TSPY_DYRE.EKW
Trojan.Zbot(Norton), a variant of Win32/Injector.BNPH trojan(Eset)
Windows
マルウェアタイプ:
スパイウェア
破壊活動の有無:
なし
暗号化:
はい
感染報告の有無 :
はい
概要
トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。
脆弱性「CVE-2013-2729」を利用するエクスプロイトにより、スパイウェア「DYREZA」がダウンロードされます。このスパイウェアは、オンライン銀行や仮想通貨「Bitcoin(ビットコイン)」の情報を収集する機能を備えていることで知られています。
スパイウェアは、リモートサイトから他の不正プログラムにダウンロードされ、コンピュータに侵入します。
スパイウェアは、特定のWebサイトにアクセスし、情報を送受信します。 スパイウェアは、実行後、自身を削除します。
詳細
侵入方法
スパイウェアは、リモートサイトから以下の不正プログラムによりダウンロードされ、コンピュータに侵入します。
- TROJ_PIDIEF.LK
- TROJ_PIDIEF.UXL
- TROJ_PIDIEF.YYGA
インストール
スパイウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。
- %Windows%\{random file name}.exe (for Windows XP and lower)
- %AppDataLocal%\{random file name}.exe (for Vista and higher)
(註:%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.. %AppDataLocal%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local" です。)
スパイウェアは、以下のファイルを作成します。
- %System%\config\systemprofile\Application Data\{random file name 2}.vas (for Windows XP and lower)
- %AppDataLocal%\{random file name 3}.vas (for Vista and higher)
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %AppDataLocal%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local" です。)
スパイウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- Global\1g2hk1hyj
スパイウェアは、以下のプロセスにコードを組み込みます。
- explorer.exe
自動実行方法
スパイウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\googleupdate
ImagePath = "%Windows%\{random file name}.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\googleupdate
DisplayName = "Google Update Service"
スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
(Default) = "%AppDataLocal%\{random file name}.exe " (for Vista and higher)
スパイウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\googleupdate(for Windows XP and lower)
情報漏えい
スパイウェアは、以下の情報を収集します。
- Host Name
- Public IP Address
- OS Version
- User Name
その他
スパイウェアは、以下のWebサイトにアクセスしてインターネット接続を確認します。
- google.com
スパイウェアは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。
- http://icanhazip.com
スパイウェアは、以下のWebサイトにアクセスし、情報を送受信します。
- {BLOCKED}.{BLOCKED}.51.224:4443
- {BLOCKED}.{BLOCKED}.51.224:443
- {BLOCKED}.{BLOCKED}.46.50:4443
- {BLOCKED}.{BLOCKED}.122.128:4443
- {BLOCKED}.{BLOCKED}.121.205:4443
- {BLOCKED}.105.122.128:443
- {BLOCKED}.{BLOCKED}.98.111:4443
- {BLOCKED}.{BLOCKED}.121.205:443
- {BLOCKED}.{BLOCKED}.98.111:443
- {BLOCKED}.{BLOCKED}.35.188:443
- {BLOCKED}.{BLOCKED}.122.160:4443
- {BLOCKED}.{BLOCKED}.126.25:4443
- {BLOCKED}.{BLOCKED}.110.52:4443
- {BLOCKED}.{BLOCKED}.122.160:443
- {BLOCKED}.{BLOCKED}.126.25:443
- {BLOCKED}.{BLOCKED}.110.52:443
- {BLOCKED}.{BLOCKED}.122.160
- {BLOCKED}.{BLOCKED}.202.162:4443
- {BLOCKED}.{BLOCKED}.202.162:443
- {BLOCKED}.{BLOCKED}.227.37:443
スパイウェアは、実行後、自身を削除します。
スパイウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。
- %Windows%\{random file name}.exe (Windows XP以下)
- %AppDataLocal%\{random file name}.exe (Vista以上)
スパイウェアは、以下のファイルを作成します。
- %System%\config\systemprofile\Application Data\{random file name 2}.vas (Windows XP以下)
- %AppDataLocal%\{random file name 3}.vas (Vista以上)
スパイウェアが、収集する情報は以下のとおりです。
- ホスト名
- 公開 IPアドレス
- OSのバージョン
- ユーザ名
スパイウェアは、以下のブラウザを監視します。
- Google Chrome
- Internet Explorer
- Mozilla Firefox
スパイウェアは、以下のいずれかの含むURLを不正なコードと共に、オンライン銀行やビットコインのログインページに組み込むことで、重要なオンライン銀行やビットコインの情報を収集します。
- accounts.expresscoin.com/*
- accounts.expresscoin.com/login*
- aibinternetbanking.aib.ie/*
- aibinternetbanking.aib.ie/inet/roi/login.htm*
- alolb1.arbuthnotlatham.co.uk/*
- alolb1.arbuthnotlatham.co.uk/IB/Online*
- anxbtc.com/*
- bank.barclays.co.uk/*
- bank.barclays.co.uk/olb/auth/LoginLink.action*
- banking.ireland-bank.com/*
- banking.ireland-bank.com/IrelandBankOnline_303/Authentication/Login.aspx*
- banking.triodos.co.uk/*
- banking.triodos.co.uk/ib-seam/login.seam*
- bankofirelandlifeonline.ie/*
- bankofirelandlifeonline.ie/homepage.jhtml*
- bitbargain.co.uk/*
- bitbargain.co.uk/login*
- bitpay.com/*
- bitpay.com/merchant-login*
- blockchain.info/*
- blockchain.info/wallet/login*
- bolpp.bankofireland.com/*
- bolpp.bankofireland.com/Commercial/*
- btultra.btrl.ro/*
- btultra.btrl.ro/sign/_mcologon*
- bureau.bottomline.co.uk/*
- bureau.bottomline.co.uk/unity/index.aspx*
- business.co-operativebank.co.uk/*
- business.co-operativebank.co.uk/corp/BANKAWAY*
- business.santander.co.uk/*
- business.santander.co.uk/LGSBBI_NS_ENS/BtoChannelDriver.ssobto*
- business2.danskebank.co.uk/*
- business2.danskebank.co.uk/pub/logon/logon.aspx*
- business2.danskebank.ie/*
- business2.danskebank.ie/pub/logon/logon.aspx*
- businessonline.mutualofomahabank.com/*
- businessonline.mutualofomahabank.com/cb/pages/jsp-ns/login.jsp*
- butterfieldonline.co.uk*
- butterfieldonline.co.uk/*
- cbfm.saas.cashfac.com/*
- cbfm.saas.cashfac.com/cbfm/Logon.aspx*
- cbionline.cbi.ae/*
- cbionline.cbi.ae/bus/security/Welcome.do*
- charisma.btdirect.ro/*
- charisma.btdirect.ro/CharismaWEB/_Public/Login.aspx*
- corporate.adcb.com/*
- corporate.adcb.com/corporateWeb/login.do*
- corporate.metrobankonline.co.uk/*
- corporate.santander.co.uk/*
- corporate.santander.co.uk/LOGSCU_NS_ENS/BtoChannelDriver.bto*
- dashboard.gocoin.com/*
- dashboard.gocoin.com/login*
- e-access.compassbank.com/*
- e-access.compassbank.com/bbw/cmserver/welcome/default/verify.cfm*
- eadibcorp.adib.ae/*
- eadibcorp.adib.ae/cb/servlet/cb/jsp-ns/login.jsp*
- esavings.shawbrook.co.uk/*
- esavings.shawbrook.co.uk/BankFast/Shawbrook*
- fastbanking.bancpost.ro/*
- fastbanking.bancpost.ro/iBankWeb/login.jsp*
- fdonline.co-operativebank.co.uk/*
- fdonline.co-operativebank.co.uk/corp/BANKAWAY*
- fidelitytopeka.btbanking.com/*
- fidelitytopeka.btbanking.com/onlineserv/CM/*
- home1.ybonline.co.uk/*
- home1.ybonline.co.uk/raluV8/reglm-web/login.ctl*
- home2.cybusinessonline.co.uk/*
- home2.cybusinessonline.co.uk/lmgruV8/ceblm-web/login.ctl*
- ht.businessonlinepayroll.com/*
- ht.businessonlinepayroll.com/SPF/login/ee_auth.aspx*
- ib.btrl.ro/*
- ib.btrl.ro/BT24/bfo/channel/web/loginframe.jsp*
- ibank.gtbankuk.com/*
- ibank.gtbankuk.com/Gaps_UK/Default.aspx*
- ibank.reliancebankltd.com/*
- ibank.reliancebankltd.com/logon.aspx*
- ibank.zenith-bank.co.uk/*
- ibank.zenith-bank.co.uk/internetbanking/index.jsp*
- ibb.firsttrustbank1.co.uk/*
- ibb.firsttrustbank1.co.uk/ibb/controller*
- ibusinessbanking.aib.ie/*
- ibusinessbanking.aib.ie/ibb/controller*
- leumionline.bankleumi.co.uk/*
- leumionline.bankleumi.co.uk/my.policy*
- localbitcoins.com/*
- localbitcoins.com/accounts/login*
- login.24banking.ro/*
- login.24banking.ro/casserver/login*
- login.isso.db.com/*
- login.isso.db.com/websso/sso_multi_auth_Logon.sso*
- login.salesforce.com/*
- login.smartbusiness.ae/*
- login.smartbusiness.ae/bo-login.jsp*
- my.sjpbank.co.uk/*
- my.sjpbank.co.uk/Security/Auth/Logon*
- net.crediteurope.ro/*
- net.crediteurope.ro/ibank-cln/do/login/prompt*
- netbanking.mashreqbank.com/*
- netbanking.mashreqbank.com/B001/SMELogin.jsp*
- netbanking.ubluk.com/*
- netbanking.ubluk.com/Login/Index*
- northrimbankonline.btbanking.com/*
- northrimbankonline.btbanking.com/onlineserv/CM/*
- online.adambank.com/*
- online.adambank.com/eBankingAdamLogin/login*
- online.bankofcyprus.co.uk/*
- online.bankofcyprus.co.uk/netteller/login.faces*
- online.coutts.com/*
- online.coutts.com/eBankingCouttsLogin/login*
- online.dib.ae/*
- online.dib.ae/webapplication.ui/localoperations/login/loginpage.aspx*
- online.duncanlawrie.com/*
- online.duncanlawrie.com/InternetBanking/faces/mdi/login.jsp*
- online.ebs.ie/*
- online.ebs.ie/internet/login/index.jsp*
- online.hoaresbank.co.uk/*
- online.hoaresbank.co.uk/fi11512/bb/logon*
- online.kbc.ie/*
- online.kbc.ie/kbc-online/onlinebanking/login*
- online.ybs.co.uk/*
- online.ybs.co.uk/public/authentication/login1.do*
- onlinebusiness.lloydsbank.co.uk/*
- onlinebusiness.lloydsbank.co.uk/business/logon/login.jsp*
- personal.co-operativebank.co.uk/*
- personal.co-operativebank.co.uk/CBIBSWeb/start.do*
- retail.santander.co.uk/*
- retail.santander.co.uk/LOGSUK_NS_ENS/BtoChannelDriver.ssobto*
- ro.unicreditbanking.net/*
- ro.unicreditbanking.net/disp*
- s2b.standardchartered.com/*
- s2b.standardchartered.com/ssoapp/login.jsp*
- safello.com/*
- safello.com/login*
- santander.hpdsc.com/*
- santander.hpdsc.com/main*
- secure.coinjar.com/*
- secure.coinjar.com/users/sign_in*
- secure.handelsbanken.com/*
- secure.handelsbanken.com/bb/glss/servlet/prelogon*
- secure.internetbanking.ro/*
- secure.internetbanking.ro/IBK_SMS/Login/LoginFirstStep.aspx*
- secure.membersaccounts.com/*
- secure.membersaccounts.com/SELFSERVICE/login.aspx*
- secure2.alphabank.ro/*
- secure2.alphabank.ro/corporate/CorpOTPLoginLangRom.jsp*
- webcmpr.bancopopular.com/*
- webcmpr.bancopopular.com/K1*
- www.365online.com/*
- www.365online.com/online365/spring/authentication*
- www.arabi-online.net/*
- www.arabi-online.net/efs/servlet/efs/jsp-ns/login.jsp*
- www.asbolb.com/*
- www.asbolb.com/servlet/ASB.ASBServlet*
- www.barclayswealth.com/*
- www.barclayswealth.com/login/action/logon/unauthenticated/personal/loginDetailsRouting*
- www.bitstamp.net/*
- www.bitstamp.net/account/login*
- www.boi-bol.com/*
- www.boi-bol.com/newHome.jsp*
- www.brdoffice.ro/*
- www.brdoffice.ro/smartoffice/_mcologon*
- www.cardonebanking.com/*
- www.cardonebanking.com/authlogin.aspx*
- www.caterallenonline.co.uk*
- www.caterallenonline.co.uk/*
- www.ceconline.ro/*
- www.ceconline.ro/smartoffice/logon.htm*
- www.coinbase.com/*
