TSPY_SPCESEND.R
Gen:Variant.MSILPerseus.45347(BitDefender)
Windows
マルウェアタイプ:
スパイウェア
破壊活動の有無:
なし
暗号化:
はい
感染報告の有無 :
はい
概要
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %AppDataLocal%\Intel\Intel Volume\Stub\did.vine - modified copy of itself
(註:%AppDataLocal%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local" です。)
スパイウェアは、以下のファイルを作成します。
- %AppDataLocal%\scout\scout.exe - also detected as TSPY_SPCESEND.R
- %AppDataLocal%\scout\IntelRST.zip - contains two EXE files that are also detected as TSPY_SPCESEND.R
- %AppDataLocal%\scout\Information.zip
- If processes related to Norton anti-virus is found running:
- %AppDataLocal%\Intel\Intel Volume\nor.txt
- %AppDataLocal%\Intel\Intel Volume\frmmem.exe - one of the two EXE files in the archive
- %System%\Tasks\Intel® RST - scheduled task for frmmem.exe
- If processes related to AVG is found running:
- %AppDataLocal%\Intel\Intel Volume\avg.txt
- %AppDataLocal%\Intel\Intel Volume\IntelRST.exe - one of the two EXE files in the archive
- %System%\Tasks\Intel® RST - scheduled task for IntelRST.exe
- %AppDataLocal%\Intel\Intel Volume\IntelRST.exe
- %System%\Tasks\Intel® RST - scheduled task for IntelRST.exe
- %System%\Tasks\scout - scheduled task for scout.exe
- %AppDataLocal%\Intel\Intel Volume\7za.txt
(註:%AppDataLocal%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local" です。. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)
スパイウェアは、以下のファイルを作成し実行します。
- {malware path}\loading table.xlsx
スパイウェアは、以下のフォルダを作成します。
- %AppDataLocal%\scout
- %AppDataLocal%\Intel
- %AppDataLocal%\Intel\Intel Volume
- %AppDataLocal%\Intel\Intel Volume\Lab
- %AppDataLocal%\Intel\Intel Volume\icon - contains images of icons
- %AppDataLocal%\Intel\Intel Volume\Stub
- %AppDataLocal%\Intel\Intel Volume\z - storage of archive of collected files
- %AppDataLocal%\Intel\Intel Volume\{Drive letter}{Drive type}{Current date}{Current time} - copies of collected files
- %AppDataLocal%\Intel®
(註:%AppDataLocal%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local" です。)
スパイウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- 6b1627de-5072-41da-b1ad-0446c737916a
プロセスの終了
スパイウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。
- IntelRST - it will only terminate this process if the file version of this file is less than 1.9.1.2
その他
スパイウェアは、以下のWebサイトにアクセスしてインターネット接続を確認します。
- http://www.google.com
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
Windowsをセーフモードで再起動します。
手順 4
以下のフォルダを検索し削除します。
- %AppDataLocal%\scout
- %AppDataLocal%\Intel
- %AppDataLocal%\Intel®
手順 5
以下のファイルを検索し削除します。
- %System%\Tasks\Intel® RST
- %System%\Tasks\scout
手順 6
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TSPY_SPCESEND.R」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください