TSPY_PASSTEAL.TY

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェアは、Windows のファイアウォールを回避します。これにより、感染コンピュータにインストールされているファイアウォールから検出されることなく、自身の不正活動を実行することが可能になります。

スパイウェアは、感染コンピュータから特定の情報を収集します。

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、以下のファイルを作成します。

• %System Root%\users\public\Public Document\aagj.bat - executes %All Users Profile%\Msn\Msn2\mdej.exe and cogj.reg
• %System Root%\users\public\Public Document\abc.klm - FTP upload configuration
• %System Root%\users\public\Public Document\stap.vbs - runs decj.bat
• %System Root%\users\public\Public Document\decj.bat - initialize main routine (see notes for details)
• %System Root%\users\public\Public Document\bar.zip - archive file (see notes for contents)
• %System Root%\users\public\Public Document\cogj.reg - registry editor file
• %System Root%\users\public\Public Document\iej.bat - runs dj.vbs
• %System Root%\users\public\Public Document\dj.vbs - runs iewj.bat
• %System Root%\users\public\Public Document\iewj.bat - detected as BAT_PASSTEAL.TY
• %System Root%\users\public\Public Document\saj.vbs - runs icj.bat
• %System Root%\users\public\Public Document\icj.bat - detected as BAT_PASSTEAL.TY
• %System Root%\users\public\Public Document\image.exe - detected as HKTL_SXPASSDUMP
• %System Root%\users\public\Public Document\images.exe - detected as HKTL_SXPASSDUMP
• %System Root%\users\public\Public Document\picture viewer.exe - detected as HKTL_SXPASSDUMP
• %All Users Profile%\Msn\Msn2\aagj.bat - used to execute %All Users Profile%\Msn\Msn2\mdej.exe and cogj.reg
• %All Users Profile%\Msn\Msn2\abc.klm - FTP upload configuration
• %All Users Profile%\Msn\Msn2\stap.vbs - runs decj.bat
• %All Users Profile%\Msn\Msn2\decj.bat - initialize main routine (see notes for details)
• %All Users Profile%\Msn\Msn2\bar.zip - archive file (see notes for contents)
• %All Users Profile%\Msn\Msn2\cogj.reg - registry editor file
• %All Users Profile%\Msn\Msn2\iej.bat - runs dj.vbs
• %All Users Profile%\Msn\Msn2\dj.vbs - runs iewj.bat
• %All Users Profile%\Msn\Msn2\iewj.bat - detected as BAT_PASSTEAL.TY
• %All Users Profile%\Msn\Msn2\saj.vbs - runs icj.bat
• %All Users Profile%\Msn\Msn2\icj.bat - detected as BAT_PASSTEAL.TY
• %All Users Profile%\Msn\Msn2\image.exe - detected as HKTL_SXPASSDUMP
• %All Users Profile%\Msn\Msn2\images.exe - detected as HKTL_SXPASSDUMP
• %All Users Profile%\Msn\Msn2\picture viewer.exe - detected as HKTL_SXPASSDUMP

スパイウェアは、以下の無害なファイルを作成します。

• %System Root%\users\public\Public Document\crp.exe - Command Line File Crypter tool
• %System Root%\users\public\Public Document\mdej.exe - Keep Running tool
• %System Root%\users\public\Public Document\keeprun.ini - Keep Running tool config file
• %System Root%\users\public\Public Document\unzip.exe - unzip tool
• %All Users Profile%\Msn\Msn2\crp.exe - Command Line File Crypter tool
• %All Users Profile%\Msn\Msn2\mdej.exe - Keep Running tool
• %All Users Profile%\Msn\Msn2\keeprun.ini - Keep Running tool config file
• %All Users Profile%\Msn\Msn2\unzip.exe - unzip tool

(註：%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

スパイウェアは、以下のフォルダを作成します。

• %System Root%\users\public\Public Document
• %All Users Profile%\Msn
• %All Users Profile%\Msn\Msn2

(註：%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
stat = "%All Users Profile%\Msn\Msn2\aagj.bat"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
stat7 = "%System Root%\Users\Public\Public Document\mdej.exe"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
stat2 = "%All Users Profile%\Msn\Msn2\aagj.bat"

他のシステム変更

スパイウェアは、以下のレジストリ値を変更し、Windows のファイアウォールを無効にします。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = "0"

(註：変更前の上記レジストリ値は、「1」となります。)

情報漏えい

スパイウェアは、感染コンピュータから以下の情報を収集します。

• Email Passwords
• Stored IE Passwords
• Web Browser Passwords

情報収集

スパイウェアは、以下のファイル内に収集した情報を保存します。

• %System Root%\users\public\Public Document\001-{date-yyyyddmm}_{time}.033 - retrieved Email passwords
• %System Root%\users\public\Public Document\001-{date-yyyyddmm}_{time}.034 - retrieved IE passwords
• %System Root%\users\public\Public Document\001-{date-yyyyddmm}_{time}.035 - retrieved web browser passwords

(註：%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

情報の送信先

スパイウェアは、以下のFTPサイトにファイルをアップロードします。

• ftp.{BLOCKED}h.com
• sherrif.{BLOCKED}3.com

その他

スパイウェアは、以下のファイルを開きます。

• %All Users Profile%\Msn\Msn2\pic.pdf - decoy PDF file
• %System Root%\users\public\Public Document\pic.pdf - decoy PDF file

(註：%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)