更新者 : Jay Garcia

 別名:

Spyware.BEverywhere (Norton); HEUR:Trojan.Win32.Generic (Kaspersky)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    スパイウェア

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 2,831,034 bytes
タイプ EXE
メモリ常駐 はい
発見日 2019年7月27日

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、以下のプロセスを追加します。

  • "%System%\Wsa32\Beconfig.exe"

(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

スパイウェアは、以下のフォルダを作成します。

  • %Start Menu%\Programs\Boss Everyware 2
  • %System%\Wsa32

(註:%Start Menu%フォルダは、現在ログオンしているユーザのスタートメニューフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Windows\Start Menu" または "C:\Documents and Settings\<ユーザ名>\Start Menu" です。また、Windows Vista、7、8、8.1、2008(64-bit)、012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu" です。. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
SysWsa32 = "%System%\WSA32.EXE"

他のシステム変更

スパイウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Jmerik

HKEY_CURRENT_USER\Software\Jmerik\
BossEveryware

HKEY_LOCAL_MACHINE\Software\Jmerik

HKEY_LOCAL_MACHINE\Software\Jmerik\
BossEveryware

HKEY_CURRENT_USER\Software\Jmerik\
BossEveryware\2.1

HKEY_CLASSES_ROOT\.ber

HKEY_CLASSES_ROOT\BER\Shell

HKEY_CLASSES_ROOT\BER\Shell\
Open

HKEY_CLASSES_ROOT\BER\Shell\
Open\Command

HKEY_CLASSES_ROOT\BER\DefaultIcon

HKEY_CLASSES_ROOT\.dsv

HKEY_CLASSES_ROOT\DSV\Shell

HKEY_CLASSES_ROOT\DSV\Shell\
Open

HKEY_CLASSES_ROOT\DSV\Shell\
Open\Command

HKEY_CLASSES_ROOT\DSV\DefaultIcon

HKEY_CLASSES_ROOT\.elt

HKEY_CLASSES_ROOT\ELT\Shell

HKEY_CLASSES_ROOT\ELT\Shell\
Open

HKEY_CLASSES_ROOT\ELT\Shell\
Open\Command

HKEY_CLASSES_ROOT\ELT\DefaultIcon

HKEY_CLASSES_ROOT\DBF\Shell

HKEY_CLASSES_ROOT\DBF\Shell\
Open

HKEY_CLASSES_ROOT\DBF\Shell\
Open\Command

HKEY_CLASSES_ROOT\DBF\DefaultIcon

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\App Paths\
WSA32.EXE

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\App Paths\
bewrep.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\App Paths\
beconfig.exe

HKEY_LOCAL_MACHINE\Software\Jmerik\
BossEveryware\2.1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Boss Everyware 2.8_is1

HKEY_LOCAL_MACHINE\Software\Jmerik\
BossEveryware\2.1\LR

スパイウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.ber
(Default) = "BER"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
BER\Shell\Open\
Command
(Default) = "%System%\Wsa32\BEWREP.EXE %1"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
BER\DefaultIcon
(Default) = "%System%\Wsa32\BEWREP.EXE,0"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
BER
(Default) = "Boss Everyware Report"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.dsv
(Default) = "DSV"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
DSV\Shell\Open\
Command
(Default) = "%System%\Wsa32\BEWREP.EXE %1"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
DSV\DefaultIcon
(Default) = "%System%\Wsa32\BEWREP.EXE,1"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
DSV
(Default) = "DSV file"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.elt
(Default) = "ELT"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
ELT\Shell\Open\
Command
(Default) = "%System%\Wsa32\BEWREP.EXE %1"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
ELT\DefaultIcon
(Default) = "%System%\Wsa32\BEWREP.EXE,1"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
ELT
(Default) = "ELT file"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
DBF\Shell\Open\
Command
(Default) = "%System%\Wsa32\BEWREP.EXE %1"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
DBF\DefaultIcon
(Default) = "%System%\Wsa32\BEWREP.EXE,1"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
DBF
(Default) = "DBF (dBase) file"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\App Paths\
WSA32.EXE
(Default) = "%System%\WSA32.EXE"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\App Paths\
bewrep.exe
(Default) = "%System%\Wsa32\BEWREP.EXE"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\App Paths\
beconfig.exe
(Default) = "%System%\Wsa32\BECONFIG.EXE"

HKEY_LOCAL_MACHINE\SOFTWARE\Jmerik\
BossEveryware\2.1
IT = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Boss Everyware 2.8_is1
Inno Setup: Setup Version = "3.0.6"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Boss Everyware 2.8_is1
Inno Setup: App Path = "%System%\Wsa32"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Boss Everyware 2.8_is1
Inno Setup: Icon Group = "Boss Everyware 2"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Boss Everyware 2.8_is1
Inno Setup: User = "{username}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Boss Everyware 2.8_is1
DisplayName = "Boss Everyware 2.8"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Boss Everyware 2.8_is1
DisplayIcon = "%System%\Wsa32\BEWREP.EXE"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Boss Everyware 2.8_is1
UninstallString = "%System%\Wsa32\unins000.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Boss Everyware 2.8_is1
DisplayVersion = "2.8"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Boss Everyware 2.8_is1
Publisher = "Alexander Jmerik"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Boss Everyware 2.8_is1
URLInfoAbout = "http://www.{BLOCKED}eryware.com"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Boss Everyware 2.8_is1
HelpLink = "http://www.{BLOCKED}eryware.com/support.html"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Boss Everyware 2.8_is1
URLUpdateInfo = "http://www.{BLOCKED}eryware.com/download.html"

作成活動

スパイウェアは、以下のファイルを作成します。

  • %Start Menu%\Programs\Boss Everyware 2\Report Manager.lnk
  • %System%\Wsa32\BECONFIG.EXE
  • %All Users Profile%\BEHIVE.DAT
  • %System%\Wsa32\BEWREP.EXE
  • %System%\Wsa32\RMBEW.EXE
  • %System%\Wsa32\is-EHEHK.tmp
  • %System%\Wsa32\LICENSE.TXT
  • %Start Menu%\Programs\Boss Everyware 2\Hide Boss Everyware.lnk
  • %Start Menu%\Programs\Boss Everyware 2\Logger Configurator.lnk
  • %System%\WSA32.DLL
  • %System%\Wsa32\unins000.exe
  • %System%\BEWLDR32.EXE
  • %System%\WSA32.EXE
  • %System%\Wsa32\PCSETUP.32
  • %System%\Wsa32\BE2.CHM
  • %System%\Wsa32\unins000.dat
  • %System%\Wsa32\README.TXT
  • %Start Menu%\Programs\Boss Everyware 2\Boss Everyware Help.lnk

(註:%Start Menu%フォルダは、現在ログオンしているユーザのスタートメニューフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Windows\Start Menu" または "C:\Documents and Settings\<ユーザ名>\Start Menu" です。また、Windows Vista、7、8、8.1、2008(64-bit)、012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu" です。. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %All Users Profile%フォルダは、ユーザの共通プロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\All Users” です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData” です。)

  対応方法

対応検索エンジン: 9.850

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 3

自身のアンインストールオプションを使用し、「Spyware.Win32.BossEveryware.A」を削除します。

[ 詳細 ]
マルウェアのプロセスの削除

手順 4

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「Spyware.Win32.BossEveryware.A」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください