TSPY_FRIHOS.XTTT

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、以下のファイルを作成します。

• %All Users Profile%\Msn\Msn2\dj.vbs
• %System Root%\Users\Public\Public Document\dj.vbs
• %System Root%\Users\Public\Public Document\202.lmn
• %All Users Profile%\Msn\Msn2\202.lmn
• %All Users Profile%\Msn\Msn2\keeprun.ini
• %System Root%\Users\Public\Public Document\keeprun.ini
• %All Users Profile%\Msn\Msn2\cogj.reg
• %System Root%\Users\Public\Public Document\cogj.reg
• %All Users Profile%\Msn\Msn2\saj.vbs
• %System Root%\Users\Public\Public Document\saj.vbs
• %All Users Profile%\Msn\Msn2\docs.pdf
• %System Root%\Users\Public\Public Document\docs.pdf
• %All Users Profile%\Msn\Msn2\aagj.bat - used to run %All Users Profile%\Msn\Msn2\AcrobaP.exe (also detected as BAT_STARTU.A)
• %All Users Profile%\Msn\Msn2\icj.bat
• %All Users Profile%\Msn\Msn2\iej.bat
• %All Users Profile%\Msn\Msn2\iewj.bat
• %All Users Profile%\Msn\Msn2\tsbe.vbs
• %All Users Profile%\o3IIr0iSb\PCGWIN32.LI5
• %System Root%\Users\Public\Public Document\aagj.bat - used to run %All Users Profile%\Msn\Msn2\AcrobaP.exe (also detected as BAT_STARTU.A)
• %System Root%\Users\Public\Public Document\adip.klc
• %System Root%\Users\Public\Public Document\icj.bat
• %System Root%\Users\Public\Public Document\iej.bat
• %System Root%\Users\Public\Public Document\iewj.bat
• %System Root%\Users\Public\Public Document\tsbe.vbs

(註：%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

スパイウェアは、以下のファイルを作成し実行します。

• %All Users Profile%\Msn\Msn2\AdobeT.exe (HKTL_PWDUMP.GABR)
• %System Root%\Users\Public\Public Document\AdobeT.pdf (HKTL_PWDUMP.GABR)
• %All Users Profile%\Msn\Msn2\AcrobaP.exe (detected as TROJ_TRACKER.XTTT)
• %System Root%\Users\Public\Public Document\AcrobatR.pdf (detected as HKTL_PWDUMP.GAIE)
• %All Users Profile%\Msn\Msn2\AcrobatR.exe (detected as HKTL_PWDUMP.GAIE)
• %System Root%\Users\Public\Public Document\AdobeR.pdf (detected as HKTL_PWDUMP.GAEM)
• %All Users Profile%\Msn\Msn2\AdobeR.exe (detected as HKTL_PWDUMP.GAEM)
• %System Root%\Users\Public\Public Document\AcrobaP.exe (detected as TROJ_TRACKER.HAY)

(註：%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

スパイウェアは、以下のフォルダを作成します。

• %All Users Profile%\Msn
• %All Users Profile%\Msn\Msn2
• %All Users Profile%\o3IIr0iSb
• %System Root%\Users\Public\Public Document
• %System Root%\Users (for Windows XP and lower versions)
• %System Root%\Users\public (for Windows XP and lower versions)

(註：%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

自動実行方法

スパイウェアは、作成されたコンポーネントがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
stat = "%All Users Profile%\Msn\Msn2\aagj.bat"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
stat2 = "%All Users Profile%\Msn\Msn2\aagj.bat"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
stat7 = "%System Root%\Users\Public\Public Document\mdej.exe\"

作成活動

スパイウェアは、収集した情報を保存するために以下のファイルを作成します。

• %System Root%\Users\Public\Public Document\001_201405Fr_135509.036
• %System Root%\Users\Public\Public Document\001_201405Fr_135509.037
• %System Root%\Users\Public\Public Document\001_201405Fr_135509.038
• %System Root%\Users\Public\Public Document\amsn.klc

(註：%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

情報漏えい

スパイウェアは、以下の情報を収集します。

• Host Name
• MAC Address
• IP Address

スパイウェアは、保存されている以下のEメール認証情報を収集します。

• Gmail
• Yahoo Mail
• Hotmail
• Windows Live Mail
• Outlook
• Thunderbird
• IncrediMail
• GTalk

スパイウェアは、以下のブラウザから、ユーザ名、パスワードやホスト名といった保存された情報を収集します。

• Firefox
• Internet Explorer
• Google Chrome
• Safari
• Opera
• Sea Monkey
• Comodo
• Flock

情報の送信先

スパイウェアは、以下のFTPサイトにファイルをアップロードします。

• ftp.{BLOCKED}stia.com