TSPY_BEBLOH

2013年8月14日

別名:

Bebloh, Bublik

プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ:
スパイウェア
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい

詳細

メモリ常駐はい

ペイロードシステム情報の収集, 情報収集

インストール

スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

%System%\{random file name}.exe

(註：%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
userinit.exe
Debugger = "%System%\{random file name}.exe"

他のシステム変更

スパイウェアは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\
5.0\203E7401

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
userinit.exe

スパイウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\
5.0\203E7401
Default = "{XOR encrypted configuration file URLs}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\
5.0\203E7401
BC59 = "0"

スパイウェアは、以下のレジストリ値を変更します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\3
1609 = "0"

(註：変更前の上記レジストリ値は、「1」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\
Cache\Paths
Directory = "%System%\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5"

(註：変更前の上記レジストリ値は、「%Temporary Internet Files%\Content.IE5」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\
Cache\Paths\path1
CachePath = "%System%\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\Cache1"

(註：変更前の上記レジストリ値は、「%Temporary Internet Files%\Content.IE5\Cache1」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\
Cache\Paths\path2
CachePath = "%System%\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\Cache2"

(註：変更前の上記レジストリ値は、「%Temporary Internet Files%\Content.IE5\Cache2」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\
Cache\Paths\path3
CachePath = "%System%\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\Cache3"

(註：変更前の上記レジストリ値は、「%Temporary Internet Files%\Content.IE5\Cache3」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\
Cache\Paths\path4
CachePath = "%System%\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\Cache4"

(註：変更前の上記レジストリ値は、「%Temporary Internet Files%\Content.IE5\Cache4」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Hardware Profiles\0001\Software\
Microsoft\windows\CurrentVersion\
Internet Settings
ProxyEnable = "0"

(註：変更前の上記レジストリ値は、「1」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Hardware Profiles\Current\Software\
Microsoft\windows\CurrentVersion\
Internet Settings
ProxyEnable = "0"

(註：変更前の上記レジストリ値は、「1」となります。)

HKEY_CURRENT_CONFIG\Software\Microsoft\
windows\CurrentVersion\Internet Settings
ProxyEnable = "0"

(註：変更前の上記レジストリ値は、「1」となります。)

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Explorer\Shell Folders
Cookies = "%System%\config\systemprofile\Cookies"

(註：変更前の上記レジストリ値は、「%System Root%\Documents and Settings\NetworkService\Cookies」となります。)

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Explorer\Shell Folders
Cache = "%System%\config\systemprofile\Local Settings\Temporary Internet Files"

(註：変更前の上記レジストリ値は、「%System Root%\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files」となります。)

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Explorer\Shell Folders
History = "%System%\config\systemprofile\Local Settings\History"

(註：変更前の上記レジストリ値は、「%System Root%\Documents and Settings\NetworkService\Local Settings\History」となります。)

情報漏えい

スパイウェアは、以下の情報を収集します。

IP address
OS version
Socks port
UAC configuration
Hardware ID
Email addresses in WAB

その他

スパイウェアは、以下のWebサイトにアクセスしてインターネット接続を確認します。

www.google.com

スパイウェアは、以下の不正なWebサイトにアクセスします。

http://{BLOCKED}.{BLOCKED}.125.134/smp/inx.php
http://{BLOCKED}.{BLOCKED}.127.227
http://{BLOCKED}i.net
http://{BLOCKED}bet.{BLOCKED}c.com/f/t.php
http://{BLOCKED}nvrein.{BLOCKED}s.net/f/t.php
http://{BLOCKED}c.com
http://{BLOCKED}x.com
http://{BLOCKED}eun.{BLOCKED}ame.com
http://{BLOCKED}m.net
http://{BLOCKED}.net
http://{BLOCKED}uhegy.{BLOCKED}3.com/f/t.php
http://{BLOCKED}rew.net
http://{BLOCKED}.net
http://{BLOCKED}ubihegs.{BLOCKED}ame.com
http://{BLOCKED}t.com
http://{BLOCKED}r.net

TSPY_BEBLOH

詳細

関連ブログ記事

関連マルウェア

リソース

サポート

会社概要

東京本社

TSPY_BEBLOH

詳細

関連ブログ記事

関連マルウェア

リソース

サポート

会社概要

東京本社

The Americas

Asia Pacific

Europe, Middle East & Africa