチサンドボックス機能やウイルスが仮想マシン上で実行されていないかの確認を行う設定が
含まれています。

■漏洩する情報

感染した場合、下記の情報が漏えいする可能性が考えられます。

・システム情報
・端末が所属しているグループと権限の情報
・オンラインバンキングの情報 等

■想定される侵入経路

スパムメールの添付ファイルより感染することが想定されます。





2021年07月 : 感染後レジストリ値の追加や変更を行い端末内の情報を抜き取るウイルス

■ウイルス名

Trojan.Win32.Inject、Malicious.f70404、TROJ_GEN.R002C0PLP20、Trojan.TR/Dropper.Gen 等


■概要

本ウイルスは感染した場合、レジストリ値の変更や追加を行う挙動が確認され、レジストリにウイルスが自動実行できるよう値を追加したり、
Windows OSの設定「ユーザーアカウント制御の設定」で通知の無効化を行い端末利用者が気づかないよう設定の変更を行うことが確認されてます。

■漏洩する情報

感染した場合、下記の情報が漏えいする可能性が考えられます。

・端末にインストールされたソフトウェア、セキュリティ製品、ファイヤーウォール製品 などの情報
・システム情報(ユーザネームやシステムアカウント)
・FileZillaのパスワード情報の取得
・キーボード操作情報

■想定される侵入経路

他のウイルスの実行などによりC&Cサーバからダウンロードされ侵入することが推測されます。





2021年06月 : リモートデスクトップ(RDP)の設定情報を改ざんし、情報を盗むウイルス

■ウイルス名

Backdoor.Win64、Trojan-Dropper.MSIL.Agent、Trojan:Win32/Ymacco 、Trojan:Win64/Donipye 等


■概要

本ウイルスは、感染した端末のリモートデスクトップ(以後:RDP)関連のレジストリを改ざんし、最終的に攻撃者が感染端末へ接続するために、
RDPアカウントを作成するウイルスとして確認されております。

また、本ウイルスが端末に侵入し実行された場合、PowerShell、Cmd等がバックグラウンドで起動し、RDP機能の有効化やRDP関連の設定を変更及び、
RDPアカウントの追加まで完了すると一時フォルダに作成したファイルと、本ウイルス自身も削除する挙動が確認されております。

その他の挙動として、複数のC&Cサーバーへ接続を行い、情報の受け渡しを行ったり、不正なコマンドを受け取る動作も確認されております。

■漏洩する情報

感染した場合、下記の情報が漏えいする可能性が考えられます。

・OSの構成情報
・ユーザ名
・コンピュータ名
C&Cサーバーが閉鎖していない場合、リモートコマンドを受け取って
次の機能が実行される可能性があります。

・リモートデスクトップ接続
・キーボード操作の情報
・ブラウザからCookieまたは認証情報の取得
・OS情報を取得

■想定される侵入経路

Webサイトまたは、他のマルウェアに作成されることが推測されます。





2021年05月 : 感染した端末を遠隔で操り資格情報を盗むウイルス

■ウイルス名

VirTool:Win32/Injector、Trojan-Spy.Win32.Zbot、TSPY_ZBOT、Gen:Variant.Symmi 等


■概要

本ウイルスは一般的によく知られているアプリケーション(FTPクライアント、電子メールクライアントなど)のログオン資格情報を
盗むことが確認されております。

端末に侵入した場合、ウイルスはランダムに生成されたファイル名を使用して%AppData%フォルダーに自身のコピーを作成し、
その後自動実行のレジストリキーを作成します。

また、C&Cサーバーが閉鎖していない場合、不正活動に必要な構成ファイルのダウンロードを試みるほか、
以下のような動作をリモートコマンドとして受け取り実行することも確認されております。

・端末内のファイル検索
・端末内のスクリーンショットを撮影
・端末内に作成されたすべてのユーザアカウントのログオン資格情報の収集
・ウイルスファイル自体の更新
・マシンの再起動
・マシンのシャットダウン
・ユーザーアカウントの作成/削除/ログオフ
・ブラウザのホームページの変更

またウイルスは侵入した端末で活動することを隠ぺいするため下記のWindows正規ファイルのプロセスにインジェクションを行う
可能性があります。

・taskhost.exe
・taskeng.exe
・wscntfy.exe
・ctfmon.exe
・rdpclip.exe
・explorer.exe

■漏洩する情報

感染した場合下記アプリケーションのログオン資格情報を盗む可能性が考えられます。

〇アプリケーション
Outlook
WinMail
Windows Live Mail
FlashXP
Total Commander
FileZilla
WS_FTP
WinSCP
CoreFTP
SmartFTP

また、下記の端末情報を盗む可能性が考えられます。

〇端末情報
証明書
クッキー情報
OSシリアルキー
コンピュータネーム 等

■想定される侵入経路

Webサイトまたはスパムメールから感染すると推測されます。





2021年04月 : JavaのWebアプリケーションを利用したWebサーバを標的としたウイルス

■ウイルス名

Trojan.JS.SPRAT、Backdoor.Java.Agent、Backdoor:JSP、Backdoor.Hadmad 等


■概要

本ウイルスはWebサーバで稼働する Java Webアプリケーション(JSP)を標的とした
バックドア系のウイルスとして確認されております。
本ウイルスに感染し、かつC&Cサーバと通信ができる場合、リモートコマンドが
実行でき、コマンドオプションにてファイルの情報の取得やサーバのファイルや
データベースサーバの情報をC&Cサーバへ送信されることが確認されています。
また、ディレクトリの作成/変更/削除を行うことも確認されております。

■漏洩する情報

感染した場合、Webサーバ内の下記情報が漏えいする可能性が考えられます。

・ファイル名
・ファイルやディレクトリの読み取り/書き取り権限情報
・ファイルの最終変更日
・データベースのテーブル名
・データベースカタログの搾取
・指定されたテーブル内のすべてのエントリ情報
・ディレクトリ内に存在するファイルのファイル名、最終変更の情報

■想定される侵入経路

主な侵入経路として適切にセキュリティレベルが低いWebサーバ、
もしくは、Webサーバ内に存在する脆弱性を利用して感染することが考えられます。





2021年03月 : 永続的に端末から情報を盗むためアンチウイルスソフト機能・タスクスケジュール機能が実装されたウイルス

■ウイルス名

Trojan.TR/AD.Qbot、W32/GenKryptik.EHFB、Trojan:Win32/Wacatac、Generic.mg.39e26ed982 等


■概要

本ウイルスはアンチウイルスソフト機能が含まれており侵入した端末にアンチウイルスソフトが存在した場合、検出を回避するためプロセスを終了します。

その後、ウイルスは自分自身を削除し、%system32%にコピーを作成し正規ファイルと同一のファイル名になりすまし不正に稼働を行うほか、
C:\Users\\AppData\Local\Temp\に新たなウイルスファイルの作成を行い侵害されたサーバに端末内の情報を送信する挙動が確認されています。

また、スタートアップに自動実行のレジストリキーを作成し、スケジュール化されたタスクで永続的に情報を盗み侵害されたサーバに情報の送信を行う
動作が確認されております。 収集した情報を侵害されたサーバに送付するため、事前準備としてバックグラウンドで正規の通信先へ通信接続テストを行い、
該当端末のグローバルIPを特定の上、C:\Users\\AppData\Local\Temp上に収集された端末の情報を侵害されたサーバへ送信を行います。

■漏洩する情報

感染した場合、下記の情報が漏えいする可能性が考えられます。
・キーストロークス
・資格情報ログイン、パスワード
・ブラウザのクッキーの情報
・実行中のPowerShellの情報

■想定される侵入経路

スパムメール経由で感染することが推測されます。




2021年02月 : 端末内のアプリケーションやブラウザの情報を盗むウイルス

■ウイルス名

Trojan.Mdropper、Malware.JAVA/Agent、HEUR:Trojan.Java.SAgent、Backdoor.Java.ADWIND


■概要

本ウイルスは、Javaがインストールされている環境で実行され、感染した場合、端末からユーザーの資格情報や
システム情報を抽出し、侵害されたサーバーへ送信を行います。
抽出する手法の一つとして、端末内のローカル上に存在するデータベースから不正にパスワードを取得する挙動が確認されています。

また、端末のローカルに保存されたアプリケーションの構成情報を取得し、収集した内部の情報にはハードコード化されたアプリケーションリストと
そのディレクトリといったものが含まれています。

その他リバースエンジニアリング対策としてファイル自体のコードに暗号化が施されているため、どのような情報がコードに書かれているか
一見では判断できないよう難読化が施されています。

■漏洩する情報

感染した場合、下記の情報が漏えいする可能性が考えられます。
・コンピュータ名
・OSのシステム情報
・ユーザプロファイル
・ローカルIPとグローバルIP
・利用可能なプロセッサの情報
・空きメモリと合計メモリの情報
・Java製品のインストールパス 等

【ブラウザの情報】
・Brave
・Centbrowser
・Chromium
・Firefox
・Google Chrome
・K-Meleon
・Opera
・Sputnik
・Torch
・IExplorer
・UCBrowser

【アプリケーションの情報】
・Composer
・Credman
・Outlook
・PostgreSQL
・Squirrel

■想定される侵入経路

他のマルウェアにてダウンロードが行われたり、Webサイトを介してユーザが意図せず(ドライブバイダウンロード)侵入することが想定されます。




2021年01月 : 正規ファイルになりすまし機密情報を盗むウイルス

■ウイルス名

Backdoor.MSIL、Ransom.Crysis、Trojan.TR/Dropper、UDS:DangerousObject等


■概要

本ウイルスは.NETファイルに偽装していることが確認されており
一見、Windowsの正規ファイルであるように細工されておりますが、
端末で実行した場合、不正な活動としてファイル内に圧縮されている
RATツール(リモートアクセスアクセスを行うトロイの木馬)のロードを
行ったり、端末の機密情報を盗む動作が確認されております。

自身の感染活動を継続させるため、以下のような挙動を行います。
・C:\Windows\System32へ自身のコピーを設置し、端末の起動時に起動させる。
・不正なコマンドを使用して攻撃対象となる特定のアンチウイルス製品の
動作を無効にする。

また、本ウイルスはリバースエンジニアリング対策として、ウイルスファイル自体のコードが
難読化されているほか、デバッグツールが組み込まれている環境では実行しないよう
設定が施されています。

■漏洩する情報

感染した場合、下記の情報が漏えいする可能性が考えられます。
・コンピュータ名
・ユーザ名
・OSのシステム情報
・CPUの情報
・インストールされているアンチウイルス製品
・ファイアウォールの情報

■想定される侵入経路

スパムメールに添付されたファイルより感染することが推測されます。




2020年12月 : 他のウイルスをおびき寄せるため端末から情報を抜き取るウイルス

■ウイルス名

Trojan.TR/Bsymem、Trojan.Win32.Bsymem、W32/Kryptik、TROJ_FRS等


■概要

本ウイルスは端末の資格情報やWebブラウザの情報を盗むといった動作が確認されており、
感染後の動作として「explorer.exe」、「mobsync.exe」、「iexplorer.exe」といった
Windowsの正規プログラムに不正なコードを挿入され、収集された情報が
侵害されたサーバへ送信する動作が確認されています。

ウイルスは端末がインターネットに接続されていることを確認する為に、
正規の通信先に接続を試みたり、収集した情報をインターネット上に存在する
100以上のC&Cサーバへ暗号化が施された通信で情報の送信を行うことが
確認されています。

■漏洩する情報

ウイルスは以下のコマンドを利用して自身のネットワーク環境の確認を行い
情報を収集します。

・arp
・whomai
・ipconfig
・net share
・route print
・netstat -nao
・net localgroup
・qwinsta

感染した場合、下記の情報が漏えいする可能性が考えられます。
・ユーザー情報とドメイン情報を盗みます。
・システム時間
・プロセス
・キーストロークス
・資格情報ログイン、パスワード
・ウェブブラウザの情報
・クッキーの情報

攻撃者により指定されたWebサイトのID/パスワードを盗み、ユーザーを装って
不正利用する可能性が考えられます。
感染したコンピューターのブラウザーで特定のWebサイトにアクセスすると、
不正なコードが埋め込まれ以下の情報を盗みます。

■想定される侵入経路

スパムメールに添付されたファイルより感染することが推測されます。
メールの件名には bills, invoicesとビジネスでよくみられる
件名を装っていることが確認されています。




2020年11月 : 端末内に保存されたパスワード情報を盗み取るウイルス

■ウイルス名

Trojan.Gen.2、Troj/MSIL-PWF、 Trojan:Win32/Wacatac.C!ml、HEUR:Backdoor.MSIL.Androm.gen等


■概要

本ウイルスは、情報窃取型マルウェア「AZORult」に属するウイルスとして、
端末内に保存されたパスワード等の資格情報を盗み取り、侵害されたサーバに
送信することが確認されています。

また、自身の感染活動を継続させるため、以下のような挙動を行います。
・C#.Netにてコンパイルされ、悪意のあるモジュールをメモリにロードさせる。
・AppDataフォルダへ自身のコピーを設置し、端末の起動時にウイルスも起動させる。

■漏洩する情報

感染した場合、下記の情報が漏えいする可能性が考えられます。
【仮想通貨】
・Electrum
・Electrum-LTC
・Ethereum
・Exodus
・Jaxx
・MultiBitHD

【端末のシステム情報】
・システムインフォメーション
・アクティブなプロセス
・インストールされているアプリケーション
・マシンID
・マルウェアの実行パス
・コンピューター名とユーザー名
・画面レイアウト
・タイムゾーン
・CPUモデル
・RAMサイズ
など

【アプリケーションの情報】
・WinSCP
・Steam
・Psi+
・Pidgin
・Skype
・Telegram

■想定される侵入経路

主に悪意のあるソフトウェアを経由して感染することが推測されます。




2020年10月 : 銀行口座などの情報を盗むように設計されたウイルス

■ウイルス名

Trojan.TR/Crypt.XPACK、Trojan-Downloader.Win32、TROJ_FRS.0NA、W32/PinkSbot-HC 等


■概要

本ウイルスは、主に銀行口座などの金融機関などの情報を盗む目的で作成された
「Qakbot」系のウイルスとして確認されています。
また、本ウイルスに感染した場合、感染した端末がインターネット接続を確認するために
特定のURLにアクセスします。
さらにインターネット接続を確認後、C&Cサーバへの接続が可能な場合、ウイルス感染した端末より
情報を収集され、リモートサーバに保存されてしまいます。
感染した端末へリモートコマンドも実行できるようになり、バックドアやランサムウェアなどの
ウイルスを感染した端末にダウンロードさせることも可能になってしまいます。