- www.coinbase.com/signin*
- www.corporate-clients.commerzbank.com/*
- www.corporate-clients.commerzbank.com/S-Portal/SHTML/cdir2/companydirectportal/pgf.html*
- www.halifax-online.co.uk/*
- www.halifax-online.co.uk/personal/logon/login.jsp*
- www.ingonline.com/*
- www.ingonline.com/ro/!UPR.Dispatcher*
- www.internationalpayments.co.uk/*
- www.investbank.ae/*
- www.investbank.ae/ibank/loginAction.do*
- www.iombankibanking.com/*
- www.iombankibanking.com/eai/IPB_EAI_Web/eai*
- www.kbinternetbanking.com*
- www.kbinternetbanking.com/*
- www.natwestibanking.com/*
- www.natwestibanking.com/eai/IPB_EAI_Web/customerNumber.do*
- www.onlinebanking.iombank.com/*
- www.onlinebanking.iombank.com/default.aspx*
- www.onlinebanking.natwestoffshore.com/*
- www.onlinebanking.natwestoffshore.com/default.aspx*
- www.open24.ie/*
- www.open24.ie/online/login.aspx*
- www.raiffeisenonline.ro/*
- www.raiffeisenonline.ro/eBankingWeb/login*
- www.rbsidigital.com/*
- www.rbsidigital.com/default.aspx*
- www.rbsiibanking.com/*
- www.rbsiibanking.com/ipb/IPB_Client_Web/Start.do*
- www.suntrust.com/*
- www.suntrust.com/portal/server.pt*
- www.svbconnect.com/*
- www.svbconnect.com/auth*
- www1.firstdirect.com/*
- www1.firstdirect.com/1/2/!ut/p/c5/04_SB8K8xLLM9MSSzPy8xBz9CP0os3gDgzAfSycDUy8LAzNDbz8vbzMDKADKR5rFO7s7epiY-wD5YZ6uBp4mTiYGpr5uhgaexmDdFibeBn7enkEuBs4ejiYeHkGGMN0FuaGKAPRSfDc!*
- www1.rbcbankusa.com/*
- www1.rbcbankusa.com/cgi-bin/rbaccess/rbunxcgi*
- www22.bmo.com/*
- www22.bmo.com/ctpauth/CTPEAILogin/CustUserPasswordAuthServlet*
スパイウェアは、以下の「Simple Traversal of UDP through NATs(STUN)」サーバにアクセスし、感染したコンピュータの公開 IPアドレスを特定します。
- stun1.voiceeclipse.net
- stun.callwithus.com
- stun.sipgate.net
- stun.ekiga.net
- stun.ideasip.com
- stun.internetcalls.com
- stun.noc.ams-ix.net
- stun.phonepower.com
- stun.voip.aebc.com
- stun.voipbuster.com
- stun.voxgratia.org
- stun.ipshka.com
- stun.faktortel.com.au
- stun.iptel.org
- stun.voipstunt.com
- stunserver.org
- 203.183.172.196:3478
- s1.taraba.net
- s2.taraba.net
- stun.l.google.com:19302
- stun1.l.google.com:19302
- stun2.l.google.com:19302
- stun3.l.google.com:19302
- stun4.l.google.com:19302
- stun.schlund.de
- stun.rixtelecom.se
- stun.voiparound.com
- numb.viagenie.ca
- stun.stunprotocol.org
- stun.2talk.co.nz
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
「TSPY_DYRE.EKW」を作成またはダウンロードする不正なファイルを削除します。 (註:以下のマルウェアもしくはアドウェア等がすでに削除されている場合は、本手順は行う必要はありません。)
- TROJ_PIDIEF.LK
- TROJ_PIDIEF.UXL
- TROJ_PIDIEF.YYGA
手順 4
Windowsをセーフモードで再起動します。
手順 5
このレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- googleupdate
- googleupdate
手順 6
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- (Default) = "%AppDataLocal%\{random file name}.exe " (for Vista and higher)
- (Default) = "%AppDataLocal%\{random file name}.exe " (for Vista and higher)
手順 7
以下のファイルを検索し削除します。
- %System%\config\systemprofile\Application Data\{random file name 2}.vas (for Windows XP and lower)
- %AppDataLocal%\{random file name 3}.vas (for Vista and higher)
手順 8
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TSPY_DYRE.EKW」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください