Spyware.Win32.BossEveryware.A
Spyware.BEverywhere (Norton); HEUR:Trojan.Win32.Generic (Kaspersky)
Windows
マルウェアタイプ:
スパイウェア
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
スパイウェアは、以下のプロセスを追加します。
- "%System%\Wsa32\Beconfig.exe"
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)
スパイウェアは、以下のフォルダを作成します。
- %Start Menu%\Programs\Boss Everyware 2
- %System%\Wsa32
(註:%Start Menu%フォルダは、現在ログオンしているユーザのスタートメニューフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Windows\Start Menu" または "C:\Documents and Settings\<ユーザ名>\Start Menu" です。また、Windows Vista、7、8、8.1、2008(64-bit)、012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu" です。. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)
自動実行方法
スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
SysWsa32 = "%System%\WSA32.EXE"
他のシステム変更
スパイウェアは、以下のレジストリキーを追加します。
HKEY_CURRENT_USER\Software\Jmerik
HKEY_CURRENT_USER\Software\Jmerik\
BossEveryware
HKEY_LOCAL_MACHINE\Software\Jmerik
HKEY_LOCAL_MACHINE\Software\Jmerik\
BossEveryware
HKEY_CURRENT_USER\Software\Jmerik\
BossEveryware\2.1
HKEY_CLASSES_ROOT\.ber
HKEY_CLASSES_ROOT\BER\Shell
HKEY_CLASSES_ROOT\BER\Shell\
Open
HKEY_CLASSES_ROOT\BER\Shell\
Open\Command
HKEY_CLASSES_ROOT\BER\DefaultIcon
HKEY_CLASSES_ROOT\.dsv
HKEY_CLASSES_ROOT\DSV\Shell
HKEY_CLASSES_ROOT\DSV\Shell\
Open
HKEY_CLASSES_ROOT\DSV\Shell\
Open\Command
HKEY_CLASSES_ROOT\DSV\DefaultIcon
HKEY_CLASSES_ROOT\.elt
HKEY_CLASSES_ROOT\ELT\Shell
HKEY_CLASSES_ROOT\ELT\Shell\
Open
HKEY_CLASSES_ROOT\ELT\Shell\
Open\Command
HKEY_CLASSES_ROOT\ELT\DefaultIcon
HKEY_CLASSES_ROOT\DBF\Shell
HKEY_CLASSES_ROOT\DBF\Shell\
Open
HKEY_CLASSES_ROOT\DBF\Shell\
Open\Command
HKEY_CLASSES_ROOT\DBF\DefaultIcon
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\App Paths\
WSA32.EXE
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\App Paths\
bewrep.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\App Paths\
beconfig.exe
HKEY_LOCAL_MACHINE\Software\Jmerik\
BossEveryware\2.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Boss Everyware 2.8_is1
HKEY_LOCAL_MACHINE\Software\Jmerik\
BossEveryware\2.1\LR
スパイウェアは、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.ber
(Default) = "BER"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
BER\Shell\Open\
Command
(Default) = "%System%\Wsa32\BEWREP.EXE %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
BER\DefaultIcon
(Default) = "%System%\Wsa32\BEWREP.EXE,0"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
BER
(Default) = "Boss Everyware Report"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.dsv
(Default) = "DSV"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
DSV\Shell\Open\
Command
(Default) = "%System%\Wsa32\BEWREP.EXE %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
DSV\DefaultIcon
(Default) = "%System%\Wsa32\BEWREP.EXE,1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
DSV
(Default) = "DSV file"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.elt
(Default) = "ELT"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
ELT\Shell\Open\
Command
(Default) = "%System%\Wsa32\BEWREP.EXE %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
ELT\DefaultIcon
(Default) = "%System%\Wsa32\BEWREP.EXE,1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
ELT
(Default) = "ELT file"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
DBF\Shell\Open\
Command
(Default) = "%System%\Wsa32\BEWREP.EXE %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
DBF\DefaultIcon
(Default) = "%System%\Wsa32\BEWREP.EXE,1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
DBF
(Default) = "DBF (dBase) file"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\App Paths\
WSA32.EXE
(Default) = "%System%\WSA32.EXE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\App Paths\
bewrep.exe
(Default) = "%System%\Wsa32\BEWREP.EXE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\App Paths\
beconfig.exe
(Default) = "%System%\Wsa32\BECONFIG.EXE"
HKEY_LOCAL_MACHINE\SOFTWARE\Jmerik\
BossEveryware\2.1
IT = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Boss Everyware 2.8_is1
Inno Setup: Setup Version = "3.0.6"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Boss Everyware 2.8_is1
Inno Setup: App Path = "%System%\Wsa32"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Boss Everyware 2.8_is1
Inno Setup: Icon Group = "Boss Everyware 2"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Boss Everyware 2.8_is1
Inno Setup: User = "{username}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Boss Everyware 2.8_is1
DisplayName = "Boss Everyware 2.8"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Boss Everyware 2.8_is1
DisplayIcon = "%System%\Wsa32\BEWREP.EXE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Boss Everyware 2.8_is1
UninstallString = "%System%\Wsa32\unins000.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Boss Everyware 2.8_is1
DisplayVersion = "2.8"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Boss Everyware 2.8_is1
Publisher = "Alexander Jmerik"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Boss Everyware 2.8_is1
URLInfoAbout = "http://www.{BLOCKED}eryware.com"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Boss Everyware 2.8_is1
HelpLink = "http://www.{BLOCKED}eryware.com/support.html"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
Boss Everyware 2.8_is1
URLUpdateInfo = "http://www.{BLOCKED}eryware.com/download.html"
作成活動
スパイウェアは、以下のファイルを作成します。
- %Start Menu%\Programs\Boss Everyware 2\Report Manager.lnk
- %System%\Wsa32\BECONFIG.EXE
- %All Users Profile%\BEHIVE.DAT
- %System%\Wsa32\BEWREP.EXE
- %System%\Wsa32\RMBEW.EXE
- %System%\Wsa32\is-EHEHK.tmp
- %System%\Wsa32\LICENSE.TXT
- %Start Menu%\Programs\Boss Everyware 2\Hide Boss Everyware.lnk
- %Start Menu%\Programs\Boss Everyware 2\Logger Configurator.lnk
- %System%\WSA32.DLL
- %System%\Wsa32\unins000.exe
- %System%\BEWLDR32.EXE
- %System%\WSA32.EXE
- %System%\Wsa32\PCSETUP.32
- %System%\Wsa32\BE2.CHM
- %System%\Wsa32\unins000.dat
- %System%\Wsa32\README.TXT
- %Start Menu%\Programs\Boss Everyware 2\Boss Everyware Help.lnk
(註:%Start Menu%フォルダは、現在ログオンしているユーザのスタートメニューフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Windows\Start Menu" または "C:\Documents and Settings\<ユーザ名>\Start Menu" です。また、Windows Vista、7、8、8.1、2008(64-bit)、012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu" です。. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %All Users Profile%フォルダは、ユーザの共通プロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\All Users” です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\ProgramData” です。)
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
Windowsをセーフモードで再起動します。
手順 3
自身のアンインストールオプションを使用し、「Spyware.Win32.BossEveryware.A」を削除します。
手順 4
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「Spyware.Win32.BossEveryware.A」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください