Threat Database Trojans Trojan.Glupteba

Trojan.Glupteba

脅威スコアカード

ランキング: 12,155
脅威レベル: 80 % (高い)
感染したコンピューター: 14,038
最初に見た: March 5, 2014
最後に見たのは: August 29, 2023
影響を受けるOS: Windows

Gluptebaトロイの木馬は、マルウェア研究者にしばらくの間知られている脅威です。以前のキャンペーンでは、Gluptebaトロイの木馬の主な目的は、可能な限り多くのデバイスに感染し、それらを使用してボットネットを構築することであるように見えました。通常、ボットネットは、暗号マイニング操作、DDoS(Distributed-Denial-of-Service)攻撃に使用され、オンラインで他の怪しげなアクターにサービスとして貸し出されます。しかし、Gluptebaトロイの木馬は最近復活し、その活動は急上昇しているようです。 Gluptebaマルウェアは、トロイの木馬ドロッパーの形で戻ってきました。これは、ホストに仕掛けられる脅威を増やすためのゲートウェイとして機能するだけでなく、オペレーターが感染したマシンをほぼ完全に制御できるようにすることもできます。


今週のマルウェアEp13:Glupteba CryptojackingMalwareが止められなくなる

伝播方法

最新のGluptebaバリアントは、世界の複数の地域のユーザーに到達する可能性が高いマルバタイジングキャンペーンを介して伝播されます。さらに、Glupteba Trojanのペイロードには、追加のマルウェア(情報コレクター、およびMikroTikルーターの脆弱性を標的とする武器化されたエクスプロイト)を配信することを目的とした、非常に難読化されたドロッパーが含まれています。

ドロッパーモジュール

Gluptebaトロイの木馬には、MikroTikルーターのエクスプロイトと情報スティーラーを配信するために使用されるドロッパーモジュールがあります。 Gluptebaトロイの木馬ドロッパーモジュールはGoogleのGoプログラミング言語で記述されており、サンドボックス環境で実行されているのか、通常のシステムで実行されているのかを検出する機能があります。そのコードは非常に難読化されているため、マルウェア対策ツールがそのアクティビティを検出することはほぼ不可能です。 Gluptebaドロッパーモジュールは、WindowsファイアウォールとWindows Defenderを確実に改ざんするため、セキュリティ対策を回避することができます。

バックドアモジュール

Glupteba Trojanのバックドアモジュールには、さまざまな機能が搭載されています。このバックドアモジュールは次のことができます。

  • Monero暗号通貨マイナーモジュールを実行します。
  • ファイルをダウンロードします。
  • ファイルを実行します。
  • ファイルを収集します。
  • レジストリを変更します。
  • サーバーを更新します。
  • プロセスを一覧表示します。

インフォスティーラーモジュール

Glupteba Dropperの情報スティーラーモジュールは、Google Chrome、Yandex Web、OperaなどのWebブラウザから保存されたログインクレデンシャルを収集できます。さらに、このモジュールは、ユーザープロファイル、Cookie、閲覧履歴など、攻撃者のC&C(コマンド&コントロール)サーバーに他の機密データを吸い上げることもできます。

Gluptebaマルウェアなどの厄介な脅威からシステムを安全に保つために、正規のウイルス対策ソフトウェアスイートをダウンロードしてインストールすることが基本です。

SpyHunterはTrojan.Gluptebaを検出して削除します

ファイルシステムの詳細

Trojan.Glupteba は、次のファイルを作成する可能性があります。
# ファイル名 MD5 検出
1. gupdate.exe 968418dd7dfbcb3e81df410eaa764250 301
2. gupdate.exe da6cb55cec0c8b4eb9af11592d623331 191
3. gupdate.exe e3ae6a9a5396fc4ae776555315488fa6 184
4. gupdate.exe 7a050b9f6e6ef8d30cb402d6cc5272af 150
5. gupdate.exe ac9aa0fd18079eceab0a7184db363930 130
6. gupdate.exe d7eb3d895dcb321d48340c5e9c46334a 123
7. produpd.exe 7d703a41c2e2f7f61f3c0322160a811b 101
8. gupdate.exe ef76863f8579cb0a1acae0c4db77412b 97
9. gupdate.exe 5a2fe0cc2700033c70cd536d065f9191 97
10. monhost.exe 7f189af6207783b8217f24f77d322421 89
11. daemonupd.exe ec58d901b742c3dd6814af8a7651f175 78
12. gupdate.exe 9e7ac2841bb5f04da16b4af8dbdcdabf 75
13. gupdate.exe 9b3d13af2e1da6541ef94dc9667e40f3 73
14. gupdate.exe badc0bbb417726f78cb529719d4ef520 71
15. monhost.exe 34e8a05a5e5f2006ee8b143528cd1634 60
16. produpd.exe 03ddbb4b260f4a2da1fa96fe918281d8 46
17. produpd.exe 9fd43a49ced631b92cea22a54b58a60d 46
18. gupdate.exe 7211e078b09a505d667072be52394f80 42
19. monhost.exe 59d1969f55d9de345da8f2ea44376f1f 42
20. produpd.exe 875df1249b09c2dc997706dbfab2f61e 24
21. SGRP.exe be0b2ec3e79cc48040794712e3107b13 23
22. monhost.exe 8643a061cef199119a4612384b03987c 20
23. produpd.exe 298ec53d7b8016223e63fce73afe1d48 19
24. ProductUpdater.exe 64fec85722a86744dbbc50e337d633a1 16
25. ProductUpdater.exe b0d63cecb620da431d521ac00f82b548 12
26. gupdate.exe be98fa9ebd86245039aa42ccb589db5e 6
その他のファイル

レジストリの詳細

Trojan.Glupteba は、次のレジストリ エントリまたはレジストリ エントリを作成する可能性があります。
Regexp file mask
%APPDATA%\VDI\Shared\Product Updater\monhost.exe
%APPDATA%\VDI\Shared\Product Updater\produpd.exe
%LOCALAPPDATA%\NVIDIA Corporation\Updates\NvdUpd.exe
%PROGRAMFILES%\Microsoft\installer\SGRP.exe
%PROGRAMFILES%\xtex\gupdate\gupdate.exe
%PROGRAMFILES(x86)%\Company\gupdate\gupdate.exe
Software\VDI\Shared\Product Updater

トレンド

最も見られました

読み込んでいます...