■漏洩する情報

感染した場合、下記の情報が漏えいする可能性が考えられます。
・キーストロークの情報
・ブラウザに保存されているログインやパスワード情報、クッキー情報

■想定される侵入経路

主に悪意のあるソフトウェアを経由して感染することが推測されます。




2020年09月 : ファイルを暗号化し、新たにウイルスをダウンロードし情報の窃取を行うウイルス

■ウイルス名

Trojan.TR/AD.InstaBot、Ransom_Stop、Trojan-Ransom.Win32


■概要

本ウイルスはファイルを暗号化したのち、身代金を要求するランサムウェアに分類される
不正プログラムとなり、さらにC&C(外部)サーバから新たなウイルスをダウンロードし、
環境に合わせて実行する挙動が確認されています。

 ▼ダウンロードされるウイルスの挙動例

   ・ブラウザのデータ、二要素認証のデータなどを盗むウイルス

  ・ランサムウェアの存在を隠したり、マルウェアの動作に基づいて検出を回避するためのウイルス

  ・不審な活動や悪意のある活動は行わないが、WindowsUpdateの画面を表示するウイルス

■漏洩する情報

感染した場合、下記の情報が漏えいする可能性が考えられます。
盗まれたデータはProgramDataディレクトリ内のランダムな名前のフォルダに保存され、
C&C(外部)サーバへ送信されます。

・ブラウザのログイン情報
・ブラウザの履歴
・クッキー
・ブラウザキャッシュ
・OSのシステム情報
・保存されているメッセージ、メール等
・二要素認証データ

■想定される侵入経路

主に悪意のあるソフトウェアを経由して感染することが推測されます。




2020年08月 : 電子メールの添付ファイルから侵入し、資格情報を盗み取るウイルス

■ウイルス名

Trojan.TR/Kryptik、TrojanSpy.MSIL、A Variant Of MSIL/Kryptik、HEUR:Trojan.MSIL


■概要

本ウイルスは情報漏えいを行うウイルスとして感染した場合、ハードコードされたHTTPヘッダー値を使用して、収集したデータを感染した端末から侵害されたサーバに送信することが確認されています。
また、ウイルスは一度実行すると、自分自身を削除し、別の場所に自身のファイルを作成します。

<作成されるフォルダ例>
C:\Users\<ユーザプロファイル>\AppData\Local\Temp\<ランダムなフォルダ名>\

また、ウイルスは、explorer.exeに不正なコードを注入し、正当なWindowsプロセスのように見えるように、端末内のWindows実行可能ファイルから新しいランダムプロセスを生み出します。

▼端末内の実行可能ファイルは以下のとおりです。

svchost.exe, msiexec.exe, wuauclt.exe, lsass.exe, wlanext.exe, msg.exe, lsm.exe, dwm.exe,
help.exe, chkdsk.exe, cmmon32.exe,nbtstat.exe, spoolsv.exe, rdpclip.exe, control.exe,
taskhost.exe, rundll32.exe, systray.exe, audiodg.exe, wininit.exe, services.exe,autochk.exe,
autoconv.exe, autofmt.exe, cmstp.exe, colorcpl.exe, cscript.exe, explorer.exe, WWAHost.exe,
ipconfig.exe, msdt.exe,mstsc.exe, NAPSTAT.EXE, netsh.exe, NETSTAT.EXE, raserver.exe,
wscript.exe, wuapp.exe, cmd.exe

リバースエンジニアリングへの対策として、ウイルスは難読化処理が施されているほか、アンチデバッグ機能やキーストロークとスクリーンショットをキャプチャすることができます。

■漏洩する情報

感染した場合、下記の情報が漏えいする可能性が考えられます。
下記アプリケーションの資格情報

▼対象アプリケーション
[ブラウザ]
・Internet Explorer
・Mozilla Firefox
・Mozilla Thunderbird
・Opera
・Chrome

[メールソフト]
・Outlook

▼その他
・キーストロークの監視
・端末のスクリーンショットを取得

■想定される侵入経路

スパムメールに添付されたファイルより感染することが推測されます。




2020年07月 : レジストリの改ざん活動を行い不正活動を行うウイルス

■ウイルス名

BehavesLike.Win32.AdwareDealPly、Trojan Horse、Trojan.TR/Dldr.Delf、W32/Delf.BZ


■概要

本ウイルスに感染した場合、ウイルスは永続的に不正活動が行えるよう、自動実行のレジストリを改ざんする動作が確認されています。
ウイルスは端末から取集したデータに暗号化処理を施し一時的にLocalフォルダ内に収集したデータを蓄積、
その後C&Cサーバへデータの送信を行います。

また、新たな不正プログラム(.bat、hta、.dll vbs等)を作成されることや、端末が起動した際にインターネットが未接続だった場合、
不要な動作を行わないようウイルスの自動実行が無効となる機能が施されています。

■漏洩する情報

感染した場合、下記の情報が漏えいする可能性が考えられます。
・マシン名
・ログイン中のユーザー情報
・ブラウザ内の機密情報(ログオン資格情報)等

■想定される侵入経路

スパムメール経由で感染することが推測されます。




2020年06月 : 個人情報の窃取やリモートで操作を可能にするウイルス

■ウイルス名

ML.Attribute、Trojan.MSIL.MALREP、HEUR:Trojan-Spy.MSIL、Trojan.TR/Spy.Quasar


■概要

本ウイルスに感染した場合、.NET Frameworkやaddinprocess.exe、addinprocess32.exe といったプログラムに
不正なコードを挿入し、端末から収集した情報をC&Cサーバへ送信していることが確認されています。

また、ウイルスは仮想環境上で動作している場合、自身のファイル削除とプロセスを終了します。

■漏洩する情報

感染した場合、下記の情報が漏えいする可能性が考えられます。
システム情報:
・IPアドレス
・ハードウェアID
・ユーザー名
・端末名
・OSのバージョン
・インストールしたセキュリティ対策ソフト
・インストールされている言語と使用中の言語
・モニターのサイズ
・タイムゾーンや使用地域など

セッション情報:
・リモートデスクトップ接続
・デスクトップのファイルのコピーファイル
・FileZilla
・実行中のプロセス
・インストールされたプログラム
・スクリーンショット

ブラウザ:
・ブラウザに保存されているパスワードやクッキー情報
・オートフィル機能
・クレジットカード情報

仮想通貨:
・LiteCoin, Monero, Ethereum, Electrum, Exodus, Bytecoin

■想定される侵入経路

他のマルウェアにてダウンロードが行われ侵入されたり、スパムメール経由で感染することが推測されます。




2020年05月 : 情報を盗むだけなくリモート操作されてしまうウイルス

■ウイルス名

Trojan Horse、HEUR:Trojan.MSIL.Crypt.gen、Backdoor.MSIL.NANOCORE、Trojan:Win32/Occamy.C 等


■概要

本ウイルスに感染した場合、外部から端末を操ること(リモートアクセス)ができるツールを端末内へインストールします。
また、別のウイルスをダウンロードさせることもでき、端末起動時にはウイルスが起動するようにタスクにスケジュールさせることで、 永続的にウイルスを動作させます。

■端末が受ける影響

・コマンドプロンプトでコマンドが実行される(ファイルアクセスコマンドなど)
・身に覚えのないソフトウェアのインストールやアンインストール

■漏洩する情報

感染した場合、下記の情報が漏洩する可能性が考えられます。
・感染した端末のシステム情報
・設定しているパスワード
・キーボードで打鍵した情報
・デスクトップなどのスクリーンショット

■想定される侵入経路

ほとんどがスパムメールに添付されているファイルから感染されることが推測されます。




2020年04月 : システム情報の取得と端末の動作を監視するウイルス

■ウイルス名

Backdoor.MSIL.REMCOS、Trojan-PSW.MSIL、Trojan.TR/Spy、Attribute.High


■概要

本ウイルスに感染した場合、クリップボード、キーストロークの監視を行ったり、
端末のスクリーンショットを取得する挙動が確認されています。
また、ブラウザ、メール、FTPなど、ユーザが端末にインストールしたソフトの
認証情報を盗みSMTP通信などを用いて、C&Cサーバへ送信していることが確認されています。

■漏洩する情報

感染した場合、下記の情報が漏洩する可能性が考えられます。
・端末名
・ユーザ名
・実行中のプロセス情報
・OSの名前とバージョン
・メモリ情報
・画面のスナップショット
・クリップボードのデータ

・下記ソフトウェアの認証情報
(1)ブラウザ
- Mozilla
- BlackHawk
- CyberFox
- Opera
- Yandex
- 360 Browser
- Torch Browser
- 7Star
- Amigo

(2)メールクライアント
- FoxMail
- Thunderbird
- OperaMail
- The Bat!
- PostBox
- Trillian
(3)FTPソフトウェア
- FileZilla
- WinSCP 2
- CoreFTP
- FTP Navigator
- SmartFTP

■想定される侵入経路

ほとんどがスパムメールから感染することが推測されます。




2020年03月 : 感染した端末をリモートで監視を行い、情報を抜き取るウイルス

■ウイルス名

Backdoor.MSIL.NANOCORE、RDN/Generic、Heuristic.HEUR/AGEN、Trojan:Win32/Occamy 等


■概要

本ウイルスは、端末のリモート監視を行ったり、端末の情報を盗み取るウイルスとして確認されております。
また、盗み取った情報をC&Cサーバへ送信し、C&Cサーバから追加モジュールをダウンロード、さらに盗み取った情報を用いてシステムを乗っ取ることで、ダウンロードしたウイルスが 実行するようタスクスケジューラなどを用いて設定を行い、感染した端末が起動する度に本ウイルスが実行される動作も確認されております。

■漏洩する情報

感染した場合、下記の情報が漏洩する可能性が考えられます。
IPアドレス、OS情報、アカウント/パスワード情報等。

またC&Cサーバーが閉鎖していない場合、以下の機能をリモートコマンドとして実行する可能性が考えられます。
・ファイルの更新およびファイルの削除
・システム情報、OS情報の詳細を取得
・他のファイルのダウンロードなど


■想定される侵入経路

Webサイトまたはスパムメールから感染すると推測されます。




2020年02月 : インターネットで公開使用されている共有ファイルサーバを使用し感染させるウイルス

■ウイルス名

Trojan.Win32.NOON、Trojan-Spy.Win32.Noon、W32/Generik.MZ、Trojan.TR/Spy.Noon 等


■概要

本ウイルスは、一般的に利用されているインターネット上で公開されたファイルサーバーのWebリンクを悪用して、
不正なファイルを端末にダウンロードする動作が確認され、感染した場合、端末の資格情報を盗み、C&Cサーバへ情報を送信します。
端末に侵入したウイルスはリバースエンジニアリングへの対策として、デバッガーで使用されるプロセスが端末内で検出されると
利用しているプロセスの終了を行うほか、早期発見を逃れるためファイル自体のコードに暗号化が施されています。

■漏洩する情報

感染した場合、下記の情報が漏洩する可能性が考えられます。
・ユーザーの資格情報

■想定される侵入経路

主にスパムメールに記載の共有リンクから感染することが考えられます。
また、他のマルウェアによってダウンロードされることが推測されます。




2020年01月 : 日本国内で感染被害が後を絶たないEmotet

■ウイルス名

HEUR:Trojan-Banker 、Trojan.TR/AD.Emotet 、TROJ_FRS 、Trojan/Win32.Emotet 等


■概要

本ウイルスに感染した場合、端末内のシステムフォルダにファイルが作成され端末のシステム情報が収集されます。
収集された情報はC&Cサーバに送信されますが、接続先IPと使用ポートは通信の中身を隠ぺいするため暗号化処理が
施されたコードが組み込まれています。

■漏洩する情報

感染した場合、下記の情報が漏えいする可能性が考えられます。
以下のシステム情報
・コンピュータ名
・実行中のプロセスのリスト

C&Cサーバが稼働している場合、サーバから命令を受け取ることで、悪意ある他のファイルのダウンロードや実行、
ウイルスに作成されたサービスの削除を行う挙動が確認されています。
その他、アンチウイルスソフトによってウイルスが早期に検知されないようファイルのバイナリの情報を更新する挙動が
確認されています。

■想定される侵入経路

スパムメールに添付されたファイルを開いてしまうことから侵入します




2019年12月 : 仲間を呼ぶウィルス

■ウイルス名

Trojan.X97M.SDROP.A、Troj/DocDrp-QA、W97M/Dropper.el、VBA/Loader.S3 等


■概要

本ウイルスに感染した場合、端末の情報が収集され、C&Cサーバに
情報を送信します。
情報を受け取ったC&Cサーバは、さらに感染した端末にウィルスを送信し、
下記フォルダにはウイルスファイルが作成されます。

-%AppData%\Microsoft\Windows\Templates\
-%temp%

■漏洩する情報

感染した場合、下記の情報が漏えいする可能性が考えられます。
以下のシステム情報
・端末名
・OSユーザー名
・OS
・OSのバージョン
・稼働中のプロセス情報

■想定される侵入経路

ほとんどがスパムメールから感染することが推測されます。




2019年11月 : 脆弱性を利用し端末に侵入するウイルス

■ウイルス名

Trojan-Spy.Win32.Noon、Mal_HPGen、Trojan.TR/AD.Sagonaire、TrojanSpy:Win32/Swotter


■概要

本ウイルスは、Microsoft Officeの脆弱性(CVE-2017-11882)を利用し端末に感染し、
挙動として特定のプロセスに不正なコードを注入するほか、不正なコマンドを
C&Cサーバーから受け取り端末から情報を盗むウイルスとして確認されています。

〇悪用されるプログラム
 audiodg.exe
 cmmon32.exe
 cmstp.exe
 control.exe
 dwm.exe
 explorer.exe
 ipconfig.exe
 lsm.exe
 msg.exe
 rdpclip.exe
 rundll32.exe
 services.exe
 spoolsv.exe
 svchost.exe 等


仮想環境やデバッグツールで使用されているプログラムやモジュールが
端末に存在する場合ウイルスは動作しません。

〇存在すると動作しないプログラム
 vmwareuser.exe
 vmwareservice.exe
 vboxservice.exe
 vboxtray.exe
 sandboxiedcomlaunch.exe
 sandboxierpcss.exe
 procmon.exe
 filemon.exe
 wireshark.exe
 netmon.exe
 prl_tools_service.exe
 prl_tools.exe
 prl_cc.exe
 SharedIntApp.exe
 vmtoolsd.exe
 vmsrvc.exe
 vmusrvc.exe
 python.exe
 perl.exe
 regmon.exe

