BEBLOH
Bebloh, Bublik
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
- マルウェアタイプ: スパイウェア
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
「BEBLOH」の亜種は、自身の環境設定ファイル内に表示された金融機関に関連するURLを監視し、同様に感染したコンピュータからFTPの認証情報を収集します。
ダウンロードが成功した場合、マルウェアは、銀行口座からログイン認証情報および金銭を窃取し、アカウントページを操作して勘定残高に変化はなしと表示させます。
マルウェアは、IPアドレスやオペレーティングシステム(OS)のバージョン、ハードウェアID、Windows のアドレス帳(WABファイル)に保存されているEメールアドレスといったコンピュータの情報を収集する可能性があります。
詳細
インストール
スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %System%\{random file name}.exe
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)
自動実行方法
スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
userinit.exe
Debugger = "%System%\{random file name}.exe"
他のシステム変更
スパイウェアは、以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\
5.0\203E7401
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
userinit.exe
スパイウェアは、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\
5.0\203E7401
Default = "{XOR encrypted configuration file URLs}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\
5.0\203E7401
BC59 = "0"
スパイウェアは、以下のレジストリ値を変更します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\3
1609 = "0"
(註:変更前の上記レジストリ値は、「1」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\
Cache\Paths
Directory = "%System%\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5"
(註:変更前の上記レジストリ値は、「%Temporary Internet Files%\Content.IE5」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\
Cache\Paths\path1
CachePath = "%System%\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\Cache1"
(註:変更前の上記レジストリ値は、「%Temporary Internet Files%\Content.IE5\Cache1」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\
Cache\Paths\path2
CachePath = "%System%\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\Cache2"
(註:変更前の上記レジストリ値は、「%Temporary Internet Files%\Content.IE5\Cache2」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\
Cache\Paths\path3
CachePath = "%System%\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\Cache3"
(註:変更前の上記レジストリ値は、「%Temporary Internet Files%\Content.IE5\Cache3」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\
Cache\Paths\path4
CachePath = "%System%\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\Cache4"
(註:変更前の上記レジストリ値は、「%Temporary Internet Files%\Content.IE5\Cache4」となります。)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Hardware Profiles\0001\Software\
Microsoft\windows\CurrentVersion\
Internet Settings
ProxyEnable = "0"
(註:変更前の上記レジストリ値は、「1」となります。)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Hardware Profiles\Current\Software\
Microsoft\windows\CurrentVersion\
Internet Settings
ProxyEnable = "0"
(註:変更前の上記レジストリ値は、「1」となります。)
HKEY_CURRENT_CONFIG\Software\Microsoft\
windows\CurrentVersion\Internet Settings
ProxyEnable = "0"
(註:変更前の上記レジストリ値は、「1」となります。)
HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Explorer\Shell Folders
Cookies = "%System%\config\systemprofile\Cookies"
(註:変更前の上記レジストリ値は、「%System Root%\Documents and Settings\NetworkService\Cookies」となります。)
HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Explorer\Shell Folders
Cache = "%System%\config\systemprofile\Local Settings\Temporary Internet Files"
(註:変更前の上記レジストリ値は、「%System Root%\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files」となります。)
HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Explorer\Shell Folders
History = "%System%\config\systemprofile\Local Settings\History"
(註:変更前の上記レジストリ値は、「%System Root%\Documents and Settings\NetworkService\Local Settings\History」となります。)
情報漏えい
スパイウェアは、以下の情報を収集します。
- IP address
- OS version
- Socks port
- UAC configuration
- Hardware ID
- Email addresses in WAB
その他
スパイウェアは、以下のWebサイトにアクセスしてインターネット接続を確認します。
- www.google.com
スパイウェアは、以下の不正なWebサイトにアクセスします。
- http://{BLOCKED}.{BLOCKED}.125.134/smp/inx.php
- http://{BLOCKED}.{BLOCKED}.127.227
- http://{BLOCKED}i.net
- http://{BLOCKED}bet.{BLOCKED}c.com/f/t.php
- http://{BLOCKED}nvrein.{BLOCKED}s.net/f/t.php
- http://{BLOCKED}c.com
- http://{BLOCKED}x.com
- http://{BLOCKED}eun.{BLOCKED}ame.com
- http://{BLOCKED}m.net
- http://{BLOCKED}.net
- http://{BLOCKED}uhegy.{BLOCKED}3.com/f/t.php
- http://{BLOCKED}rew.net
- http://{BLOCKED}.net
- http://{BLOCKED}ubihegs.{BLOCKED}ame.com
- http://{BLOCKED}t.com
- http://{BLOCKED}r.net
スパイウェアが収集する情報は以下のとおりです。
- IPアドレス
- オペレーティングシステム(OS)のバージョン
- SOCKSのポート
- ユーザーアカウント制御(UAC)の環境設定
- ハードウェアID
- Windows のアドレス帳(WABファイル)に保存されているEメールアドレス
作成される自身のコピーに利用されるファイル名は、ランダムな文字を組み合わせた以下の文字列を含む可能性があります。
- def
- dns
- exec
- hlp
- logon
- mem
- mixer
- mon
- pack
- play
- setup
- srv
- user
- video
- win
マルウェアは、ファイル名として単にランダムな文字セットを利用する可能性もあります。
対応方法
トレンドマイクロのお客様:
最新のバージョン(パターンファイル および エンジン)を導入したセキュリティ対策製品を用い、ウイルス検索を実行してください。検出したファイルはすべて「削除」し、検出したウイルスはすべて「駆除」してください。削除対象となるファイルには、トロイの木馬型マルウェアやスクリプト系、上書き感染型ウイルス(overwriting virus)、ジョーク・プログラムなど「駆除」できないマルウェアがあげられ、これらのファイルを検出した場合は、すべて「削除」してください。
インターネットをご利用の皆様:
- トレンドマイクロの「オンラインスキャン」を使って、あなたの PC がウイルスに侵されていないかどうかを簡単にチェックすることが可能です。オンラインスキャンはあなたのコンピュータの中に不正なプログラムが存在するかどうかをチェックします。
- 今日、PCやネットワークをセキュリティ上の脅威から守り、安全なIT環境を維持するためには、セキュリティ製品を活用することが最も有効な方法となっています。トレンドマイクロは、一般の個人ユーザだけでなく、企業ユーザやインターネット・サービス・プロバイダ(ISP)向けに、ウイルス対策製品やコンテンツセキュリティ対策をご提供しています。トレンドマイクロの製品・サービスについては、こちらをご参照ください。
ご利用はいかがでしたか? アンケートにご協力ください