本日(2 月 15 日)の投稿では、2 月 8 日 ~ 2 月 15 日の 1 週間で Talos が確認した最も蔓延している脅威をまとめています。これまでのまとめ記事と同様に、この記事でも詳細な分析は目的としていません。ここでは、脅威の主な行動特性、セキュリティ侵害の指標に焦点を当て、シスコのお客様がこれらの脅威からどのように保護されるかについて説明しています。
下記の脅威関連情報は、すべてを網羅しているわけではないこと、また公開日の時点に限り最新のものであることに留意してください。また、IOC(セキュリティ侵害の証拠や痕跡)の追跡は脅威分析のごく一部に過ぎないことにもご注意ください。単一の IOC を検出しても、それに必ずしも悪意があるとは限りません。脅威に対する検出とカバレッジは、今後の脅威または脆弱性分析により更新される場合があります。最新の情報については、Firepower Management Center、Snort.org、または ClamAV.net を参照してください。
本記事のハッシュ値のリストには、最大で 25 個までしか含まれていません。この記事に記載されている IOC と、ファイルのハッシュ値の一覧についてはこちらの JSON ファイルをご覧ください。これまでと同様に、このドキュメントに記載されているすべての IOC は指標にすぎず、1 つの IOC だけでは必ずしも悪意があるとは限らないことに留意してください。
今回紹介する最も一般的な脅威は次のとおりです。
- Virus.Expiro-6854765-0
ウイルス
Expiro は、デバッグ回避および分析回避テクニックで分析を妨害する既知のファイル インフェクタであり、情報窃取型ウィルスです。 - Malware.Swisyn-6854761-0
マルウェア
このファミリはパック処理済みで、自身の挙動を隠すための分析回避の手口を備えています。バイナリが別の実行可能ファイルをドロップし、それが実行されると、他のプロセスのアドレス空間に悪意のあるコードを注入します。 - Dropper.Ribaj-6855378-0
ドロッパー
このファミリは .NET で記述され、非常に悪質です。実行されると、これらのサンプルは Windows ディレクトリにファイルをドロップし、他のアプリケーションを修正して複数の子ファイルを生成します。これらのバイナリは、被害マシンのインターネット設定や証明書を変更することが Windows レジストリのアクティビティから確認されています。 - Malware.Valyria-6855449-0
マルウェア
「Valyria」の亜種で、悪意のある Microsoft Word ファイルです。他のマルウェアを配布するための VBA マクロが埋め込まれています。 - Malware.Cgok-6854725-0
マルウェア
これらのバイナリは仮想マシンおよび試験環境を検出することができます。逆アセンブル回避およびデバッグ回避テクニックを使って分析を複雑にすることもできます。このファミリは、追加のソフトウェアをインストールして情報をリモート サーバにアップロードすることが可能です。 - Malware.Noon-6854584-0
マルウェア
このファミリは、非常に悪質で他のバイナリを実行します。これらのサンプルはリモート サーバに接続して被害マシンで収集した情報をアップロードします。永続性があります。
脅威
Win.Virus.Expiro-6854765-0
侵害の兆候
レジストリ キー
- <HKCU>\Software
- <HKCU>\Software\Microsoft\SystemCertificates\MY
- <HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
- <HKU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
- <HKU>\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
- <HKU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
- <HKLM>\SOFTWARE\Microsoft\Internet Explorer\Setup
ミューテックス
- TermService_Perf_Library_Lock_PID_194
- kkq-vx_mtx87
- \BaseNamedObjects\gazavat-svc
- \BaseNamedObjects\kkq-vx_mtx1
- \BaseNamedObjects\kkq-vx_mtx29
- \BaseNamedObjects\gazavat-svc_29
マルウェアから接触があった IP?アドレス(必ずしも悪意があるとは限りません)
- 該当なし
マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません)
- 該当なし
作成されたファイルやディレクトリ
- \ROUTER
- \MSOCache\All Users\{90140000-0115-0409-0000-0000000FF1CE}-C\DW20.EXE
- \MSOCache\All Users\{90140000-0115-0409-0000-0000000FF1CE}-C\dwtrig20.exe
- \MSOCache\All Users\{91140000-0011-0000-0000-0000000FF1CE}-C\ose.exe
