TSPY_GENOME
Windows 2000, Windows XP, Windows Server 2003
マルウェアタイプ:
スパイウェア
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
詳細
インストール
スパイウェアは、以下のファイルを作成します。
- %System Root%\confl.log
(註:%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)
自動実行方法
スパイウェアは、以下のレジストリ値を追加し、自身をBrowser Helper Object(BHO)として登録します。
HKEY_CLASSES_ROOT\CLSID\{2EB1DE5D-91E6-4AD7-9C69-91243E190EB1}
@ = "Abn"
HKEY_CLASSES_ROOT\CLSID\{2EB1DE5D-91E6-4AD7-9C69-91243E190EB1}\
InProcServer32
@ = "%System Root%\Abn.dll" = ThreadingModel = "Apartment"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Browser Helper Objects\{2EB1DE5D-91E6-4AD7-9C69-91243E190EB1}
感染活動
スパイウェアは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。
- %System Root%\Arquivos de programas\Internet Explorer\PLUGINS\iewd.exe
(註:%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)
ダウンロード活動
スパイウェアは、以下のファイル名でダウンロードしたファイルを保存します。
- %Windows%\a0x1.exe
- %System%\Eguis.exe
- %System%\isssas.cpl
(註:%Windows%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、"C:\Windows" です。. %System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)
その他
スパイウェアは、以下の不正なWebサイトにアクセスします。
- http://{BLOCKED}0.{BLOCKED}4.72.61/RealMedia/ads/Creatives/OasDefault/ASACSA_TC-08.06.09/des.jpg
- http://{BLOCKED}8.{BLOCKED}4.15.228/l.php?aff_id=1&wm_id=0&u=a8fbbde7-2725-43dd-974b-4d36acf41a1d&log_id=1
- http://{BLOCKED}8.{BLOCKED}4.15.228/l.php?aff_id=1&wm_id=0&u=a8fbbde7-2725-43dd-974b-4d36acf41a1d&log_id=3
- http://{BLOCKED}8.{BLOCKED}4.15.228/l.php?aff_id=8654&wm_id=03010&u=411f3a52-26ed-4872-9a07-8c966acba234&log_id=1
- http://{BLOCKED}8.{BLOCKED}4.15.228/l.php?aff_id=8654&wm_id=03010&u=411f3a52-26ed-4872-9a07-8c966acba234&log_id=3
- http://{BLOCKED}8.{BLOCKED}4.15.228/l.php?aff_id=8654&wm_id=03010&u=a8fbbde7-2725-43dd-974b-4d36acf41a1d&log_id=1
- http://{BLOCKED}8.{BLOCKED}4.15.228/l.php?aff_id=8654&wm_id=03010&u=a8fbbde7-2725-43dd-974b-4d36acf41a1d&log_id=3
- http://{BLOCKED}8.{BLOCKED}4.15.228/sw/1/0/0/a8fbbde7-2725-43dd-974b-4d36acf41a1d/0/x.dat
- http://{BLOCKED}8.{BLOCKED}4.15.228/sw/8654/03010/0/411f3a52-26ed-4872-9a07-8c966acba234/0/x.dat
- http://{BLOCKED}8.{BLOCKED}4.15.228/sw/8654/03010/0/a8fbbde7-2725-43dd-974b-4d36acf41a1d/0/x.dat
- http://{BLOCKED}s.{BLOCKED}a.com.br/RealMedia/ads/creatives/OasDefault/090101_Seven_Sky_ROS/Eguis.jpg
- http://{BLOCKED}s.{BLOCKED}a.com.br/RealMedia/ads/creatives/OasDefault/090101_Seven_Sky_ROS/p.cpl
- http://{BLOCKED}n.{BLOCKED}e.com/down/uupdate.exe
- http://{BLOCKED}m.{BLOCKED}lmarkets.com/member.php?u=7586
- http://{BLOCKED}m.{BLOCKED}ice.com/member.php?u=7586
- http://www.{BLOCKED}rum.com/member.php?u=29387
- http://www.{BLOCKED}hardware.net/comunidade/member.php?u=764481
- http://www.{BLOCKED}eriedemouna.com/images/imag2.gif
- http://www.{BLOCKED}ho.cc/imagens/0001.gif
- http://www.{BLOCKED}ho.cc/imagens/0002.gif
- http://www.{BLOCKED}g.or.kr/sarangbi_bgm/img/update.txt
- http://www.{BLOCKED}a.net/member.php?u=21040
- http://{BLOCKED}8.{BLOCKED}4.15.228/l.php?aff_id=1&wm_id=0&u=a8fbbde7-2725-43dd-974b-4d36acf41a1d&log_id=3