2018年6月28日 Leave a Comment

6 月 16 日～ 6 月 22 日の 1 週間における脅威のまとめ

3 min read

TALOS Japan

本日の投稿では 6 月 15 日～ 6 月 22 日の 1 週間で Talos が確認した最も蔓延している脅威をまとめてお伝えします。これまでのまとめ記事と同様に、この記事でも詳細な分析は目的としていません。ここでは、脅威の主な行動特性、セキュリティ侵害の指標に焦点を当て、シスコのお客様がこれらの脅威からどのように保護されるかについて説明しています。

下記の脅威関連情報は、すべてを網羅しているわけではないこと、また公開日の時点に限り最新のものであることに留意してください。脅威に対する検出とカバレッジは、今後の脅威または脆弱性分析により更新される場合があります。最新の情報については、Firepower Management Center、Snort.org、または ClamAV.net を参照してください。

今回紹介する最も一般的な脅威は次のとおりです。

Dropper.Generic-6584427-0
Dropper
この Dropper は、後から悪意のあるコードを挿入して実行できるように、メモリ領域に PAGE_EXECUTE_READWRITE フラグを割り当てようとします。サンプルには TLS コールバックエントリも含まれており、これによってマルウェアの作者は、デバッガが従来のエントリポイントで一時停止する機会を捉える前に、悪意のあるコードを実行できるようになります。
Dropper.Fareit-6584428-0
Dropper
Fareit ドロッパーは正当なシステムプロセスにコードを挿入します。通常、これを「process hollowing」という回避手法を使用して行います。サンプルの中には、VB スクリプトを使用して一部の悪意のある活動を実行し、ホスト上での永続性を維持するために AutoRun レジストリキーを変更するものがあります。
Dropper.Zbot-6584477-0
Dropper
Zbot（別名ゼウスボット）は情報を盗み出すマルウェアで、銀行のユーザ認証情報を標的としています。詳細については、以下のブログ記事をご覧ください。 https://talosintelligence.com/zeus_trojan
Trojan.Generic-6584512-1
トロイの木馬
このトロイの木馬は Emotet マルウェアファミリと関連することがあります。「C:\Windows\SysWOW64\」などのシステムディレクトリに自身のコピーを作成します。感染したシステムの情報を含むファイルをリモートサーバにアップロードして、システムレジストリの現在のコントロールセットにサービスとしてファイルを追加することもできます。
Malware.Installcore-6584374-1
マルウェア
このアドウェアは「%APPDATA%」に自身のコピーを「tmp」拡張子で作成します。サンプルの中には、キーボードやその他のユーザ入力のモニタリングに使用できる SetWindowsHookEx 関数へのライブラリ参照を含むものがあり、これはキーロガー機能の可能性を意味します。
Trojan.Jaik-6584366-1
トロイの木馬
Jaik には VisualBasic ランタイム DLL へのライブラリ参照が含まれており、これによってプロセスが Visual Basic スクリプトを直接または内部で実行できるようになります。また、後から悪意のあるコードを挿入して実行できるように、メモリ領域に PAGE_EXECUTE_READWRITE フラグを割り当てようとします。

脅威

WIN.DROPPER.GENERIC-6584427-0

侵害の兆候

レジストリキー

<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\5.0\CACHE\CONTENT
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\5.0\CACHE\COOKIES
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\5.0\CACHE\HISTORY
<HKCR>\LOCAL SETTINGS\MUICACHE\3E\52C64B7E
<HKLM>\SYSTEM\CONTROLSET001\CONTROL\NETWORK\{4D36E972-E325-11CE-BFC1-08002BE10318}\{9EB90D23-C5F9-4104-85A8-47DD7F6C4070}\CONNECTION
<A>\{F698CDEA-372F-11E8-8419-00501E3AE7B5}\DEFAULTOBJECTSTORE\LruList
<A>\{F698CDEA-372F-11E8-8419-00501E3AE7B5}\DEFAULTOBJECTSTORE\LRULIST\00000000000029D3
<A>\{F698CDEA-372F-11E8-8419-00501E3AE7B5}\DEFAULTOBJECTSTORE\OBJECTTABLE\AB5\INDEXES\FileIdIndex-{3f37ba64-ef5c-11e4-bb8d-806e6f6e6963}
<A>\{F698CDEA-372F-11E8-8419-00501E3AE7B5}\DEFAULTOBJECTSTORE\INDEXTABLE\FILEIDINDEX-{3F37BA64-EF5C-11E4-BB8D-806E6F6E6963}
<A>\{F698CDEA-372F-11E8-8419-00501E3AE7B5}\DEFAULTOBJECTSTORE\LRULIST
<A>\{F698CDEA-372F-11E8-8419-00501E3AE7B5}\DEFAULTOBJECTSTORE\LRULIST\00000000000029D3
<A>\{F698CDEA-372F-11E8-8419-00501E3AE7B5}\DEFAULTOBJECTSTORE\OBJECTTABLE\AB5
<A>\{F698CDEA-372F-11E8-8419-00501E3AE7B5}\DEFAULTOBJECTSTORE\OBJECTTABLE\AB5
<A>\{F698CDEA-372F-11E8-8419-00501E3AE7B5}\DEFAULTOBJECTSTORE\OBJECTTABLE\AB5
<HKCU>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\0a0d020000000000c000000000000046
<HKCU>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\13dbb0c8aa05101a9bb000aa002fc45a
<HKCU>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\33fd244257221b4aa4a1d9e6cacf8474
<HKCU>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\3517490d76624c419a828607e2a54604
<HKCU>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\4c8f4917d8ab2943a2b2d4227b0585bf
<HKCU>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\5309edc19dc6c14cbad5ba06bdbdabd9
<HKCU>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\82fa2a40d311b5469a626349c16ce09b
<HKCU>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\8503020000000000c000000000000046
<HKCU>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\9207f3e0a3b11019908b08002b2a56c2
<HKCU>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\9375CFF0413111d3B88A00104B2A6676
<HKCU>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\9375CFF0413111d3B88A00104B2A6676\00000001
<HKCU>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\9375CFF0413111d3B88A00104B2A6676\00000002
<HKCU>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\9375CFF0413111d3B88A00104B2A6676\00000003
<HKCU>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\9e71065376ee7f459f30ea2534981b83
<HKCU>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\a88f7dcf2e30234e8288283d75a65efb
<HKCU>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\c02ebc5353d9cd11975200aa004ae40e
<HKCU>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\d33fc3b19a738142b2fc0c56bd56ad8c
<HKCU>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\ddb0922fc50b8d42be5a821ede840761
<HKCU>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\df18513432d1694f96e6423201804111
<HKCU>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\ecd15244c3e90a4fbd0588a41ab27c55
<HKCU>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\f86ed2903a4a11cfb57e524153480001
<HKCU>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\{D9734F19-8CFB-411D-BC59-833E334FCB5E}
<HKCU>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\{D9734F19-8CFB-411D-BC59-833E334FCB5E}\Calendar Summary
<A>\{F698CDEA-372F-11E8-8419-00501E3AE7B5}\DEFAULTOBJECTSTORE\OBJECTTABLE\AB5\INDEXES\FILEIDINDEX-{3F37BA64-EF5C-11E4-BB8D-806E6F6E6963}
<A>\{F698CDEA-372F-11E8-8419-00501E3AE7B5}\DEFAULTOBJECTSTORE\INDEXTABLE\FILEIDINDEX-{3F37BA64-EF5C-11E4-BB8D-806E6F6E6963}\10000000090A2
<A>\{F698CDEA-372F-11E8-8419-00501E3AE7B5}\DEFAULTOBJECTSTORE\OBJECTTABLE\AB5
<HKLM>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN

ミューテックス

8-3503835SZBFHHZ
O957R401SY5ZZzJz

IP アドレス

54.117.218
27.180.157
168.221.104
72.89.116
98.145.30
173.153.58
213.249.103
76.141.40
76.128.34
237.136.127

ドメイン名

dingjian1688.com
tradewindsonlinemall.com
mewqaccmertgroup.com
holymedgap.com
tealeurope.com
clinicaslipedema.com
christynhomes.com
oliver-group.com
eloloans.com
yourdready.com
cinderellagames.com

作成されたファイルやディレクトリ

%AllUsersProfile%\Microsoft\Vault\AC658CB4-9126-49BD-B877-31EEDAB3F204\Policy.vpol
%LocalAppData%\Microsoft\Vault\4BF4C442-9B8A-41A0-B380-DD4A704DDB28\Policy.vpol
\PC*\MAILSLOT\NET\NETLOGON
%AllUsersProfile%\Microsoft\Vault\AC658CB4-9126-49BD-B877-31EEDAB3F204\Policy.vpol
%WinDir%\AppCompat\Programs\RecentFileCache.bcf
%ProgramFiles% (x86)\Bzv1lxh98
%ProgramFiles% (x86)\Bzv1lxh98\igfxnpttjhuh.exe
%LocalAppData%\Temp\Bzv1lxh98
%LocalAppData%\Temp\Bzv1lxh98\igfxnpttjhuh.exe
%ProgramFiles% (x86)\Bzv1lxh98\igfxnpttjhuh.exe
%AppData%\O957R401
%AppData%\O957R401\O95log.ini
%AppData%\O957R401\O95logim.jpeg
%AppData%\O957R401\O95logrc.ini
%AppData%\O957R401\O95logim.jpeg
%AppData%\O957R401\O95logrc.ini
\TEMP\tmpQDq_1r.exe

ファイルのハッシュ値
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カバレッジ

検出時のスクリーンショット

AMP

Threat Grid

WIN.DROPPER.FAREIT-6584428-0

侵害の兆候

レジストリ キー

<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\5.0\CACHE\HISTORY
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\5.0\CACHE\COOKIES
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\5.0\CACHE\CONTENT
<HKLM>\Software\Microsoft\Fusion\GACChangeNotification\Default
<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN

ミューテックス

IP アドレス

146.43.71

ドメイン名

dyndns.org

作成されたファイルやディレクトリ

%AppData%\MDU Resources Group Inc\MDU Resources Group Inc.exe
%AppData%\MDU Resources Group Inc\MDU Resources Group Inc.exe
%AppData%\MDU Resources Group Inc

ファイルのハッシュ値
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カバレッジ

検出時のスクリーンショット

AMP

Threat Grid

WIN.DROPPER.ZBOT-6584477-0

侵害の兆候

レジストリ キー

<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\CONNECTIONS
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\MPSSVC\PARAMETERS\PORTKEYWORDS\DHCP
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\NETBT\PARAMETERS\INTERFACES\TCPIP_{9EB90D23-C5F9-4104-85A8-47DD7F6C4070}
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\TCPIP\PARAMETERS\INTERFACES\{9EB90D23-C5F9-4104-85A8-47DD7F6C4070}
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\TCPIP\PARAMETERS\INTERFACES\{9EB90D23-C5F9-4104-85A8-47DD7F6C4070}
<HKCU>\SOFTWARE\MICROSOFT\Ycbi
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
<HKCU>\SOFTWARE\Microsoft\Ycbi
<HKCU>\Software\Microsoft\Windows\Currentversion\Run
<HKCU>\SOFTWARE\MICROSOFT\YCBI
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\5.0\CACHE\CONTENT
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\5.0\CACHE\COOKIES
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\5.0\CACHE\HISTORY
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.101
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.103
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.100
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.102
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\ACTION CENTER\CHECKS\{E8433B72-5842-4D43-8645-BC2C35960837}.CHECK.104
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\CONNECTIONS

ミューテックス

IP アドレス

ドメイン名

作成されたファイルやディレクトリ

%LocalAppData%\Temp\tmpb550dbcc.bat
%AppData%\Ikywz
%AppData%\Ikywz\opmaf.exe
%AppData%\Meen
%AppData%\Meen\moibq.aqy
%AppData%\Zulie
%AppData%\Zulie\ylhib.ecf
%AppData%\Ikywz\opmaf.exe
%LocalAppData%\Microsoft\Windows\WebCache\WebCacheV01.dat
\TEMP\tmpWfEKb5.exe
%LocalAppData%\Temp\tmpb550dbcc.bat
%AppData%\Microsoft\Protect\S-1-5-21-2580483871-590521980-3826313501-500\Preferred
%AppData%\Microsoft\Protect\S-1-5-21-2580483871-590521980-3826313501-500\faf08ed1-edb0-448c-809a-73cb275c3833

ファイルのハッシュ値
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カバレッジ

検出時のスクリーンショット

AMP

Threat Grid

WIN.TROJAN.GENERIC-6584512-1

侵害の兆候

レジストリ キー

<HKLM>\SYSTEM\CONTROLSET001\SERVICES\MPSSVC\PARAMETERS\PORTKEYWORDS\DHCP
<HKCR>\LOCAL SETTINGS\MUICACHE\3E\52C64B7E
<HKLM>\SYSTEM\CONTROLSET001\CONTROL\NETWORK\{4D36E972-E325-11CE-BFC1-08002BE10318}\{9EB90D23-C5F9-4104-85A8-47DD7F6C4070}\CONNECTION
<A>\{F698CDEA-372F-11E8-8419-00501E3AE7B5}\DEFAULTOBJECTSTORE\IndexTable
<A>\{F698CDEA-372F-11E8-8419-00501E3AE7B5}\DEFAULTOBJECTSTORE\INDEXTABLE\FileIdIndex-{3f37ba64-ef5c-11e4-bb8d-806e6f6e6963}
<A>\{F698CDEA-372F-11E8-8419-00501E3AE7B5}\DEFAULTOBJECTSTORE\LRULIST\00000000000029D3
<A>\{F698CDEA-372F-11E8-8419-00501E3AE7B5}\DEFAULTOBJECTSTORE\LRULIST\00000000000029D6
<A>\{F698CDEA-372F-11E8-8419-00501E3AE7B5}\DEFAULTOBJECTSTORE
<A>\{F698CDEA-372F-11E8-8419-00501E3AE7B5}\DEFAULTOBJECTSTORE\LRULIST\00000000000029D3
<A>\{F698CDEA-372F-11E8-8419-00501E3AE7B5}\DEFAULTOBJECTSTORE\LRULIST\00000000000029D3
<A>\{F698CDEA-372F-11E8-8419-00501E3AE7B5}\DEFAULTOBJECTSTORE\LRULIST\00000000000029D6
<A>\{F698CDEA-372F-11E8-8419-00501E3AE7B5}\DEFAULTOBJECTSTORE\LRULIST\00000000000029D6
<HKU>\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\5.0\CACHE\CONTENT
<HKU>\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\5.0\CACHE\HISTORY
<HKU>\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\5.0\CACHE\COOKIES
<A>\{F698CDEA-372F-11E8-8419-00501E3AE7B5}\DEFAULTOBJECTSTORE\OBJECTTABLE\AB6\INDEXES\FILEIDINDEX-{3F37BA64-EF5C-11E4-BB8D-806E6F6E6963}
<A>\{F698CDEA-372F-11E8-8419-00501E3AE7B5}\DEFAULTOBJECTSTORE\INDEXTABLE\FILEIDINDEX-{3F37BA64-EF5C-11E4-BB8D-806E6F6E6963}\8000000005683
<A>\{F698CDEA-372F-11E8-8419-00501E3AE7B5}\DEFAULTOBJECTSTORE\INDEXTABLE\FILEIDINDEX-{3F37BA64-EF5C-11E4-BB8D-806E6F6E6963}\A00000000572A
<HKLM>\SYSTEM\CONTROLSET001\SERVICES\GENRALNLA
<HKU>\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\CONNECTIONS

ミューテックス

PEM1A4
PEM938
PEMB6C
PEM570
PEM6D0
PEM53C
PEMB18

IP アドレス

168.1.1
255.255.255
168.1.255
182.77.184
17.170.58
85.144.108
1.17.8
85.144.16
254.26.220
57.200.135
252.22.86
60.217.89
124.44.100
200.78.68
8.71.14
167.146.22
252.22.84
91.199.223
210.232.50
185.4.48
79.186.14
147.240.163
98.36.162
168.97.48
254.26.231
24.139.43
40.42.154
97.188.226
154.202.50
95.253.117
89.124.197
69.57.254
185.4.148
163.253.7
208.196.99
1.215.225
229.241.221
89.31.229
169.79.115
17.128.164
87.144.90
136.52.50
217.66.117
168.97.78
24.202.43
71.59.20
4.202.62

ドメイン名

orange.fr
googlemail.com
crosbyisd.org
robeson.k12.nc.us
fuse.net
tim.it
cox.net
blueyonder.co.uk
vd.educanet2.ch
gmail.com
wanadoo.fr
hostgator.com
bbm-exchange.bbm-germany.de
cmidwest.com
banit.club
sfr.fr
netzero.com
telebeep.com
tiscali.co.uk
virgin.net
fcomet.com
gtscarrier.com
charter-business.net
cecompute.com
hughes.net
rcn.com
dbmcbride.com
talktalk.net
whitecars.com
hostgator.com
niuelec.com.pg
rjcables.com
hostgator.com
fuse.net
wanadoo.fr
exchange.1and1.com
orthopaedicsopenjournal.com
tropitelvalley.com
exchange.emailservice.io
bluehost.com
cmail.club
xplornet.ca
labolab.com.ec
nhspeedometer.com
emirates.net.ae

作成されたファイルやディレクトリ

\srvsvc
%WinDir%\AppCompat\Programs\RecentFileCache.bcf
%System32%\config\SYSTEM
%System32%\config\SYSTEM.LOG1
%WinDir%\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat
%WinDir%\SysWOW64\wrGwEEi.exe
%WinDir%\SysWOW64\wrGwEEi.exe

ファイルのハッシュ値
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カバレッジ

検出時のスクリーンショット

AMP

Threat Grid

WIN.MALWARE.INSTALLCORE-6584374-1

侵害の兆候

レジストリ キー

<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\5.0\CACHE\CONTENT
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\5.0\CACHE\COOKIES
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\5.0\CACHE\HISTORY
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\CONNECTIONS
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP
<HKCR>\LOCAL SETTINGS\MUICACHE\3E\52C64B7E
<HKLM>\SYSTEM\CONTROLSET001\CONTROL\NETWORK\{4D36E972-E325-11CE-BFC1-08002BE10318}\{9EB90D23-C5F9-4104-85A8-47DD7F6C4070}\CONNECTION
<HKCU>\Software\Microsoft\Internet Explorer\Main

ミューテックス

!IECompat!Mutex

IP アドレス

163.153.35
206.6.222
42.47.197
218.108.244

ドメイン名

totikik1.com
totikik1.com
totikik1.com

作成されたファイルやディレクトリ

%LocalAppData%\Temp\in699DB22B\
%LocalAppData%\Temp\in699DB22B\2A4213C8.tmp
%LocalAppData%\Temp\INH265~1\css\
%LocalAppData%\Temp\INH265~1\css\ie6_main.css
%LocalAppData%\Temp\INH265~1\css\main.css
%LocalAppData%\Temp\INH265~1\css\sdk-ui\
%LocalAppData%\Temp\INH265~1\css\sdk-ui\browse.css
%LocalAppData%\Temp\INH265~1\css\sdk-ui\button.css
%LocalAppData%\Temp\INH265~1\css\sdk-ui\checkbox.css
%LocalAppData%\Temp\INH265~1\css\sdk-ui\images\
%LocalAppData%\Temp\INH265~1\css\sdk-ui\images\button-bg.png
%LocalAppData%\Temp\INH265~1\css\sdk-ui\images\progress-bg-corner.png
%LocalAppData%\Temp\INH265~1\css\sdk-ui\images\progress-bg.png
%LocalAppData%\Temp\INH265~1\css\sdk-ui\images\progress-bg2.png
%LocalAppData%\Temp\INH265~1\css\sdk-ui\progress-bar.css
%LocalAppData%\Temp\INH265~1\csshover3.htc
%LocalAppData%\Temp\INH265~1\form.bmp.Mask
%LocalAppData%\Temp\INH265~1\images\
%LocalAppData%\Temp\INH265~1\images\BG.png
%LocalAppData%\Temp\INH265~1\images\Close.png
%LocalAppData%\Temp\INH265~1\images\Close_Hover.png
%LocalAppData%\Temp\INH265~1\images\Color_Button.png
%LocalAppData%\Temp\INH265~1\images\Grey_Button.png
%LocalAppData%\Temp\INH265~1\images\Grey_Button_Hover.png
%LocalAppData%\Temp\INH265~1\images\Loader.gif
%LocalAppData%\Temp\INH265~1\images\Progress.png
%LocalAppData%\Temp\INH265~1\images\ProgressBar.png
%LocalAppData%\Temp\INH265~1\images\sponsored.png
%LocalAppData%\Temp\INH265~1\locale\
%LocalAppData%\Temp\INH265~1\locale\EN.locale
%LocalAppData%\Temp\INH265~1\images\Color_Button_Hover.png
%LocalAppData%\Temp\9E6FFDFF.log
%LocalAppData%\Temp\9E7000AD.log
%LocalAppData%\Temp\9E7000BD.log
%LocalAppData%\Temp\inH265813966324383\
%LocalAppData%\Temp\inH265813966324383\bootstrap_5001.html
%ProgramFiles% (x86)\9E7009E1.log

