TSPY_URELAS.AC

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェア マルウェアは、自身（コンピュータに侵入して最初に自身のコピーを作成した スパイウェア ）を削除します。

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、以下のコンポーネントファイルを作成します。

• {malware path}\$$WindowsXp.bat
  • It used to delete the initial malware copy. This file is deleted after execution

スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %Program Files%\Primary Interop Assemblies\Window system32\MSO\ SH123\ad0002.exe

(註：%Program Files%フォルダは、Windows 2000、Server 2003、XP (32ビット)、通常 Vista (32ビット) および 7 (32ビット) の場合、通常 "C:\Program Files"、Windows XP (64ビット)、Vista (64ビット) および 7 (64ビット) の場合、通常 "C:\Program Files (x86)" です。)

自動実行方法

スパイウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\ServiceHost SH123
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ServiceHost SH123
ImagePath = "%Program Files%\Primary Interop Assemblies\Window system32\MSO\ SH123\ad0002.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ServiceHost SH123
Type = "110"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ServiceHost SH123
ErrorControl = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ServiceHost SH123
DisplayName = "Remote Access Connection Locate Host SH123_20111108"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ServiceHost SH123
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ServiceHost SH123
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Enum\Root\LEGACY_SERVICEHOST_SH123
NextInstance = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_SERVICEHOST_SH123\
0000\Control
ActiveService = "ServiceHost SH123"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_SERVICEHOST_SH123\
0000
DeviceDesc = "Remote Access Connection Locate Host SH123_20111108"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ServiceHost SH123\Enum
0 = "Root\LEGACY_SERVICEHOST_SH123\0000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_SERVICEHOST_SH123\
0000
Class = "LegacyDriver"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_SERVICEHOST_SH123\
0000
ConfigFlags = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_SERVICEHOST_SH123\
0000
Legacy = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_SERVICEHOST_SH123\
0000
Service = "ServiceHost SH123"

スパイウェアは、以下のサービスを開始します。

• ServiceName: ServiceHost SH123
  DisplayName: Remote Access Connection Locate Host SH123_20111108
  ImagePath: %Program Files%\Primary Interop Assemblies\Window system32\MSO\ SH123\ad0002.exe

(註：%Program Files%フォルダは、Windows 2000、Server 2003、XP (32ビット)、通常 Vista (32ビット) および 7 (32ビット) の場合、通常 "C:\Program Files"、Windows XP (64ビット)、Vista (64ビット) および 7 (64ビット) の場合、通常 "C:\Program Files (x86)" です。)

他のシステム変更

スパイウェアは、インストールの過程で、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ServiceHost SH123

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_SERVICEHOST_SH123

情報漏えい

スパイウェアは、以下の情報を収集します。

• Game screenshots
• Operating system version
• Computer name

その他

スパイウェア は、自身（コンピュータに侵入して最初に自身のコピーを作成した スパイウェア ）を削除します。