TSPY_GAUSS.A

トレンドマイクロは、このスパイウェアをNoteworthy（要注意）に分類しました。

スパイウェアは、システム関連の情報の収集および、オンラインバンキング、ソーシャルネットワーキング、Eメールおよびインスタントメッセンジャ（IM）の認証情報を収集するように設計されています。スパイウェアは、中東地域の企業を狙った標的型攻撃で利用されている可能性があります。

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェアは、感染コンピュータから特定の情報を収集します。

スパイウェアは、特定のWebサイトにアクセスし、情報を送受信します。 スパイウェアは、上記プロセスが確認されると、そのプロセスを停止します。これにより、感染コンピュータ上で自身の実行を確実にします。

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、以下の無害なファイルを作成します。

• %User Temp%\~shw.tmp - log file
• %User Temp%\~gdl.tmp - log file
• %User Temp%\~mdk.tmp - log file
• %User Temp%\md.bak - log file
• %Windows%\system\Temp\s61cs3.dat - log file
• %Windows%\temp\~ZM6AD3.tmp - log file
• %User Temp%\ws1bin.dat - log file
• %Windows%\Fonts\pldnrfn.ttf - font file

(註：%User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\＜ユーザー名＞\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\TEMP" です。. %Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。)

スパイウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• ShellHWDetectionMutex

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。

HKEY_CURRENT_USER\CLSID\{CLSID}\
InProcServer32
(Default) = "%System%\wbem\wmihlp32.dll"

(註：変更前の上記レジストリ値は、「%system32%\wbem\wbemsvc.dll」となります。)

他のシステム変更

スパイウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Reliability
TimeStampForUI = "{data}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Reliability
ShutdownIntervalSnapshotUI = "{data}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Reliability
ShutdownInterval = "{data}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Fonts
Palida Narrow (TrueType) = "pldnrfn.ttf"

情報漏えい

スパイウェアは、感染コンピュータから以下の情報を収集します。

• CMOS information
• BIOS information
• Computer name
• Domain account information
• Operating System Version
• Workstation information
• Available drives
• Driectories under %Program Files% folder
• IE version
• Environment variables
• Network adapter information
• Routing table
• Disk information
• Running Processes
• Available Microsoft SQL servers
• URL cache
• Available network shares
• Proxy configuration

(註：%Program Files%は、標準設定では "C:\Program Files" です。)

その他

スパイウェアは、以下のWebサイトにアクセスしてインターネット接続を確認します。

• www.google.com
• www.update.windows.com

スパイウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• {BLOCKED}.{BLOCKED}.45.115
• {BLOCKED}.{BLOCKED}.166.116
• {BLOCKED}mputeradvisor.com
• {BLOCKED}nction.org
• {BLOCKED}advisor.info
• {BLOCKED}7.com
• {BLOCKED}access.net
• {BLOCKED}ity.net

スパイウェアは、以下のプロセスの存在を確認します。

• abcd.exe
• acs.exe
• adoronsfirewall.exe
• alertwall.exe
• ALMon.exe
• ALsvc.exe
• alupdate.exe
• AntiHook.exe
• app_firewall.exe
• apvxdwin.exe
• armorwall.exe
• as3pf.exe
• asr.exe
• aupdrun.exe
• authfw.exe
• avas.exe
• avcom.exe
• AVKProxy.exe
• avkservice.exe
• AVKTray.exe
• AVKWCtl.exe
• avkwctrl.exe
• avmgma.exe
• avp.exe
• avtask.exe
• aws.exe
• backgroundscanclient.exe
• bgctl.exe
• bgnt.exe
• blackd.exe
• blackice.exe
• blinksvc.exe
• bootsafe.exe
• bullguard.exe
• CavApp.exe
• cavasm.exe
• CavAUD.exe
• CavCons.exe
• CavEmSrv.exe
• Cavmr.exe
• CavMud.exe
• Cavoar.exe
• CavQ.exe
• CavSn.exe
• CavSub.exe
• CavUMAS.exe
• CavUserUpd.exe
• Cavvl.exe
• cdas17.exe
• cdas2.exe
• cdinstx.exe
• CEmRep.exe
• clamd.exe
• CMain.exe
• cmdagent.exe
• cmgrdian.exe
• configmgr.exe
• configuresav.exe
• cpd.exe
• csi-eui.exe
• CV.exe
• DCSUserProt.exe
• dfw.exe
• dlservice.exe
• dltray.exe
• dvpapi.exe
• emlproui.exe
• emlproxy.exe
• endtaskpro.exe
• espwatch.exe
• Ethereal.exe
• fameh32.exe
• fch32.exe
• fgui.exe
• filedeleter.exe
• filemon.exe
• firewall.exe
• firewall2004.exe
• firewallgui.exe
• fsar32.exe
• fsav32.exe
• fsdfwd.exe
• fsgk32.exe
• fsgk32st.exe
• fsguidll.exe
• fshdll32.exe
• fsm32.exe
• fsma32.exe
• fsmb32.exe
• fsorsp.exe
• fspc.exe
• fsqh.exe
• fsrt.exe
• fssm32.exe
• fsus.exe
• fwsrv.exe
• gateway.exe
• GDFirewallTray.exe
• GDFwSvc.exe
• GDScan.exe
• gsava.exe
• gssm32.exe
• hpf_.exe
• iface.exe
• InstLsp.exe
• invent.exe
• ipatrol.exe
• ipcserver.exe
• ipctray.exe
• kpf4gui.exe
• kpf4ss.exe
• licwiz.exe
• livehelp.exe
• lookout.exe
• lpfw.exe
• mpf.exe
• mpfcm.exe
• Netcap.exe
• Netguard Lite.exe
• netguardlite.exe
• Netmon.exe
• nstzerospywarelite.exe
• oasclnt.exe
• omnitray.exe
• OnAccessInstaller.exe
• onlinent.exe
• op_mon.exe
• opf.exe
• opfsvc.exe
• outpost.exe
• Packetizer.exe
• Packetyzer.exe
• pcipprev.exe
• pctav.exe
• pctavsvc.exe
• pcviper.exe
• persfw.exe
• pfft.exe
• pgaccount.exe
• prevxcsi.exe
• prifw.exe
• privatefirewall 3.exe
• privatefirewall3.exe
• procguard.exe
• procmon.exe
• protect.exe
• pxagent.exe
• rawshark.exe
• RDTask.exe
• rtt_crc_service.exe
• sab_wab.exe
• sagui.exe
• SAVAdminService.exe
• savcleanup.exe
• savcli.exe
• savmain.exe
• savprogress.exe
• SavService.exe
• scfmanager.exe
• scfservice.exe
• schedulerdaemon.exe
• sdcdevcon.exe
• sdcdevconIA.exe
• sdcdevconx.exe
• sdcservice.exe
• sdtrayapp.exe
• siteadv.exe
• sndsrvc.exe
• Sniffer.exe
• snsmcon.exe
• snsupd.exe
• SoftAct.exe
• sp_rsser.exe
• spfirewallsvc.exe
• sppfw.exe
• spybotsd.exe
• SpyHunter3.exe
• spywareterminatorshield.exe
• spywat~1.exe
• ssupdate.exe
• SUPERAntiSpyware.exe
• Tcpdump.exe
• terminet.exe
• Tethereal.exe
• THGuard.exe
• tppfdmn.exe
• tscutynt.exe
• tshark.exe
• tzpfw.exe
• umxagent.exe
• umxtray.exe
• updclient.exe
• UUpd.exe
• uwcdsvr.exe
• VCATCH.EXE
• vdtask.exe
• VSDesktop.exe
• vsmon.exe
• webwall.exe
• Windump.exe
• winroute.exe
• Wireshark.exe
• wwasher.exe
• xauth_service.exe
• xfilter.exe
• ywareterminatorshield.exe
• zanda.exe
• zapro.exe
• zerospywarele.exe
• zerospywarelite_installer.exe
• zlclient.exe
• zlh.exe

