解析者: Oscar Celestino Angelo Abendan ll   
 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 感染確認数:
 システムへの影響:
 情報漏えい:

  • マルウェアタイプ:
    スパイウェア

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

これは、複数の「TSPY_DERUSBI」の亜種を解析した結果に基づいた説明です。ファイル名およびレジストリ値といった具体的な情報は、亜種によって異なります。

スパイウェアは、他のマルウェアに作成され、コンピュータに侵入します。 スパイウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

スパイウェアが自身の不正活動を実行するためには、メインとなるコンポーネントが必要になります。

  詳細

ファイルサイズ 不定
タイプ PE
メモリ常駐 はい

侵入方法

スパイウェアは、他のマルウェアに作成され、コンピュータに侵入します。

スパイウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

インストール

スパイウェアは、以下のファイルを作成します。

  • %System%\msusb{random 3 characters}.dat
  • %System%\{random}.dat
  • %System%\msusbznx.dat

(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv\Parameters
ServiceDll = "%Systemroot%\System32\msusb{random 3 characters}.dat"

(註:変更前の上記レジストリ値は、「%System%\wuauserv.dll」となります。)

他のシステム変更

スパイウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\PnP
Security = "{random values}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv\Parameters
Security = "{random values}"

作成活動

スパイウェアは、以下のファイルを作成します。このファイルは、キー入力操作情報を収集するために利用されます。

  • %System%\drivers\{bc87739c-6024-412c-b489-b951c2f17000}.sys - detected by Trend Micro as TSPY_DERUSBI.E

(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

情報収集

スパイウェアは、以下のファイル内に収集した情報を保存します。

  • %Windows%\Temp\ziptmp$1.tmp21

(註:%Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。)

その他

スパイウェアは、以下の不正なWebサイトにアクセスします。

  • {BLOCKED}i.{BLOCKED}1.com
  • {BLOCKED}ree.{BLOCKED}1223.com
  • {BLOCKED}4.{BLOCKED}.111.30

スパイウェアが自身の不正活動を実行するためには、メインとなるコンポーネントが必要になります。

スパイウェアは、以下の情報を収集します。

  • Eメールのユーザ名およびパスワードなど
  • インストール済みのセキュリティソフト
  • Internet Explorer(IE)のオートコンプリート機能によって保存されたアカウント
  • IEのバージョン
  • IPアドレス
  • キー入力情報の記録
  • オペレーティングシステム(OS)のバージョン
  • プロキシサーバの設定

スパイウェアは、キー入力情報を記録する機能を備えています。

これは、複数の「TSPY_DERUSBI」の亜種を解析した結果に基づいた説明です。ファイル名およびレジストリ値といった具体的な情報は、亜種によって異なります。

  対応方法

対応検索エンジン: 9.200
SSAPI パターンバージョン: 8.348.05
SSAPI パターンリリース日: 2011年8月11日

トレンドマイクロのお客様:

    最新のバージョン(パターンファイル and エンジン)を導入したセキュリティ対策製品を用い、ウイルス検索を実行してください。検出したファイルはすべて「削除」し、検出したウイルスはすべて「駆除」してください。削除対象となるファイルには、トロイの木馬型不正プログラムやスクリプト系、上書き感染型ウイルス(overwriting virus)、ジョーク・プログラムなど「駆除」できない不正プログラムがあげられ、これらのファイルを検出した場合は、すべて「削除」してください。

インターネットをご利用の皆様:

    1. トレンドマイクロの「オンラインスキャン」を使って、あなたの PC がウイルスに侵されていないかどうかを簡単にチェックすることが可能です。オンラインスキャンはあなたのコンピュータの中に不正なプログラムが存在するかどうかをチェックします。
    2. 今日、PCやネットワークをセキュリティ上の脅威から守り、安全なIT環境を維持するためには、セキュリティ製品を活用することが最も有効な方法となっています。トレンドマイクロは、一般の個人ユーザだけでなく、企業ユーザやインターネット・サービス・プロバイダ(ISP)向けに、ウイルス対策製品やコンテンツセキュリティ対策をご提供しています。トレンドマイクロの製品・サービスについては、こちらをご参照ください。


ご利用はいかがでしたか? アンケートにご協力ください