〇存在すると動作しないソフトウェア
 cuckoo
 sandcastle
 sandbox
 smpdir
 samroot
 avctestsuite

■漏洩する情報

感染した場合、下記の情報が漏えいする可能性が考えられます。
・クリップボード、キーストロークの監視
・スクリーンショットを取得
・アクセスしたサイトの履歴の取得
・ウイルス自体のアップデートおよびアンインストール
・クッキーの削除
・他のウイルスのダウンロード

■想定される侵入経路

脆弱性を悪用して感染することが推測されます。




2019年10月 : 端末のシステム情報とサードパーティー製品の情報を盗むウイルス

■ウイルス名

Trojan-PSW.Win32、Trojan.TR/Autoit、TROJ_GEN、Packed.Generic 等


■概要

本ウイルスはトロイの木馬として確認されており、感染した場合、端末内の様々な情報を盗むウイルスのダウンロードを行ないます。

ウイルスが実行されると、ウイルスに含まれた不正コードの解凍を行い、正規のプログラムにコードを組みこむ動作が確認されており、
その他、感染した端末のIPを把握するため、正規サイトに接続を試みIPアドレスの確認を行うほか、解析者(ホワイトハッカー)による
リバースエンジニアリングから早期発見を逃れるためバイナリデータに暗号化が施されています。

■漏洩する情報

感染した場合、下記の情報が漏えいする可能性が考えられます。
以下のシステム情報
・端末名
・OSとOSのバージョン
・稼働中のプロセス情報
・管理者権限の情報
・システムロケール(言語や国・地域等の情報) など
・インストールされたサードパーティー製品
・スクリーンのレイアウト
・ディスプレイのドライバー情報
・CPUやRAMの情報

端末にインストールされたソフトの認証情報
・メールソフト
・メッセンジャーソフト
・ブラウザソフト
・FTPソフト

C&Cサーバーが閉鎖していない場合、リモートコマンドを受け取って
次の機能が実行される可能性があります。

・侵害された正規のサーバーからモジュールを受け取り、ウイルスファイル自体のアップデート
・新たなウイルスをダウンロードして実行
・スクリーンショットの取得


■想定される侵入経路

他のマルウェアにてダウンロードが行われ侵入されたり、スパムメール経由や、
フィッシングサイトからの侵入で感染することが推測されます。




2019年09月 : 入力された情報を盗み出すウィルス

■ウイルス名

Trojan.Gen.MBT、Trojan.TR/Kryptik 、Trojan.Win32.WACATAC、HEUR:Trojan-Dropper.MSIL.Dapato 等


■概要

本ウイルスは、キーロガーと呼ばれる情報窃取を目的としたウイルスであり、感染した端末よりキーの入力情報を盗むほか、
スクリーンショット、ウェブカメラで撮影した画像等を盗み出しC&Cサーバへ送信を行います。
また、インストールされているセキュリティソフトを停止させ、自身を検知されづらくする動作も確認されております。

■漏洩する情報

感染した場合、下記の情報が漏えいする可能性が考えられます。
・ホスト名
・ユーザ名
・ローカル/外部IPアドレス
・MACアドレス
・OS
・.NET Frameworkの情報
・インストールされているブラウザのリストなどのシステム関連情報
・電子メール
・ブラウザ
・FTP

■想定される侵入経路

スパムメール経由で感染することが推測されます。




2019年08月 : FTPやメールの情報を盗むボットウイルス

■ウイルス名

Trojan.Zbot、HEUR:Trojan.Win32、TROJ_FRS、Trojan.Gen 等


■概要

本ウイルスは、ボットウイルスとして確認されており、感染した場合、C&Cサーバーからリモートコマンドを受け取りポートの開放を行ったり、
ウイルスが自動実行を行えるようレジストリを改ざんすることが確認されています。
また、端末がインターネットに接続されていることを確認する為に、正規通信先に接続を試みる挙動が確認されています。

■漏洩する情報

感染した場合、下記の情報が漏えいする可能性が考えられます。
・コンピュータ名
・OSのバージョン
・OSのインストール日
・マシンメモリサイズ
・Windowsのプロダクトキー

・下記ソフトウェアの認証情報
(1) FTPソフトウェア
- CoreFTP
- FreshFTP
- WinSCP など
(2)メールクライアント
- Outlook など

C&Cサーバーが閉鎖していない場合、リモートコマンドを受け取って次の機能が実行される可能性があります。

・リモートデスクトップ接続
・クリップボードからデータを収集
・ブラウザのCookieを削除
・ブラウザのスタートアップの変更

■想定される侵入経路

他のマルウェアによってダウンロードされることが推測されます。




2019年07月 : リモートアクセスを行い情報を盗むウイルス

■ウイルス名

ML.Attribute、HEUR:Trojan.Win32.G、Trojan.TR/Dropper、GenericRXHQ-EU! 等


■概要

本ウイルスは、端末をリモートで監視、制御するウイルスとして
確認されており、リバースエンジニアリングからの早期発見を逃れるため、
端末の環境を識別するアンチデバッグ技術が含まれております。
また、ウイルスは正規ファイル[ csrss.exe ]のプロセスが実行されて
いるか確認を行い、プロセスが実行されている場合、ファイルを削除するとともに
プロセスの強制終了を行います。
その他の挙動として[ csrss.exe ]を偽装して実行する動作が確認されており、
C&Cサーバーへ接続を行い保護された暗号化通信を介して、不正なコマンドを受け取る動作が
確認されております。

■漏洩する情報

感染した場合、下記の情報が漏えいする可能性が考えられます。
・IPアドレス
・ハードウェアID
・ユーザー名
・OSのバージョン
・管理者権限
・CPUやRAMの情報
・ブラウザに保存されているパスワードやクッキー情報
・キーボード操作の情報


C&Cサーバーが閉鎖していない場合、リモートコマンドを受け取って
次の機能が実行される可能性があります。

・リモートデスクトップ接続
・キーボード操作の監視
・ウェブカメラの監視
・パスワードの復元

■想定される侵入経路

他のマルウェアに作成されることが推測されます。




2019年06月 : ソフトウェアの認証情報やクリプトウォレットを盗むウイルス

■ウイルス名

Trojan:W32/Ursnif、TSPY_URSNIF、Trojan Horse、Trojan-Banker.Win32.Gozi 等


■概要

本ウイルスは、URSNIFと呼ばれる情報窃取のウイルスです。
端末の資格情報を盗み、C&Cサーバへ情報を送信します。
また、VMWareなど仮想環境では動作せず、ウイルス本体は起動後explorer.exeプロセスに移ります。
さらにPhishWallがインストールされている場合は、停止させることでセキュリティをさらに低下させます。

■漏洩する情報

感染した場合、下記の情報が漏えいする可能性が考えられます。
・IPアドレス
・ドライブ
・ユーザー名
・コンピュータ名
・ユーザーのドメイン
・インストールされているアプリケーション
・インストールされているドライバ
・レジストリ(インストールされているアプリケーション部分)


・下記ソフトウェアの認証情報
(1)ブラウザ
- Firefox
- Internet Explorer
- Chrome など
(2)メールクライアント
- Thunderbird
- Outlook など
(3)クリプトウォレット(仮想通貨のウォレット)
- bitcoin
-electrum
-multibit-hd


■想定される侵入経路

スパムメールの添付ファイルを実行後にダウンロードされます。




2019年05月 : システム情報や様々なソフトウェアの認証情報を窃取するウイルス

■ウイルス名

Heuristic.HEUR/AGEN.1039019、Trojan Horse、a variant of MSIL/Kryptik.QXN、RDN/Generic.grp 等


■概要

本ウイルスに感染した場合、システム情報やFTPソフトウェア、メールクライアントやブラウザなどのユーザ認証情報が窃取されます。
また、ウイルス自体に難読化処理が施されていることや、実行された環境のチェックを行うなど、耐解析機能を有しています。

■漏洩する情報

感染した場合、下記の情報が漏えいする可能性が考えられます。
・ユーザー名
・コンピュータ名
・ユーザーのドメイン
・画面解像度など


・下記ソフトウェアの認証情報
(1) FTPソフトウェア
- Filezilla
- FreshFTP
- WinFtp など
(2)ブラウザ
- Firefox
- Internet Explorer
- Chrome など
(3)メールクライアント
- Thunderbird
- Outlook など
(4)SSHソフトウェア
- KiTTY
- PuTTY
- SuperPutty など


■想定される侵入経路

スパムメール経由で感染することが推測されます。




2019年04月 : 日本を標的にした情報漏えい系ウイルス「Emotet」

■ウイルス名

TrojanSpy.Win32.EMOTET 、Trojan-Banker.Win32.Emotet、BehavesLike.Win32、a variant of Win32/Kryptik 等


■概要

昨今、スパムメールに添付されたファイルを開くことにより、「Emotet」に感染する事例が、国内で多数発生していることが確認されております。
「Emotet」に感染した場合、端末情報を不正に取得するほか、不正なサーバから命令を受け取ったり、新たに他のウイルスをダウンロードして実行する挙動などが確認されております。

■漏洩する情報

・端末名
・稼働中のプロセス情報
・管理者権限の情報
・システムロケール(言語や国・地域等の情報) など

不正なサーバが稼働している場合、攻撃者からリモートコマンドとして次の機能が実行される可能性があります。
・侵害された正規のサーバーからモジュールを受け取り、ウイルスファイル自体のアップデート
・新たなウイルスをダウンロードして実行
・ブラウザやメールアカウントの情報の不正取得とその機能のモジュールダウンロード


■想定される侵入経路

他のマルウェアに作成されるか、スパムメール経由で感染することが推測されます。




2019年03月 : 端末を監視し内部情報を盗みとるウイルス

■ウイルス名

Trojan.Gen.NPE、TROJ_FRS、Trojan-Spy.Win32.Noon、W32/Injector 等


■概要

本ウイルスに感染した場合、クリップボード、キーストロークの監視を行ったり端末のスクリーンショットを取得し、
情報を盗むことが確認されています。
ウイルスは早期発見を逃れるため以下の対策がされています。

〇プロセスの監視
システム上で実行されているプロセスとサービスの情報を収集するためプロセスをチェックし、
以下に該当するプロセスが見つかった場合、ウイルスは自動的に終了します。

avastsvc.exe
avastui.exe
avgsvc.exe
avgui.exe
procexp64.exe
procmon64.exe
procmon.exe
ollydbg.exe
procexp.exe
windbg.exe

〇仮想マシンの検出
仮想マシン上で実行されていないか下記の文字列から確認します。

KVM
VMware
Xen
VirtualBox
Microsoft Hypervisor
Xen
Parallels

〇アンチサンドボックス
アンチサンドボックス機能としてウイルスがサンドボックスで実行されていないか
下記の文字列から確認するほか、端末内のカーソル位置を追跡し、カーソル移動が検出されないと
活動を続行しない設定が含まれています。

self
sandbox
malware
sample
virus


■漏洩する情報

感染した場合、下記の情報が漏えいする可能性が考えられます。
・クリップボードの監視
・キーストロークの監視
・端末内のスクリーンショットの取得
・インターネットブラウザの情報及びメールデータの取得 等

C&Cサーバーが閉鎖していない場合、リモートコマンドを受け取って次の機能が実行される可能性があります。

・C&Cからリモートコマンドを実行
・他のウイルスのダウンロードおよび実行




■想定される侵入経路

殆どがスパムメールから感染することが推測されます。




2019年02月 : 通信の内容を隠ぺいし、様々な情報を盗むウイルス

■ウイルス名

TrojanSpy.Win32、Win32.Backdoor.Androm、BehavesLike.Win32.Ransomware、W32/Kryptik等


■概要

本ウイルスは、DreamBotの亜種として確認されており、感染した場合は、 端末内のAppDataフォルダ内に自身のコピーを作成したり、
端末起動時に自動実行できるようにレジストリにエントリを追加します。

また、正規の[ explorer.exe ]に不正なコードを埋め込んで、C&Cサーバへ不正な通信行い、新たなマルウェアをダウンロードしたり、
メモリ上にロードする挙動が確認されています。

その他、通信を隠ぺいするために、Tor(The Onion Router)ネットワークを介したり、 端末がインターネットに接続されていることを確認する為に、
正規の通信先に接続を試みます。

■漏洩する情報

感染した場合、下記の情報が漏えいする可能性が考えられます。
- Eメールの資格情報
- Webメール上に登録されているアドレス帳情報
- 端末にインストールされているドライバ情報
- レジストリ値に登録されているプログラム情報
- 実行中のプロセス情報
- システム情報 など


また、C&Cサーバがアクティブな場合、リモートコマンドとして 以下の機能も実行される可能性が考えられます。

・Chrome、Mozilla、Internet Explorerのブラウザから取得したクッキーを送信
・Windowsの証明書ストアから証明書を送信
・OutlookとWindows Mailの認証情報を送信




■想定される侵入経路

スパムメールから感染すると推測されます。




2019年01月 : デスクトップ画面やプロセスの情報をC&Cサーバへ送信するウイルス

■ウイルス名

W32/Agent.QWHQPX、Trojan.GenericKD、Trojan.Dropper、RDN/Generic 等


■概要

本ウイルスは感染してしまった場合、不正なサービスのインストールが行われ、
インストール後に端末内のスクリーンショットの取得や稼働しているプロセスの情報を
C&C serverへ送信します。
ウイルスは端末内のセキュリティ機器を検出する機能があり、端末内の下記プロセスを
検出します。

・360tray.exe
・360sd.exe
・kxetray.exe
・ksafetray.exe
・zatray.exe
・bdagent.exe

また、ウイルスにはアンチデバッグ機能が含まれているため、
ウイルスの挙動を見るためのデバッグ環境に感染させたの場合、
活動が終了してしまい、ウイルスの解析を遅らせます。

・WinDbg
・x64_dbg
・OllyDBG
・Immunity 等

■漏洩する情報

感染した場合、下記の情報が漏えいする可能性が考えられます。
・ウイルスにより作成された端末内のスクリーンショット
・プロセスの情報


■想定される侵入経路

他のマルウェアに作成されるか、誤って悪意あるWebサイトに
アクセスしてしまい、ダウンロードすることによりコンピュータに
侵入することが想定されます。




2018年12月 : 端末やブラウザ情報の資格情報を盗むウイルス

■ウイルス名

W32/GenKryptik、TSPY_SHIOTOB、Trojan.Win32.Yakes、Trojan Horse 等

■概要

本ウイルスに感染した場合、端末上の[ explorer.exe ]に不正なコードを埋めこみ、
端末やブラウザに保存されている資格情報を外部の不正なサーバに送信します。

また、以下の情報より実行環境を識別し、仮想環境上で実行されている場合は活動を停止します。

- システムプロセッサ
- モジュールチェック
- ビデオバイオスバージョン
- グラフィックアダプタ 等

■漏洩する情報

以下のブラウザで入力された資格情報
Internet Explorer
Mozilla Firefox


以下のシステム情報
マシン名
OSとOSのバージョン
エクスプローラバージョン
ボリュームバージョン
製品番号



■想定される侵入経路

殆どが、スパムメール経由で感染することが推測されます。





2018年11月 : 乗っ取られたメールアカウントからウイルスが拡散されてしまう

■ウイルス名

Trojan.GenericKD、a variant of Win32/GenKryptik、TSPY_URSNIF、Trojan.Gen 等

■概要

本ウイルスは、ブラウザーやメールソフト等のユーザー情報を抽出することを目的とした
「URSNIF」系のウイルスとして確認され、感染した場合は下記の悪性活動を行います。

- 一時記憶領域内に保存される資格情報の抽出およびC&Cサーバーへの送信
- 正規のファイルに悪性コードをインジェクションしてユーザの操作を監視
- 以下プロセスの監視

electrum-
bitcoin
multibit-hd
bither
msigna.
Jaxx.
JEdudus.
armory-
veracrypt
truecrypt

また、実行される環境を認識する機能が組み込まれているため、以下の仮想環境で実行された場合は活動を停止します。

vmware
vbox
qemu

その他、特定のWebセキュリティ対策製品が端末内にインストールされている場合は、セキュリティ製品の動作を終了し、端末内から削除する挙動が確認されております。

■漏洩する情報

以下のアプリケーションで入力された資格情報
Microsoft Outlook
Mozilla Thunderbird
Google Chrome
Internet Explorer
Opera


以下のシステム情報
ユーザ名
マシン名
インストールされたアプリケーション
システム情報ログ


など

■想定される侵入経路

殆どがスパムメールから感染することが推測されます。





2018年10月 : オンラインストレージをC&Cサーバとして悪用するマルウェア

■ウイルス名

Trojan:Win32、Backdoor.Win32.Agent、Trojan.GenericKD、Trojan Horse 等

■概要

本ウイルスに感染した場合、オンラインストレージのAPIを呼び出して他のウイルスをダウンロードしたり、端末情報等をアップロードします。
オンラインストレージのAPIを呼び出す場合は、libcurlライブラリと以下のOAuthプロトコルパラメータを使用します。

- oauth_consumer_key
- oauth_signature_method
- oauth_token
- oauth_version
- oauth_signature

また、アンチデバッグ機能を有しており、TLSコールバックを利用します。

・作成されるファイルとディレクトリ
- 該当なし

■漏洩する情報

感染した端末のシステム情報が漏えいすることが考えられます。
システム情報
など


■想定される侵入経路

不特定サイト等よりダウンロード実行して感染することが推測されるほか、
他のマルウェアによって感染させられることが推測されます。





2018年09月 : 脆弱性を悪用して感染を繰り返すマイニングウイルス

■ウイルス名

Gen:Variant.Strictor、a variant of Win32/Agent.TIB、Backdoor.Trojan 等

■概要

本ウイルスに感染した場合、マシンにマイニングツールをインストールおよび、外部サーバから複数のウイルスをダウンロードします。
その後、ローカルネットワーク上をスキャンし、脆弱なマシンを見つけた後、マシンの脆弱性を悪用して更なる感染活動を行います。
また、netshコマンドを利用して、システムにFWポリシーが作成されるとともに、タスクスケジューラにマイニング用のタスクが追加されます。

・作成されるディレクトリとファイルおよびレジストリエントリ
- Directory:
%Windows%\IIS

- Files:
%Windows%\end.bat
%Windows%\SB360.bat
%Windows%\end.bat
%Windows%\IIS\srvany.exe 等

- Registry Entries:
HKLM\SYSTEM\CurrentControlSet\Services
Application Layre Gateway Service
HKLM\SYSTEM\CurrentControlSet\Services
iis



■想定される侵入経路

不特定サイト等よりダウンロード実行して感染することが推測されるほか、
脆弱性を悪用して感染することが推測されます。

・悪用される脆弱性
- MS17-010




2018年08月 : ネットバンキングのIDやパスワード情報を盗み出すウイルス

■ウイルス名

Win32:Trojan-gen、TSPY_URSNIF、Trojan.Gen.2、a variant of Win32/Kryptik 等

■概要

本ウイルスはGoziやDreamBotの一種となります。システム環境(32bit/64bit)を判別し、svchost.exeなどの正規プロセスに
悪性のDLLをインジェクションして実行されます。また、複数の情報が盗み出されると共に、C&Cサーバから送られてきた任意のコマンドが不正に実行されます。
なお、仮想環境もしくはデバッグ環境で実行された場合は、エラーが表示されます。

・作成されるファイルとディレクトリ
- %appdata%\[Random]\[Random].exe - 自身のコピーが作成される
- %temp%\[Random]\[Random].bat - [Random].exeを実行する命令が記載されている
- %temp%\[Random_Hex].bin - 不正に取得された情報が格納される



■漏洩する情報

感染した場合、下記の情報が漏洩する可能性が考えられます。
コンピュータ名
システム情報
実行中のプロセス
ブラウザのCookie情報
特定ブラウザのデータやWebフォーム情報(銀行関連)

など

■想定される侵入経路

ほとんどがマクロが組み込まれたエクセル・ワード形式のファイルより マクロを有効にした際に 悪質なスクリプトによってダウンロードされます。



2018年07月 : リモートアクセスツールを利用してシステム情報を盗むウイルス

■ウイルス名

Trojan.Maljava 、 HEUR:Trojan.Java.Agen 、JAVA_DLOADER 、a variant of Generik 等

■概要

本ウイルスは、Javaがインストールされている環境で実行され、感染した場合は端末にリモートアクセスツール(RAT)がインストールされます。

Javaがインストールされている環境であれば、Windowsだけではなく、LinuxやMACも感染の対象となります。
ウイルスが実行された場合、特定のパスへ自身の複製を作成し、実行された自身を削除します。

また、自動実行されるようにレジストリへ特定の値のエントリを追加します。

さらに、感染の検知を遅らせる為に、ループバックアドレスに接続するように、予め用意された設定ファイルを使用しながら、リモートアクセスツール(RAT)のコンポーネントファイルをダウンロードしたり、実行や削除をします。

なお、感染した場合は特定のサイトに接続されます。

■漏洩する情報

感染した端末のシステム情報が漏えいすることが考えられます。


■想定される侵入経路

殆どがスパムメールから感染することが推測されます。



2018年06月 : プロセッサの情報を盗むウイルス

■ウイルス名

HEUR:Trojan.Win32 、TSPY_TRICKLOAD 、Trojan.Gen、W32/Invader!、Trojan:Win32/Occamy 等

■概要

本ウイルスは感染すると、悪意あるコンポーネントがプロセスに挿入され、C&Cサーバから他のウイルスをダウンロードして実行することが考えられます。

その他にも実行中のインスタンスを1つだけ許可するために、次のプログラムを追加します。
"Mutex_ONLY_ME_V2"

■漏洩する情報

感染した場合、下記の情報が漏洩する可能性が考えられます。
実行中のアプリケーションシステムに関する情報(GetNativeSystemInfo)の収集
プロセッサのタイプ
システム内のプロセッサーの数

また、本ウイルスは解析者(ホワイトハッカー)によるリバースエンジニアリングからの早期発見を逃れるための対策がされています。これら漏えいする情報は、先述の漏えいする情報の保管パスに.bin形式のファイルで格納され、その後C&Cサーバに送信されます。


■想定される侵入経路

他のウイルスと共にマシン内に侵入するか、C&Cサーバからダウンロードされることにより 端末内に侵入することが考えられます。



2018年05月 : ユーザ端末の情報を不正送信するウイルス

■ウイルス名

Trojan-Spy.Win32 、TSPY_URSNIF、W32.Suviapen 、W32/Kryptik 等

■概要

本ウイルスは、情報漏えいを行うウイルスとして感染した場合端末のシステム情報やインターネットクッキー、メールアカウント情報等を盗む挙動が確認されてます。

また、本ウイルスは、仮想環境(VMWareやサンドボックス)ではないことを確認します。

【作成されるファイル】
- %appdata%/[Random]/[Random].exe - 自身のコピーの作成
- %temp%\[Random].bin - 漏えいする情報が保管されるパス。

また、ウイルスは端末が32bit、64bit環境のどちらであるかを識別し、端末のビット環境に応じた不正な .dllファイルを解凍し、
svchost.exe、 explorer.exe 、iexplorer.exeなどの正規プロセスに.dllファイルを埋め込みプロセスが稼働することで情報が傍受されます。



■漏洩する情報

感染した場合、下記の情報が漏洩する可能性が考えられます。
マシン名
インターネットクッキー
稼働中のプロセス情報
メールのアカウント情報
端末にインストールされたデバイスドライバー
端末にインストールされたアプリケーション systeminfo.exeの情報 OSのインストール日 プロセッサ数 Chrome、Internet Explorer、Thunderbird、FirefoxのデータとWebフォームの傍受

これら漏えいする情報は、先述の漏えいする情報の保管パスに.bin形式のファイルで格納され、その後C&Cサーバに送信されます。



■想定される侵入経路

ほとんどがマクロが組み込まれたエクセル・ワード形式のファイルより マクロを有効にした際に悪質なスクリプトによってダウンロードされます。



2018年04月 : 複数のC&Cサーバへ情報を送信するウイルス

■ウイルス名

Backdoor.Win32、Trojan.Cridex 、Ransom_HPLOCKY、W32/Kryptik 等

■概要

本ウイルスは、情報漏えいを行うウイルスとして感染した場合端末から収集した情報を複数のC&Cサーバへ送信します。

195.154.***.***:473
198.74.***.***:5445
128.199.***.***:6446
221.132.***.***:8843 等

また、感染した端末内に、下記のウイルス対策製品がインストールされていた場合、チェックします。

AVG
Avira
ESET
MalwareBytes 等



■漏洩する情報

感染した場合、下記の情報が漏洩する可能性が考えられます。
マシン名
OSのバージョン
OSのインストール日
プロセッサ数
%AppData%フォルダの情報
端末にインストールされたアプリケーション

また、C&Cサーバが閉鎖していない場合、感染した端末上で、銀行関連の通信を行うURLを監視するための設定が施されたファイルが送信されることが考えられます。


■想定される侵入経路

ほとんどがマクロが組み込まれたエクセル・ワード形式のファイルより マクロを有効にした際に悪質なスクリプトによってダウンロードされます。



2018年03月 : 早期発見を遅らせるダウンローダー型ウイルス

■ウイルス名

HEUR:Trojan.Win32、TROJ_ZURGOP、W32/Kryptik、Gen:Variant.等

■概要

本ウイルスは感染した場合、端末上の[ explorer.exe ]に不正なコードを 埋め込み、ユーザが意図しないC&Cサーバに対して通信を行い、
他のウイルスをダウンロードするダウンローダーとして確認されてます。
また、ダウンロードするファイルは、ファイル名が日本語表記であることが 確認されており、日本を標的としたウイルスであることが考えられます。
本ウイルスは、C&Cサーバへ通信を行うほか、早期発見を遅らせるため いくつかの正規サイトへ通信を試みます。

www.adobe.com
www.msn.com
www.java.com

本ウイルスは、ウイルス対策製品やウイルステスト環境での早期発見を 遅らせるため、下記のような条件下でウイルス活動を停止する挙動がございます。

端末上に下記のソフトがインストールされている場合
virtual
vmware
xen
CCleaner 等


■漏洩する情報

感染した場合、下記の情報が漏洩する可能性が考えられます。
ユーザーの資格情報、システム情報等
本ウイルスは、C&Cサーバから不正なコマンドがリモートで実行され、 他のウイルスのダウンロードと実行を行います。


■想定される侵入経路

他のマルウェアに作成されるか、悪意あるWebサイトからユーザが 誤ってダウンロードすることによりコンピュータに侵入することが 想定されます。



2018年02月 : 感染したマシンの情報を盗むワーム系ウイルス

■ウイルス名

JS:Trojan、JS.Downloader、JS_VWORM、HEUR:Trojan.Script.Agent 等

■概要

本ウイルスはワーム系のウイルスに属し、感染した場合、端末からリムーバブルディスクドライブを 経由して他の端末へ侵入し感染活動を行うほか、ウイルス自身のコピーの作成、 C&Cサーバからコマンドを受け取り、他のウイルスのダウンロードや実行を行う挙動が確認されてます。
また、C&Cサーバへの通信は、ポート7974を使用します。


■漏洩する情報

感染した端末上から、システム情報、OS情報、端末で使用しているセキュリティ製品の情報を盗むことが考えられます。

また、本ウイルスはC&Cサーバから不正なコマンドがリモートで実行され、
送信されるコマンドとしては以下が確認されてます。


・ウイルスの終了
・他のウイルスのダウンロードとその実行
・取得した情報をC&Cサーバへ送信



■想定される侵入経路

不審なメールの添付ファイルとして送信されるほか、リムーバブルディスクドライブを 経由して感染することが考えられます。



2018年01月 : 物理マシン狙ったスパイウェア

■ウイルス名

Infostealer、TROJ_DLOADER、Trojan:Win32、Trojan-Spy.Win32等


■概要

本ウイルスはトロイの木馬型のウイルスであり、感染した場合端末にインストールされたアプリケーションの情報を盗み、 C&Cサーバへ不正に情報を送信することが考えられます。
また、本ウイルスの挙動として不正コマンドをC&Cサーバから受け取ったり、端末内に存在するファイルの読みとりや書き込み、また他のウイルスを ダウンロードして実行することが考えられます。
なお、本ウイルスについては、仮想環境では動作しないことが考えられ、感染するマシンのほとんどが物理マシンが対象であることが推測されます。

主な仮想環境は下記が挙げられます。
・KVM
・Microsoft HyperVisor
・VMware
・Xen
・Parallels
・VirtualBox


■漏洩する情報

感染した端末にインストールされたアプリケーションに関する 情報を収集することが考えられます。


■想定される侵入経路

ほとんどが、他のウイルスの実行により不正にC&Cサーバからダウンロードされ侵入することが推測されます。




お問い合わせ

貴社担当営業またはこちらまでお問い合わせ頂けますでしょうか。




このページの先頭へ