- %ProgramFiles%\Outlook Express\msimn.exe
- %ProgramFiles%\Outlook Express\wab.exe
- \SfcApi
- %ProgramFiles%\Java\jre7\bin\java.exe
- %System32%\tlntsvr.exe
- \net\NtControlPipe14
- %ProgramFiles%\Internet Explorer\iexplore.exe
- %ProgramFiles%\Outlook Express\msimn.vir
- %ProgramFiles%\Outlook Express\wab.vir
- %System32%\narrator.exe
- %System32%\utilman.exe
ファイルのハッシュ値
- 0759d83a9d783572b6f1f57399525c8f901ffdb41b536c19e6e70b7764ea8b78
- 182fe9f51e9347bae5930e28b842f6b0558dae8bf0b2c108704465b971fcf6bc
- 2d2c5852cbe5414ba1a9775295556499f44850e5b8c5162b6a7d9a5a4a877c99
- 3de0bb06e54b51c42eebc77788e36675e9ec8bab5b31cba456411e507b80c1eb
- 56498da2cafc996346f167c1f1abfd0e6c4011870a6981607b4eaa520eac3f37
- 58571a14a78bfe4d51116c1e2a6127446c98a43e4779a769028b84199b349152
- 7a72f9e0562311df35d0f40a609aaedaa3027455197180c0c5a931651c1fe600
- 8adbf00c308922f3c064644c3ade097501cb2be2e79f77b1b32cfee91f140121
- 93dcbe4d4d2bb9f6b0a454312008914485882521ac9ed7fe109cf5e4dd161427
- b3795e744b4ba084946e43e66bb01f05dff180f1302e6219c9f196a220ef7f09
- bcc7a15e9397bf7a58ce3b00bc5cba858738c292f501f376795e7f17fa019325
- ffee8a3dcc7f1eea25d35586024db359dbe4bcd6e8d6ad5aecb55a8b82ee5487
カバレッジ
検出時のスクリーンショット
AMP
ThreatGrid
Win.Malware.Swisyn-6854761-0
侵害の兆候
レジストリ キー
- <A>\{32DE27EC-AB30-11E8-A007-00501E3AE7B5}\DEFAULTOBJECTSTORE\IndexTable
- <A>\{32DE27EC-AB30-11E8-A007-00501E3AE7B5}\DEFAULTOBJECTSTORE\LruList
- <A>\{32DE27EC-AB30-11E8-A007-00501E3AE7B5}\DEFAULTOBJECTSTORE
- 値の名前(Value Name): _CurrentObjectId_
- <A>\{32DE27EC-AB30-11E8-A007-00501E3AE7B5}\DEFAULTOBJECTSTORE\OBJECTTABLE\AB5
- 値の名前:_ObjectLru_
- <HKLM>\SYSTEM\ControlSet001\Services\RKREVEAL150
ミューテックス
- RasPbFile
- Local\WERReportingForProcess1908
- Global\41010221-308a-11e9-a007-00501e3ae7b5
マルウェアから接触があった IP?アドレス(必ずしも悪意があるとは限りません)
- 該当なし
マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません)
- 該当なし
作成されたファイルやディレクトリ
- \srvsvc
- %WinDir%\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- %LocalAppData%\CrashDumps
- \net\NtControlPipe10
- %LocalAppData%\Temp\ZGHVFQ.exe
- %LocalAppData%\CrashDumps\e94034199ba3413b2180bdd135a7341b52a293c33b0c45640ba12f6578d3a1e0.exe.1908.dmp
ファイルのハッシュ値
- 073fedd91f616c324ba2ed839162c6f6a963afd0a35034e5fc07cbecbbdcb469
- 19f91a303132a80a4f929f27c415ecd9dd156313ba425942d1c7fc34ad95a863
- 218ff9378f7808cd0085846dcc2564178c632ffec5f7069e2c9963b4be53aecd
- 32fbfbf5bb78c2448741bb11a39411b529f025d9069192186556362f530112b9
- 394dc1c6011efacd4759251c0449b2fb87a8b4eb001c1b7cf6325ea712207d46
- 3a3aa457427f914f24156be2274b348a52d5551ee340e472d21783f7366086b3
- 458e2d0b5ef4b6b83c729ff109391a6073c3694765cc9d08e16774f8e82f9de8
- 56780c038c42e3d7f71e8f790b5a34fb9a680155d979fd58bc6483843ad6489a
- 5e16bfd4bab0dc29173e9a15d6ef6b98c701eba6dd48241c148605f6fc8fb5a7
- 6468ae9613dd9fac6ef25cb4afa961c2930c358566019f24a320f7910f29bdb0
- 822708cc727fc05d090589e46b6f69cec3b806508bd319557f3d26bd1e686b9c
- 8667a433b1e44b529ee76512bf82b666fdedfa3098ad55e36c8668c883202b38
- 8ca3fe8ed13101a815d8cca3ee74c7e42da394a822339d419a11d83b18660bb7
- 9390e81e988e37d9638ca6a1d2f3c7c1259dbea491173c41ad78782cda620313
- 948db0d6b2a45f4ccd9a7bebe08b20c1613c577bf8d0abd0717f1a5c1c7276ad
- b789a641395003148f0d8128e8ae8227e43b6261c50367fb1e55f065d79dd508
- bccb8cbfc7987c8814534d8fbdd9ae01acdfc7b6c987450a769de7e702cfdeb4
- c822b45d0eb29beaba494f6a61fa616ccd4f71c9d823f6705cadb521b18473e1
- e94034199ba3413b2180bdd135a7341b52a293c33b0c45640ba12f6578d3a1e0
カバレッジ
検出時のスクリーンショット
AMP
ThreatGrid
マルウェア
Win.Dropper.Ribaj-6855378-0
侵害の兆候
レジストリ キー
- <HKCU>\Software\Microsoft\SystemCertificates\My
- <HKCU>\Software\Microsoft\SystemCertificates\CA
- <HKCU>\Software\Microsoft\SystemCertificates\Disallowed
- <HKCU>\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED\Certificates
- <HKLM>\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED\CTLs
- <HKCU>\Software\Microsoft\SystemCertificates\Root
- <HKCU>\Software\Microsoft\SystemCertificates\TrustedPeople
- <HKLM>\Software\Microsoft\SystemCertificates\CA
- <HKLM>\Software\Microsoft\SystemCertificates\Disallowed
- <HKLM>\Software\Microsoft\SystemCertificates\TrustedPeople
- <HKLM>\Software\Microsoft\SystemCertificates\trust
- <HKU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
ミューテックス
- RasPbFile
- Local\MSCTF.Asm.MutexDefault1
- Global\CLR_CASOFF_MUTEX
マルウェアから接触があった IP?アドレス(必ずしも悪意があるとは限りません)
- 91[.]134[.]147[.]134
- 46[.]4[.]111[.]124
- 79[.]137[.]116[.]43
- 151[.]80[.]42[.]103
マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません)
- 該当なし
作成されたファイルやディレクトリ
- %ProgramFiles%\Hnc\HncUtils\Hmedia\AlbumMaker.exe
- %ProgramFiles%\Hnc\HncUtils\Hmedia\PictureStyler.exe
- %ProgramFiles%\Hnc\HncUtils\Update\HncCheck.exe
- %ProgramFiles%\Hnc\HncUtils\Update\HncUpdate.exe
- %SystemDrive%\x997y.exe
- %LocalAppData%\Microsoft\Windows\WER\ReportQueue\AppCrash_p606h.exe_4863d852a7d73cfde1714dd63e191d3b678536_650ba745
- %SystemDrive%\TEMP\x810y.exe
- %LocalAppData%\Temp\suqv362h.cmdline
- %LocalAppData%\Temp\suqv362h.err
- %LocalAppData%\Temp\suqv362h.out
- %LocalAppData%\Temp\suqv362h.tmp
- %LocalAppData%\Temp\suqv362h.cmdline
- %LocalAppData%\Temp\suqv362h.out
- %SystemDrive%\TEMP\x915y.exe
- %SystemDrive%\p155h.exe
- %SystemDrive%\x458y.exe
- %SystemDrive%\x578y.exe
ファイルのハッシュ値
- 06a416703a26e095bc95fec44dc4751c5791ab9e1c99018c95e9d09282e3d4b0
- 0b29c1eecbeada06924782aec009d8acf4a76893bd773a269b64a45fb3100ace
- 1470b0737d00fde7f9fed30d1a8b314715309fb71363e6eb06fa36a88c20061e
- 18c7f1d80af84c6b22941d0a0faf3ceb1b345254917573e217342041b3eabba3
- 1e33909178e6080fd417f24631710b3878814dfcaf447a71037c4a5e7461f3d4
- 1f993367b585974f87a7ab1d47979c64631e586ffcfc45a4abb641249ef3c2b6
- 2dc55ee6064851769cd403581967517abd947cc5895ae986e4ed0c4f88468cc6
- 2ea96a2c655d5f315b8dc22929924e7760ac083b92952f7c46d8b885060bede5
- 2ecaeaa9bc1fdd5f1f8ab0d9d775d6f606280f8a86f3c9944925a3ed39e5e26a
- 308b3c1dc4b2d19860c4dbe0ecb3bff55e2665c0121ebecf66cd5ae10d643cdb
- 4158285e5c3569543876349c0db59e5a8f341eed5e2795ce864d3943f04a0f6c
- 492e76881ff64ed066405ba7550bfe1f1d38a1e464af5e07bd3cb5f44277f2f5
- 50ee79ea155621b2bc0952e66aa451348ac393030ba11b521f55eefa5de85dd6
- 54396b08903dccb3cea7039b505912cadbf0ef36ddf025f7c3cbf3618b3fd1ca
- 5488a6601bac36620c48be50c3ee1c41831cac6f64aac8f7fbbfaeebe2e290e1
- 5687568d18019b9a391437e0d2fcb2a1e36eecb0ea8cc0d143d15389d0d63fd6
- 57e539645e32c6fe261abaa56e8dd56a9ca2ae147a2035a933bed10e1e97439a
- 58c46b39d71971b1ce3643264918d3292607841800656cfda6f6b0b89a682a85
- 5dab3d191197694361d12090ac15228ca26f5658412e7fa51f6afe8b2a28ff81
- 6047bc6f35d9bda3eedd9615cdd78f873a7318a0fca92733d4ade714ee264928
- 68edeb326a914ea915a293ada3dc5341923698889080a8a1be321f2229ba88ae
- 6a752d266112e05196a77043058317a5a0e53151613cf067521ff93f4b904818
- 788132452a60297f0b2736e4dd1ed7f10f69599eaba6ae93914b87eb858bb470
- 7a9a1476d383517377cbb03e480ea1880efb51eef39e70fb5dcd29b1ab859a8c
- 7c3f98328eebdafc2a245deb4eacdc79fc69f671da80168fce96a755a31b882b
カバレッジ
検出時のスクリーンショット
AMP
ThreatGrid
Doc.Malware.Valyria-6855449-0
侵害の兆候
レジストリ キー
- <HKLM>\System\CurrentControlSet\Services\Tcpip\Parameters
- <HKLM>\SOFTWARE\POLICIES\MICROSOFT\SYSTEMCERTIFICATES\CA\Certificates
- <HKLM>\SOFTWARE\POLICIES\MICROSOFT\SYSTEMCERTIFICATES\CA\CRLs
- <HKLM>\SOFTWARE\MICROSOFT\ENTERPRISECERTIFICATES\CA\Certificates
- <HKLM>\SOFTWARE\POLICIES\MICROSOFT\SYSTEMCERTIFICATES\ROOT\Certificates
ミューテックス
- Global\552FFA80-3393-423d-8671-7BA046BB5906
- Local\10MU_ACB10_S-1-5-5-0-57527
マルウェアから接触があった IP?アドレス(必ずしも悪意があるとは限りません)
- 112[.]78[.]117[.]186
- 185[.]165[.]123[.]206
- 203[.]143[.]82[.]157
- 136[.]243[.]80[.]123
- 201[.]148[.]107[.]187
マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません)
- syonenjump-fun[.]com
- tehranautomat[.]ir
- www[.]tfmakeup[.]com
- soportek[.]cl
- mebelove[.]ru
- tfmakeup[.]com
- tilda[.]cc
作成されたファイルやディレクトリ
- \ROUTER
- %UserProfile%\971.exe
- %SystemDrive%\~$8325604.doc
- %LocalAppData%\Temp\CVR9952.tmp
- \TEMP\~$8b14c4fe8c25557a0a8a9061cc9eda7c97bb0f89f8f4ae4f645d6c1d996d4e.doc
ファイルのハッシュ値
- 048e2a3852452f990da142fd74095f16dc2e419346567a988c69b3d8ee62014a
- 0ddd6eca67f679e7767d6b834afd489009bdfed0aa0fcde6cd3293f8ffe1a0bc
- 13f7dfeb4ca314f5a738c4667968551b31a3f11efa864c97cb36dc68932d636a
- 168308817df0b5f51a942117a0a736ecbbb5642648b480803d0fe70c5473983d
- 2e53f63e8ae62b54fa5cb3378ed0252f202c144dcab869e642b96605765c2651
- 59fb51c98a77c782fed98fd718b5292ae7c980b60069a733175a39513237cdfb
- 6c552b50dd293986580d928225c05220c4fdfc246a40efbe514cdd118ea19fe5
- 6f59607f97d7242934de29fedd6cd1ac0efd74c99e7ca212b68c042ffb8bf9c6
- 8dedf65f3f2d21cf53781e7837e779a15753bda1f0ace6cb3f23523c2bb97225
- 9638653f353c805aad3d99d7f76e91733ddc7982a517ef1260f401de16d970fc
- a8ecd3c1fcc6e41d4a24c4d8c39f1d7696a83ba28d148511e92c2fd13bfddbf6
- b8bf2e3308ef42d8649aa1b2a7f05e16ba8c04d42e495bb1223f5fc6d3d7b2a0
- c1982d4406ae41e126221026a549358fe967761e868e358a1b1e9e2c6a9f0113
- c6c1e7aa4fe9ae0b12caa5143b3d9c7b541d6d94bc9341c6a349de1a973c2713
- d358c4836374c3c6869b731c42249fad48aeaef089f7959cebb989be9a78b056
- de883059dc699081ae98bd4b295be8972f4a3bf5e699265a97a422a91d8acfbb
- e33244791d5d6972de721c5dbf114f8b2921cd5fc407a1f1b7e23119c0d07504
- e496c2b0549e81380e1be0df042c849989474071d1f3b3ec7513b40fa0e7e546
- e88b14c4fe8c25557a0a8a9061cc9eda7c97bb0f89f8f4ae4f645d6c1d996d4e
- f299cb65e5c336cb1a31b5cd73948d07dd68780e7329248bfc5d080d75b43070
- fa24a0c05815300726dd268426b28397471f067cdedcdb2f3258df75af169c28
- ff7898391c17d84e6acf87e8106c8947bb0924815e90809cd645aa1fb35d0b6a
カバレッジ
検出時のスクリーンショット
AMP
ThreatGrid
Umbrella
マルウェア
Win.Malware.Cgok-6854725-0
侵害の兆候
レジストリ キー
- <HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
- <HKLM>\System\CurrentControlSet\Services\Tcpip\Parameters
- <HKLM>\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP
- 値の名前:ProxyBypass
- <HKCU>\SOFTWARE\MICROSOFT\INTERNET EXPLORER\LOWREGISTRY
- 値の名前:AddToFavoritesInitialSelection
- <HKU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
ミューテックス
- Local\ZonesCacheCounterMutex
- Local\ZonesLockedCacheCounterMutex
- Local\MSCTF.Asm.MutexDefault1
- \BaseNamedObjects\Global\AmInst__Runing_1
- Global\AmInst__Runing_1
マルウェアから接触があった IP?アドレス(必ずしも悪意があるとは限りません)
- 該当なし
マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません)
- www[.]millesimalnonremuneration[.]site
作成されたファイルやディレクトリ
- \srvsvc
- %WinDir%\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- %LocalAppData%\Microsoft\Windows\WebCache\WebCacheV01.dat
- \lsass
- \ROUTER
ファイルのハッシュ値
- 00dab31016dd49471a3cb73d13eefcc8811ac389d26f06f383b905e6850c6abe
- 013689006fd96ed4ec46592ce46e9c5a6e0af74040519991d8d550127c11e353
- 0253ad922dcd84936c68d68d7524979ba468fc654344a772dbbe17c528037ec0
- 02bb34fc8bf07578357ad6d771cf91a0131e7e99dbe8298b64555e38e7e9a2cc
- 02d28b601b87806ed74a5bcb9fa04d6634f3b7f9949b4393aa4379649997dc88
- 02dd9c6fb756466cbd12e13d0a962b64670b49d1fc596e18fdbaded971b0b667
- 0372d2b10999c791b93b17c484ce4611f31fd833ca235276748d7ffe512601d5
- 0492856e08c5f50c72cda713d77ade79eefd4cd89f611de92c47b4fff249db17
- 04b6c948af264febc278760d73efafcb3fa814b659a7c811f8b2053e4e957966
- 0509780a1a8a14666ddd7592f4a787f2b5d4bfb599b838fa4e73676fdd234e70
- 05f245d3ef7f2e527949285fa93acd2d9e0ab7a6fb95e565798eb751d3358712
- 06ab46bc303dd3716be11e5066687c9500b7ca4bfeefc261a3bb168000835fd6
- 0732d16625b8f1b1a4b489cd123d1d8e1ce89cb61a71c8ef00bb1b37bd294f6e
- 078332f7ce5dd623750c9f7b7a148e04a3f499a2abd45e9c756c63ec4906ebaa
- 07cb4ed6fb479abb07137e49c090d623a3b21762496c98fb0885176d9702553a
- 07dfb8670514998cda1a27e5076d9b80febc39c201d9a85652e96ca39572b8c7
- 09be7b1275949afd71f1c26965bd079a61c7cefba97086fe3d423c7c669ca1df
- 0aeb055d03bbc6f637944e8a82de7a36e959e3ae1ef3c9b04217ea91a9966fd7
- 0b2eb1d35ee7076f18cfab589df2432afb4ad1af19590b15b09eb18e8e68abf2
- 0b38bc30f470e19ff3e973f5d8b0ca196e58c7cdb49ee1ccc1769ad8422cd356
- 0c45267be8dd1bee444bedce0f29f9c6f6537f9cc14f14eb3d189c6ab7df053a
- 0c72e02a1a7ad5f3140c57b9e6f3650afe09692d452fff294a4658a4e33573b0
- 0cd3b49efa9072f463402e1d5d887cf38a5d6ac1a26dacb508739c3b2e15c4d2
- 0ce65debee6f89d18a75d99d5ee271d8cf1fe948833c657d6dc64c85666aae0f
- 0d73b17699c07d1b2f04c8b3ec883138e1133ff9ff2f0b13dddfe04ae6e52e0b
カバレッジ
検出時のスクリーンショット
AMP
ThreatGrid
Win.Malware.Noon-6854584-0
侵害の兆候
レジストリ キー
- <HKCU>\SOFTWARE\Microsoft\Office\16.0\Outlook\Profiles\Outlook\
- <HKLM>\SOFTWARE\Wow6432Node\Mozilla\Mozilla Firefox\
- <HKLM>\SOFTWARE\Wow6432Node\Mozilla\Mozilla Thunderbird\
- <HKLM>\System\CurrentControlSet\Services\Tcpip\Parameters
- <HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion
- <HKCU>\SOFTWARE\Microsoft\Internet Explorer\IntelliForms\Storage2
- <HKU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
- <HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ミューテックス
- 8-3503835SZBFHHZ
- 30NAO081CA46913z
マルウェアから接触があった IP?アドレス(必ずしも悪意があるとは限りません)
- 198[.]187[.]30[.]49
- 69[.]172[.]201[.]218
- 81[.]19[.]145[.]88
- 94[.]46[.]164[.]14
- 98[.]124[.]199[.]103
マルウェアから接触があったドメイン名(必ずしも悪意があるとは限りません)
- www[.]klomaxbv[.]com
- www[.]chamberoffortune[.]com
- www[.]holdf[.]com
- www[.]giantbuffalo[.]win
- www[.]quantiz[.]tech
- www[.]ciercglabslush[.]win
- www[.]wcqr[.]info
- www[.]asfloorsolutions[.]com
- www[.]i-executive[.]com
- www[.]saintjohnmarketplace[.]com
- www[.]saintjohnonline[.]com
作成されたファイルやディレクトリ
- %WinDir%\win.ini
- %SystemDrive%\Documents and Settings\All Users\Struggleres.exe
- %AllUsersProfile%\Struggleres.exe
- %AppData%\30NAO081
- %ProgramFiles% (x86)\Pkz7dkzi
- %ProgramFiles% (x86)\Pkz7dkzi\Cookiesnrqhbx0.exe
- %LocalAppData%\Temp\Pkz7dkzi\Cookiesnrqhbx0.exe
ファイルのハッシュ値
- 0943a587d42f975d917bc60f8f005b792bd48eabe54536c61eaef36ee584dcc0
- 162872c960b6e48b45ea369bfa3d258eee4f479b4b498e5255fbb4c9c269a267
- 371a044bdd6f70866e13bf6390da862b5e50a763237d9f2fbb24819a3d861ac5
- 40094d7e1dad49a198122dcbaa478f6ad209195afa1376ad5977e374c798fbb2
- 4a412b49a26f49678d097725e5ce59da94264662241ed0b7945cce02f366c033
- 734e94e32e2c0418e3216ec25e2065433caf355674867a5d55919079a6ec5938
- 760a0c53b23f3d82ff54acb3c49b1fbe2d33d486ad7a8056be3cb7a495391758
- 8acfe115a997dc4cb24fcab62c80eef8fd3580c0aa1bb2308e6326069311d0ff
- 94969ce153aa5109f92842d9cfd6ff038623bb64b657a60ae0f8499fca60f7b5
- 94f746c852afb96875a8099e62d57ab1f8eaddfa440a77f2f76c2123c887ea2a
- a688df4d7ef86c28c5789a1572e7b9cf9f7175fc1432fdf87f168ba7dc9f11fb
- b91b055bacdcaa77c6865ad46679fe9735a6eac0e052419705cd3c9323bf7dac
- c2f2c6ed54f470b887836f0a9cc42faed42503618747b5d843f4b9db448cbcfb
- dbb6046d50ea2889e178e37ec7fb49c247fd2ba48c699562eac6be8acf7ac4d2
- dd2df86722edddf0d95c827fa56a737913cacde56c0d417cd706ee58b99ddb37
- ff4d8ff268c02c8c48808a51aad0cc528fbc23aec709823347cbd03cd74cf80a
カバレッジ
検出時のスクリーンショット
AMP
本稿は 2019年2月15日に Talos Group のブログに投稿された「Threat Roundup for Feb. 8 to Feb. 15」の抄訳です。