TSPY_NIVDORT.SM

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェアは、特定のWebサイトにアクセスします。これにより、不正リモートユーザにスパイウェアのインストールが知らされます。また、不正なファイルがダウンロードされます。この結果、感染コンピュータは、さらなる他の脅威にさらされることとなります。 ただし、情報公開日現在、このWebサイトにはアクセスできません。

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %System%\{random filename 1}.exe
• %System%\{random filename 2}.exe
• %User Temp%\{random filename 3}.exe

(註：%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。. %User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

自動実行方法

スパイウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Protocol Peer Hardware Audio Connection
ImagePath = "%System%\{random filename 1}.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Protocol Peer Hardware Audio Connection
DisplayName = "Protocol Peer Hardware Audio Connection"

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
List IP Authentication Enumerator Spooler = "%System%\{random filename 1}.exe"

他のシステム変更

スパイウェアは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusDisableNotify = "1"

(註：変更前の上記レジストリ値は、「"0"」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallDisableNotify = "1"

(註：変更前の上記レジストリ値は、「"0"」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusOverride = "1"

(註：変更前の上記レジストリ値は、「"0"」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallOverride = "1"

(註：変更前の上記レジストリ値は、「"0"」となります。)

プロセスの終了

スパイウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• jhprotominer.exe
• jhprotominer64.exe
• jhminer32.exe
• jhgeneric_256.exe
• jhcore2_256.exe
• jhcorei7_256.exe
• jhavx_256.exe
• jhbarcelona_256.exe
• jhbulldozerv1_256.exe
• jhbobcatv2_256.exe
• jhcore2_512.exe
• jhcorei7_512.exe
• jhavx_512.exe
• jhavx2_512.exe
• jhbarcelona_512.exe
• jhbulldozerv1_512.exe

ダウンロード活動

スパイウェアは、以下の不正Webサイトにアクセスします。

• http://{hostname}/forum/search.php?method=validate&mode=my&email={BLOCKED}u.{BLOCKED}ntinescu@{BLOCKED}software.ro&lici=&ver={value}
• http://{hostname}.{extension}/forum/search.php?method={action}&mode=sox&v={version}&sox={value}
  • where:
    • {hostname} is generated by concatenating two strings from the harcoded list.
    • {extension} can be any of the following:
      • com
      • net
• http://{hostname}/forum/search.php?method={action}&mode=sox&v={version}&sox={value}&lport={value}&rsid={soxy ID or NOSOXYID123 if no soxy ID}&slots={value}&spm={value}&adm={0 if not admin or 1 if admin)&x64={0 if 32bit or 1 if 64bit}&mr={value}

ただし、情報公開日現在、このWebサイトにはアクセスできません。

その他

スパイウェアは、以下のファイルを作成します。

• %Temp%\{random filename 4}.exe - deleted afterwards
• %System%\{random folder 1}\cfg - encrypted
• %System%\{random folder 1}\etc - encrypted
• %System%\{random folder 1}\lck - encrypted
• %System%\{random folder 1}\rng - encrypted
• %System%\{random folder 1}\run - encrypted
• %System%\{random folder 1}\tst - encrypted
• %System%\{random folder 1}\por - encrypted

(註：%Temp%フォルダは、標準設定では "C:\Windows\Temp" です。. %System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)