ファイルのハッシュ値
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カバレッジ

検出時のスクリーンショット

AMP

Threat Grid

WIN.TROJAN.JAIK-6584366-1

侵害の兆候

レジストリ キー

<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\5.0\CACHE\CONTENT
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\5.0\CACHE\COOKIES
<HKCU>\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\5.0\CACHE\HISTORY
<HKCR>\LOCAL SETTINGS\MUICACHE\3E\52C64B7E
<A>\{F698CDEA-372F-11E8-8419-00501E3AE7B5}\DEFAULTOBJECTSTORE\OBJECTTABLE\AB5
<A>\{F698CDEA-372F-11E8-8419-00501E3AE7B5}\DEFAULTOBJECTSTORE\INDEXTABLE\FILEIDINDEX-{3F37BA64-EF5C-11E4-BB8D-806E6F6E6963}\1000000008F79
<A>\{F698CDEA-372F-11E8-8419-00501E3AE7B5}\DEFAULTOBJECTSTORE\OBJECTTABLE\AB6
<A>\{F698CDEA-372F-11E8-8419-00501E3AE7B5}\DEFAULTOBJECTSTORE\LRULIST\00000000000029D6
<A>\{F698CDEA-372F-11E8-8419-00501E3AE7B5}\DEFAULTOBJECTSTORE\OBJECTTABLE\AB6\Indexes
<A>\{F698CDEA-372F-11E8-8419-00501E3AE7B5}\DEFAULTOBJECTSTORE\OBJECTTABLE\AB6\INDEXES\FileIdIndex-{3f37ba64-ef5c-11e4-bb8d-806e6f6e6963}
<A>\{F698CDEA-372F-11E8-8419-00501E3AE7B5}\DEFAULTOBJECTSTORE\OBJECTTABLE\AB5\INDEXES\FILEIDINDEX-{3F37BA64-EF5C-11E4-BB8D-806E6F6E6963}
<A>\{F698CDEA-372F-11E8-8419-00501E3AE7B5}\DEFAULTOBJECTSTORE\OBJECTTABLE\AB6\INDEXES\FILEIDINDEX-{3F37BA64-EF5C-11E4-BB8D-806E6F6E6963}
<HKCU>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\0a0d020000000000c000000000000046
<HKCU>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\13dbb0c8aa05101a9bb000aa002fc45a
<HKCU>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\33fd244257221b4aa4a1d9e6cacf8474
<HKCU>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\3517490d76624c419a828607e2a54604
<HKCU>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\4c8f4917d8ab2943a2b2d4227b0585bf
<HKCU>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\5309edc19dc6c14cbad5ba06bdbdabd9
<HKCU>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\82fa2a40d311b5469a626349c16ce09b
<HKCU>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\8503020000000000c000000000000046
<HKCU>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\9207f3e0a3b11019908b08002b2a56c2
<HKCU>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\9375CFF0413111d3B88A00104B2A6676
<HKCU>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\9375CFF0413111d3B88A00104B2A6676\00000001
<HKCU>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\9375CFF0413111d3B88A00104B2A6676\00000002
<HKCU>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\9375CFF0413111d3B88A00104B2A6676\00000003
<HKCU>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\9e71065376ee7f459f30ea2534981b83
<HKCU>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\a88f7dcf2e30234e8288283d75a65efb
<HKCU>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\c02ebc5353d9cd11975200aa004ae40e
<HKCU>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\d33fc3b19a738142b2fc0c56bd56ad8c
<HKCU>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\ecd15244c3e90a4fbd0588a41ab27c55
<HKCU>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\f86ed2903a4a11cfb57e524153480001
<HKCU>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\{D9734F19-8CFB-411D-BC59-833E334FCB5E}
<HKCU>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\{D9734F19-8CFB-411D-BC59-833E334FCB5E}\Calendar Summary
<HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN

ミューテックス

8-3503835SZBFHHZ
O247ST8-UYZ6KDCz

IP アドレス

202.122.77
34.228.159
93.150.105
193.6.130
98.129.62
185.159.145
67.212.57
73.146.154

ドメイン名

acilklimaservisi.net
mediquipmedicalsolutions.net
thisforthatquidproquo.com
verim.site
nextdealworld.com
pelatihanukm.com
maydiamondbeautyandstyle.com
mirrorxr.com
nuuee.com
walktofinancialfreedom.com
epsycoachez.com

作成されたファイルやディレクトリ

\PC*\MAILSLOT\NET\NETLOGON
%AllUsersProfile%\Microsoft\Vault\AC658CB4-9126-49BD-B877-31EEDAB3F204\Policy.vpol
%LocalAppData%\Microsoft\Vault\4BF4C442-9B8A-41A0-B380-DD4A704DDB28\Policy.vpol
%AppData%\O247ST8-
%AppData%\O247ST8-\O24log.ini
%AppData%\O247ST8-\O24logim.jpeg
%AppData%\O247ST8-\O24logrv.ini
%ProgramFiles% (x86)\L0xbx
%ProgramFiles% (x86)\L0xbx\winztqlgh18.exe
%LocalAppData%\Temp\L0xbx
%LocalAppData%\Temp\L0xbx\winztqlgh18.exe
\TEMP\tmptxf6QC.exe

ファイルのハッシュ値
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カバレッジ

検出時のスクリーンショット

AMP

Threat Grid

本稿は 2018年6月22日に Talos Group のブログに投稿された「Threat Roundup for June 16-22 」の抄訳です。

Authors

TALOS Japan

Tags:

コメントを書く