TSPY_URSNIF.YNV
Windows
![](/vinfo/imgFiles/JPlegend.jpg)
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
はい
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。 マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成し実行します。
- %Application Data%\SoftwareProtectionPlatform\sppc.exe
- %System%\sppsrv.exe
(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)
マルウェアは、以下のフォルダを作成します。
- %Application Data%\SoftwareProtectionPlatform
(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.)
他のシステム変更
マルウェアは、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
dumpdsvr = "%Application Data%\SoftwareProtectionPlatform\sppc.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\sppsrv
Type = 10
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\sppsrv
Start = 2
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\sppsrv
ErrorControl = 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\sppsrv
ImagePath = "%System%\sppsrv.exe -s"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\sppsrv
DisplayName = "Windows Software Protection"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\sppsrv
DependOnService = RPCSS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\sppsrv
DependOnGroup = 0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\sppsrv
ObjectName = LocalSystem
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\sppsrv
Description = "This Windows service enables the download, installation and enforcement of digital licenses for Windows and Windows applications. If the service is disabled, the operating system and licensed applications may run in a notification mode. It is strongly recommended that you not disable the Software Protection service."
モバイル端末を狙う不正プログラムの不正活動
マルウェアは、以下の不正なWebサイトにアクセスします。
- http://{BLOCKED}ih.com/pki/mscorp/crl/msitwww2.crl