TSPY_URSNIF.TIBAIDO

トレンドマイクロは、このマルウェアをNoteworthy（要注意）に分類しました。

2018年8月、トレンドマイクロは、ボットネット「CUTWAIL」からの日本のユーザを対象としたスパムメール送信活動を確認しました。スパムメールには、IQYファイルを悪用する手法が採用されていました。

このマルウェアは、上述のスパムメール送信活動で最終的にダウンロードされるペイロードのひとつです。

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。 スパイウェアは、リモートサイトから他のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。

スパイウェアは、特定のWebサイトにアクセスし、情報を送受信します。

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェアは、リモートサイトから以下のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。

• TSPY_BEBLOH.YMNPV

インストール

スパイウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

• %Application Data%\{string1}{string2}\{string1}{string2}.exe
  where:
  • {string1} = first four letters of a dll file under System directory
  • {string2} = last four letters of a dll file under System directory

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

スパイウェアは、以下のファイルを作成し実行します。

• %User Temp%\{random folder name}\{random filename}.bat ← used to delete itself; deleted afterwards

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

スパイウェアは、以下のプロセスにコードを組み込みます。

• explorer.exe

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{string1}{string2} = "%Application Data%\{string1}{string2}\{string1}{string2}.exe"

他のシステム変更

スパイウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}
Vars =

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}
Files =

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}
Config =

スパイウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}
{UID} = "{hex value}"

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}
{Value Name} = "{data}"

• Main
• Block
• Temp
• Client
• Ini
• Keys
• Scr
• LastTask
• LastConfig
• CrHook
• OpHook
• Exec
• TorClient
• TorCrc
• Install

作成活動

スパイウェアは、収集した情報を保存するために以下のファイルを作成します。

• %User Temp%\{random filename}.bin

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

情報漏えい

スパイウェアは、以下の情報を収集します。

• Computer Name
• Digital Certificates
• Cookies
• Keyboard Logs
• Clipboard Logs
• Captured Screenshot
• Email Credentials
• Running processes and services
• Installed device drivers
• Installed Programs
• System Information (Please see notes for more details)
• IP Address

その他

スパイウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• http://si{BLOCKED}is.com:443
• http://b{BLOCKED}o.com:443

＜補足＞
インストール

スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成し、実行します。

• %Application Data%\{string1}{string2}\{string1}{string2}.exe
  ※{string1} = システムディレクトリにあるDLLファイル名の最初の４文字
  {string2} = システムディレクトリにあるDLLファイル名の末尾の４文字

スパイウェアは、以下のファイルを作成し実行します。このファイルは、自身を削除するために利用され、後に削除されます。

• %User Temp%\{ランダムなフォルダ名}\{ランダムなファイル名}.bat

スパイウェアは、以下のレジストリ値を追加します。

• HKEY_CURRENT_USER\Software\AppDataLow\ Software\Microsoft\{GUID} {UID} = "{hex value}"
• HKEY_CURRENT_USER\Software\AppDataLow\ Software\Microsoft\{GUID} {Value Name} = "{data}"
  ※{Value Name} には、以下のいずれかがあてはまります。
  • Main
  • Block
  • Temp
  • Client
  • Ini
  • Keys
  • Scr
  • LastTask
  • LastConfig
  • CrHook
  • OpHook
  • Exec
  • TorClient
  • TorCrc
  • Install

作成活動

スパイウェアは、収集した情報を保存するために以下のファイルを作成します。

• %User Temp%\{ランダムなファイル名}.bin

情報漏えい

スパイウェアは、以下の情報を収集します。

• コンピュータ名
• デジタル証明書
• クッキー情報
• キー入力操作情報
• クリップボードの記録
• スクリーンショットの取得
• Eメールの認証情報
• 実行中のプロセスおよびサービス
• インストールされたデバイスドライバ
• インストールされたプログラム
• コンピュータ情報（詳細は「その他」を参照してください）
• IPアドレス

その他

スパイウェアは、以下を実行します。

• 窃取した情報をファイルに保存およびアップロード
• インターネット閲覧の監視
• 対象のプロセスのAPIをフック
• Mozilla FirefoxのSPDYプロトコルの無効化
• スパイウェアは、プラグ アンド プレイ デバイスで以下の文字列を確認することで、自身が仮想環境またはサンドボックス下で実行されているかを確認し、確認された場合は自身を終了します。
  • vbox
  • qemu
  • vmware
  • virtual hd
• 以下のコマンドの実行
  • cmd.exe /C "%Application Data%\{string1}{string2}\{string1}{string2}.exe" "{Executed Malware Directory}"
• 情報収集を目的とした以下のコマンドの実行
  • systeminfo.exe
  • tasklist.exe /SVC
  • driverquery.exe
  • reg.exe query 
  • "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall"
  • cmd /C "net view >> "%User Temp%\{random filename}.bin1"
  • cmd /C nslookup 127.0.0.1 >>"%User Temp%\{random filename}.bin1" %User Temp%\{random filename}.bin1 & del %User Temp%\{random filename}.bin1"

注：

スパイウェアは、自身が仮想マシンまたはサンドボックスで実行されていることを確認した場合、次のメッセージボックスを表示します。

ファイル”systeminfo.exe”は、以下のコンピュータの情報を返します。

• ホスト名
• オペレーティングシステム（OS）の名称、バージョン、 製造元
• 環境設定およびビルドタイプ
• 登録されている所有者および組織
• 製品ID
• 最初にOSがインストールされた日
• システム起動時間
• コンピュータの製造元、モデルおよびタイプ
• プロセッサ
• BIOS バージョン
• Windows およびシステム のディレクトリ
• 起動デバイス
• システムおよび入力ロケール
• タイムゾーン
• 総メモリ容量および利用可能なメモリ容量
• 仮想メモリの情報 (最大、利用可能、使用中)
• ページ ファイルの場所
• ドメイン
• ログオンサーバ
• ホットフィックス
• ネットワークカード