スパイウェアは、上記プロセスが確認されると、そのプロセスを停止します。これにより、感染コンピュータ上で自身の実行を確実にします。

スパイウェアが作成する無害なファイルは、以下のとおりです。

• %User Temp%\~shw.tmp - ログファイル
• %User Temp%\~gdl.tmp - ログファイル
• %User Temp%\~mdk.tmp - ログファイル
• %User Temp%\md.bak - ログファイル
• %Windows%\system\Temp\s61cs3.dat - ログファイル
• %Windows%\temp\~ZM6AD3.tmp - ログファイル
• %User Temp%\ws1bin.dat - ログファイル
• %Windows%\Fonts\pldnrfn.ttf - フォントファイル

スパイウェアが収集する情報は、以下のとおりです。

• CMOS情報
• BIOS情報
• コンピュータ名
• ドメインアカウント情報
• オペレーティングシステム（OS）のバージョン
• ワークステーション情報
• 利用可能なドライブ
• ＜Program Files＞フォルダ内のディレクトリ
• Internet Explorer（IE）のバージョン
• 環境変数
• ネットワークアダプタ情報
• ルーティングテーブル
• ディスク情報
• 実行中のプロセス
• 利用可能なMicrosoft SQLサーバ
• URLキャッシュ
• 利用可能なネットワーク共有フォルダ
• プロキシ設定

スパイウェアは、以下のコンポーネントを利用します。これらはすべて自身として検出されます。

• %System%\devwiz.ocx
• %System%\dskapi.ocx
• %System%\lanhlp32.ocx
• %System%\mcdmn.ocx
• %System%\smdk.ocx
• %System%\wbem\wmihlp32.ocx
• %System%\wbem\wmiqry32.ocx
• %System%\windig.ocx
• %System%\winshell.ocx

スパイウェアは、自身が "LSASS.EXE" によって読み込まれているかを確認します。読み込まれている場合、スパイウェアは、インストール活動を実行します。読み込まれていない場合、メインとなる不正活動を実行します。

スパイウェアは、以下のイベントを作成します。

• ShellHWStop
• Global\ShellHWDetectionEvent

スパイウェアは、ファイル "pldnrfn.ttf" を作成するために、以下のレジストリキーにランダムなバイナリデータを書き込みます。

HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\Reliability
ShutdownInterval = "＜ランダムなバイナリデータ＞"

スパイウェアは、以下の情報を収集する機能を備えています。

• オンラインバンキング、ソーシャルネットワーキング、Eメールおよびインスタントメッセンジャ（IM）に関連する認証情報
• Webサイトの閲覧履歴
• クッキーおよびパスワード

スパイウェアは、「JS_GAUSS.A」として検出されるFirefoxのプラグインをインストールし、情報収集活動を補助します。

スパイウェアは、リムーバブルドライブ内に以下のコンポーネントを作成します。

• System32.dat - このスパイウェアとして検出
• System32.bin - このスパイウェアとして検出
• thumbs.db - ログファイル

スパイウェアは、リムーバブルドライブ内に以下のフォルダを作成します。

• .Backup0＜文字＞
• .Backup00＜文字＞

そして、スパイウェアは、自身を自動実行をするための以下のコンポーネントを作成します。このコンポーネントは、脆弱性「CVE-2010-2568」を利用します。

• desktop.ini
• target.lnk