TSPY_SPYEYE

「SPYEYE」は、オンライン銀行や金融機関のWebサイトに関連するユーザの情報を収集することから悪名高いマルウェアです。「SPYEYE」ファミリの亜種は、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。また、スパムメールを介して、コンピュータに侵入する場合もあります。

「SPYEYE」ファミリの亜種は、プロセスやファイルを隠ぺいするルートキット機能をを備えています。そして、ユーザのキー入力操作情報を記録することにより情報を収集します。また、HTML形式の記入フォームを追加で挿入することによってさらなる情報を収集します。収集されたログイン情報は、ユーザに気づかれないうちにオンライン振替などといった取引に利用されます。また収集された情報は、アンダーグラウンド市場で売買されます。

「SPYEYE」ファミリの亜種は、実行されると、複数のWebサイトにアクセスし、情報の送受信を行います。

「SPYEYE」ファミリの亜種は、登場して以来、情報収集を目的とする多くの攻撃に利用されてきました。2011年には、ロシアのサイバー犯罪が、「SPYEYE」を利用し米国のさまざまな組織から320万米ドル以上の利益を手にしました。

インストール

スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %Windows%\AvProtector.exe
• %Windows%\rundlll.exe
• %Windows%\scvhost.exe
• %Windows%\win32Runtime.exe
• %System Root%\trivax1.Bin\trivax1.Bin.exe
• %System Root%\usxxxxxxxx\usxxxxxxxx.exe

(註：%Windows%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、"C:\Windows" です。. %System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

スパイウェアは、以下のフォルダを作成します。

• %System Root%\trivax1.Bin
• %System Root%\usxxxxxxxx

(註：%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

他のシステム変更

スパイウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\PhishingFilter

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Recovery

スパイウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLUA = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
ConsentPromptBehaviorAdmin = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
win32Runtime = "%Windows%\win32Runtime.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLUA = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
ConsentPromptBehaviorAdmin = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile
EnableFirewal = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\ DomainProfile
DoNotAllowExceptions = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\PhishingFilter
EnabledV8 = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\PhishingFilter
ShownServiceDownBalloon = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Recovery
ClearBrowsingHistoryOnExit = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
GlobalUserOffline = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
WarnOnPostRedirect = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
WarnOnIntranet = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\0
1409 = "3"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\1
1409 = "3"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\2
1409 = "3"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\3
1409 = "3"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\4
1409 = "3"

スパイウェアは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = "0"

(註：変更前の上記レジストリ値は、「1」となります。)

その他

スパイウェアは、以下の不正なWebサイトにアクセスします。

• http://{BLOCKED}e.net/banners/testing.exe
• http://{BLOCKED}ion-crew.biz/asdfg/gate.php
• http://{BLOCKED}x.com/user/gate.php
• http://{BLOCKED}giftstore.com/icard/gate.php
• http://{BLOCKED}stat.org/stats/gate.php
• http://{BLOCKED}bit.org/upload/gate.php
• http://{BLOCKED}4.{BLOCKED}5.228.147/~main/us1/gate.php
• http://{BLOCKED}8.{BLOCKED}9.96.95/us1/gate.php
• http://{BLOCKED}8.{BLOCKED}9.99.250/us1/gate.php
• http://{BLOCKED}checker007.ru/us10/gate.php