TSPY_POSPUNK.B
Infostealer.Pospunk (Symantec); Trojan.Win32.S.PunkeyPOS.370208[h] (ViRobot); Win32/Spy.POSCardStealer.AN (ESET-NOD32); Punkey-FCCI!BE46B05244DB (McAfee)
Windows
マルウェアタイプ:
スパイウェア
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
トレンドマイクロは、このスパイウェアをNoteworthy(要注意)に分類しました。
このスパイウェアのコンポーネントは、2015年4月に確認されたPOSマルウェア「Punkey」に関連しています。
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
スパイウェアは、ユーザのキー入力操作情報を記録し、情報を収集します。
スパイウェアは、実行後、自身を削除します。
詳細
侵入方法
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
スパイウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。
- %AppDataLocal%\jusched\jusched.exe
(註:%AppDataLocal%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local" です。)
スパイウェアは、以下のコンポーネントファイルを作成します。
- %AppDataLocal%\jusched\cookie - contains the UID
- %AppDataLocal%\jusched\Dllx64.dll - detected as TSPY_POSPUNK.B which is a component used for keylogging routine
(註:%AppDataLocal%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local" です。)
スパイウェアは、以下のプロセスにコードを組み込みます。
- explorer.exe
自動実行方法
スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
jusched = "%AppDataLocal%\jusched\jusched.exe -s"
情報漏えい
スパイウェアは、以下のパラメータを受け取ります。
- action = {getuid, sendinfo, getupdate, key, unkey}
- key= {RUN, SCANNING, or UPDATE}
- version= {malware version}
- bit= {32 or 64}
- unkey= {stolen information}
スパイウェアは、ユーザのキー入力操作情報を記録し、情報を収集します。
その他
このスパイウェアのコードから、スパイウェアは、以下の機能を備えています。
- Update itself
- Download arbitrary file as temp.exe
- sleep
スパイウェアは、実行後、自身を削除します。
スパイウェアが作成する以下のコンポーネントファイルには、 Unique Identifier(UID)が含まれています。
- %AppDataLocal%\jusched\cookie
スパイウェアが作成する以下のコンポーネントファイルは、「TSPY_POSPUNK.B」として検出されます。これは、キー入力操作情報を収集活動に利用されるコンポーネントです。
- %AppDataLocal%\jusched\Dllx64.dll
このスパイウェアのコードから、スパイウェアは、以下の機能を備えています。
- 自身の更新
- "temp.exe"として任意のファイルをダウンロード
- スリープ
スパイウェアは、サーバからのUIDを要求します。マルウェアは、サーバからUIDを受信すると、クッキーファイルを作成します。
スパイウェアは、GETまたはPOSTリクエストを以下のURLに送信します。
- http://{BLOCKED}x.tqurl.net/21kjn2bkhjv/{string}
- http://{BLOCKED}6.31.93.208/21kjn2bkhjv/{string}
- http://{BLOCKED}1.72.36.109/21kjn2bkhjv/{string}
- http://{BLOCKED}8.32.9.105/21kjn2bkhjv/{string}
- http://{BLOCKED}2.3.201.32/21kjn2bkhjv/{string}
"{string}"には、以下のいずれかが当てはまります。
- ?{parameter}
- index.php
スパイウェアは、以下を除いたすべての実行中プロセスのメモリをスキャンします。
- wuauclt.exe
- alg.exe
- spoolsv.exe
- lsass.exe
- winlogon.exe
- csrss.exe
- smss.exe
- System
- explorer.exe
- iexplore.exe
- svchost.exe
スパイウェアは、自身のコマンド&コントロール(C&C)サーバへ以下のエラーを報告します。
- キーボードフックのインストール中に発生したエラー
- dllファイルの読み込み中に発生したエラー。エラーコード:{value}
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
Windowsをセーフモードで再起動します。
手順 3
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 4
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- jusched = "%AppDataLocal%\jusched\jusched.exe -s"
- jusched = "%AppDataLocal%\jusched\jusched.exe -s"
手順 5
以下のファイルを検索し削除します。
- %AppDataLocal%\jusched\Dllx64.dll
- %AppDataLocal%\jusched\cookie
- %AppDataLocal%\jusched\temp.exe
手順 6
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TSPY_POSPUNK.B」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください