解析者: rolandde   
 別名:

Trojan/Win32.OnlineGameHack (AhnLab-V3)

 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 感染確認数:
 システムへの影響:
 情報漏えい:

  • マルウェアタイプ:
    スパイウェア

  • 破壊活動の有無:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

  概要

トレンドマイクロは、このスパイウェアをNoteworthy(要注意)に分類しました。

スパイウェアは、感染ユーザが利用する韓国のゲームサイトのリストを監視し、ユーザの重要なログイン情報を収集します。

スパイウェアは、リモートサイトから他の不正プログラムにダウンロードされ、コンピュータに侵入します。

スパイウェアは、特定のWebサイトにアクセスし、情報を送受信します。

  詳細

ファイルサイズ 89,088 bytes
タイプ PE
メモリ常駐 はい
発見日 2012年1月26日

侵入方法

スパイウェアは、リモートサイトから以下の不正プログラムによりダウンロードされ、コンピュータに侵入します。

  • TROJ_DLOAD.QYUA

スパイウェアは、以下のリモートサイトからダウンロードされ、コンピュータに侵入します。

  • http://file.{BLOCKED}megirl.com/20120120.exe

インストール

スパイウェアは、以下のファイルを作成します。

  • %System%\d3dx9_09.dll - also detected as TSPY_ONLING.KREA

(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

スパイウェアのDLLコンポーネントは、以下のプロセスに組み込まれます。

  • iexplore.exe

その他

スパイウェアは、以下のWebサイトにアクセスし、情報を送受信します。

  • {BLOCKED}d.{BLOCKED}p.com

実行されると、スパイウェアは、正規のファイル "%System%\dllcache\imm32.dll" を検索し、以下のコピーを作成します。

  • %User Profile%\Application Data\<ランダム>.tmp
  • %System%\<ランダム>.tmp

そしてスパイウェアは、"imm32.dll" が実行されると作成したコンポーネントファイル "d3dx9_09.dll" も実行されるようにするために、"imm32.dll" のコードを変更します。このコードを変更された "imm32.dll" は「PE_PATCHED.QYUA」として検出されます。

スパイウェアは、ブラウザの主にアドレスバーを確認することによって感染コンピュータのInternet Explorer(IE)におけるインターネット活動を監視します。ユーザが、以下の文字列をアドレスバーに含むオンラインゲームサイトを閲覧した場合、スパイウェアは、ユーザ名やパスワードなどといったユーザのログイン情報を収集します。

  • bm.ndoors.com
  • booknlife.com
  • eggmoney.kr
  • hangame.com
  • happyoz.com
  • legendofblood.com
  • mabinogi.com
  • netmarble.net
  • plaync.co.kr
  • pmang.com
  • webzen.co.kr
  • www.nexon.com
  • baram.nexon.com
  • sword.nexon.com
  • df.nexon.com
  • http://dflogin.nexon.com/login/page/logout.aspxredirect=http://df.nexon.com/?GO=mber/login/al.login_mode=logou-on
  • https://login.df.nexon.com/FRM/member/login/al.login_mode=logou-on

収集された情報は、以下の以下のコマンド&コントロール(C&C)サーバへ送信されます。

  • cmd.<省略>shop.com

スパイウェアは、以下のプロセスを確認します。そして実行中であることを確認した場合、これらのプロセスの特権を修正します。

  • lsass.exe
  • MalwareScanner.exe
  • Virtlogonui.exe
  • winlogon.exe
  • V3Special.exe
  • AyAgent.aye
  • dumprep.exe
  • ALYac.aye
  • dwwin.exe
  • irtservices.exe
  • V3LTray.exe
  • autoup.exe
  • V3LRun.exe
  • MUpdate2.exe
  • SgSvc.exe
  • NVCAgent.exe
  • V3Light.exe
  • vnSkyMon.exe
  • V3LSvc.exe
  • AYTask.exe
  • V3Kill.exe
  • AYServiceNT.aye
  • SystemMon.exe

  対応方法

対応検索エンジン: 9.200
VSAPI OPR パターンバージョン 8.741.00
VSAPI OPR パターンリリース日 2012年1月29日

手順 1

Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

この「TSPY_ONLING.KREA」が作成、あるいは、ダウンロードした以下のファイルを検索し、検索した場合は削除してください。

手順 3

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 4

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %User Profile%\Application Data\{random}.tmp
  • %System%\{random}.tmp

手順 5

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TSPY_ONLING.KREA」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください

関連マルウェア