TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

CCleaner Malware

【タイムライン】

2017/08/15 Ver5.33 リリース (マルウェアを含む)
汚染されたバージョンが公開されていた期間
2017/09/12 Ver5.34 リリース (改善版)
2017/09/13 Talos が問題を発見


【概要】

  • CC_InfectionBase(0x0040102C)への呼び出しで__scrt_get_dyn_tls_init_callbackで正規のCCleaner v5.33インストーラを中断します
  • 2段階の悪質なペイロードを復号化する
  • PIC(位置独立コード)PEローダー
  • マルウェアペイロードとして機能するDLL
  • 実行可能ファイルのヒープを作成し、復号化されたデータをコピーする(マルウェア)
  • ヒープ上でPEローダーを呼び出す
  • PEローダーとDLLの初期メモリコピーを消去し、割り当てられたメモリを解放し、ヒープを破壊します。
  • 正規のインストールを続行します

- 現在のユーザーの管理権限に対する実行権限を確認して、実行を継続します。

  • システムをプロファイルし、後でCnCを送信するためにシステム情報を収集します。
  • 収集したデータを暗号化する
  • HTTPS POST経由でCnC接続を確立します
  • CnC応答からのEncryptedInstallIDを検証します。
  • POST中に送信された値と一致すると、CnCペイロードを復号化します。


【公開情報】

◆CCleaner Malware (IBM X-force, 2017/09/19)
https://exchange.xforce.ibmcloud.com/collection/CCleaner-Malware-b76e23a6710956bd0782d55976e748ae




【インディケータ情報】

■ハッシュ情報(MD5)

MD5 追加日
75735db7291a19329190757437bdb847 2017/09/19
2d29b4a7ca69060f23d3b63331fcc042 2017/09/19

出典: https://exchange.xforce.ibmcloud.com/collection/CCleaner-Malware-b76e23a6710956bd0782d55976e748ae


■ハッシュ情報(Sha256)

Sha256 追加日
1a4a5123d7b2c534cb3e3168f7032cf9ebf38b9a2a97226d0fdb7933cf6030ff 2017/09/19
6f7840c77f99049d788155c1351e1560b62b8ad18ad0e9adda8218b9f432f0a9 2017/09/19
36b36ee9515e0a60629d2c722b006b33e543dce1c8c2611053e0651a0bfdb2e9 2017/09/19

出典: https://exchange.xforce.ibmcloud.com/collection/CCleaner-Malware-b76e23a6710956bd0782d55976e748ae



■URL

URL 追加日
ab3d685a0c37.com 2017/09/20
ab1145b758c30.com 2017/09/20
ab6d54340c1a.com 2017/09/20
ab890e964c34.com 2017/09/20
ab70a139cc3a.com 2017/09/20
ab1abad1d0c2a.com 2017/09/20
ab8cee60c2d.com 2017/09/20
ab2da3d400c20.com 2017/09/20
ab1c403220c27.com 2017/09/20
aba9a949bc1d.com 2017/09/20
ab3520430c23.com 2017/09/20

出典: https://exchange.xforce.ibmcloud.com/collection/CCleaner-Malware-b76e23a6710956bd0782d55976e748ae



■IP

IPアドレス 追加日
216.126.225.148 2017/09/20

出典: https://exchange.xforce.ibmcloud.com/collection/CCleaner-Malware-b76e23a6710956bd0782d55976e748ae



Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2020