TSPY_BEBLOH.CS

スパイウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。 スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェアは、ワーム活動の機能を備えていません。

スパイウェアは、バックドア活動の機能を備えていません。

スパイウェアは、Internet Explorer（IE）のゾーン設定を変更します。

スパイウェアは、ダウンロードしたファイルを実行します。

スパイウェアは、特定のWebサイトにアクセスし、情報を送受信します。

侵入方法

スパイウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %Application Data%\{random string}.exe
  (Note: Creation of this copy is triggered when the affected system is shutting down)

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.)

スパイウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• Global\Uz{hex values}

スパイウェアは、以下のプロセスにコードを組み込みます。

• explorer.exe

自動実行方法

スパイウェアは、作成されたコンポーネントがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random string} = "%Application Data%\{random string}.lnk”
(Note: Creation of this registry entry is triggered when the affected system is shutting down)

他のシステム変更

スパイウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\{random key}

スパイウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\{random key}
{random value} = "{hex values}"

HKEY_CURRENT_USER\Software\{random key}
(Default) = "{hex values}"

感染活動

スパイウェアは、ワーム活動の機能を備えていません。

バックドア活動

スパイウェアは、バックドア活動の機能を備えていません。

Webブラウザのホームページおよび検索ページの変更

スパイウェアは、IEのゾーン設定を変更します。

作成活動

スパイウェアは、以下のファイルを作成します。

• %Application Data%\{random string}.lnk <- points to the copy
  (Note: Creation of this file is triggered when the affected system is shutting down, appends parameter "-autorun" to executed copy)

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.)

ダウンロード活動

スパイウェアは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。

• http://{BLOCKED}ischoedl.de/html/specials.exe

スパイウェアは、以下のファイル名でダウンロードしたファイルを保存します。

• %User Temp%\specials.exe

(註：%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。.)

トレンドマイクロの製品では、ダウンロードしたファイルを以下として検出します。

• TSPY_URSNIF.CS

スパイウェアは、ダウンロードしたファイルを実行します。

情報収集

スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

• https://{BLOCKED}c1.com/auth/?tver={value}&vcmd={value}&cc={value}&hh={Hex Value}&ipcnf={Ip address}+&sckport={value}&pros={value}&prgid={value}&keret={value};&email=

その他

スパイウェアは、以下のWebサイトにアクセスしてインターネット接続を確認します。

• www.google.com

スパイウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• {Random Generated Domain}.com
• {Random Generated Domain}.net
• https://{BLOCKED}c1.com/auth/

スパイウェアは、感染したコンピュータ内に以下の自身のコピーを作成します。

• %Application Data%\{random string}.exe
  （註:このコピーは、感染したコンピュータがシャットダウンされる際に作成されます。）

スパイウェアが作成する以下のファイルは、自身のコピーに誘導するショートカットファイルです。

スパイウェア は、以下の動作を実行します。

• 自身の更新
• スパイウェアは、自身がVMWareによる仮想環境下で実行されていることを確認した場合、不正活動を続行しません。
• スパイウェアは、Google Chrome および Mozilla Firefoxのキャッシュが保存されたファイルを削除します。
• スパイウェアは、以下のファイルを監視し、ユーザ名やパスワードなどの個人情報を窃取します。
  • iexplore.exe
  • explorer.exe
  • myie.exe
  • firefox.exe
  • ftpte.exe
  • coreftp.exe
  • filezilla.exe
  • TOTALCMD.EXE
  • cftp.exe
  • FTPVoyager.exe
  • SmartFTP.exe
  • WinSCP.exe
  • chrome.exe
  • opera.exe
  • chrome.dll
  • thebat.exe
  • msimn.exe
  • nsp4.dll
  • nss3.dll
  • Outlook.exe
• スパイウェアはC&Cサーバから受信した環境設定ファイルの内容に基づいて銀行および金融機関のWebサイトを監視します 。

スパイウェアは、以下の情報を収集し、自身のサーバに報告します。

• Windowsアドレス帳ファイル（拡張子WAB）内のEメールアドレス
• ユーザの認証情報(FTP、ブラウザ、 Eメール)
• コンピュータ名
• オペレーティング・システム(OS)の情報(バージョン、製品ID, 製品名, インストール日)
• Internet Explorer（IE）のファイルバージョン
• ボリュームシリアル番号
• ネットワーク環境(IPアドレス、ソケット、ポート)
• キーボードの配置

スパイウェアは、ルートキット機能を備えていません。

スパイウェアは、脆弱性を利用した感染活動を行いません。