Trend Micro Security

CIMUZ

2013年9月4日
 別名:

Insebro, BHO

 プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 危険度:
 感染確認数:
 システムへの影響:
 情報漏えい:


  • マルウェアタイプ: スパイウェア
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要

感染経路 インターネットからのダウンロード

「CIMUZ」ファミリは、パスワード、ログイン認証情報や金融関連情報を収集するためのBrowser Helper Object(BHO)をインストールするために利用されます。

スパイウェアは、レジストリキーおよびレジストリ値を追加し、自身をBrowser Helper Object(BHO)として登録します。これにより、Internet Explorer(IE)が起動するとスパイウェアが自動実行されます。

  詳細

メモリ常駐 はい
ペイロード 情報収集

インストール

スパイウェアは、以下のファイルを作成します。

  • %System%\iebho.dll

(註:%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)

自動実行方法

スパイウェアは、以下のレジストリキーおよびレジストリ値を追加し、自身をBHOとして登録します。これにより、IEが起動するとスパイウェアが自動実行されます。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Browser Helper Objects\{D032570A-5F63-4812-A094-87D007C23012}

HKEY_CURRENT_USER\Software\AppDataLow

HKEY_CURRENT_USER\Software\AppDataLow\
BHOinit
url = "http://{BLOCKED}ckupforu.com/dgabbana/"

HKEY_CURRENT_USER\Software\AppDataLow\
BHOinit
url2 = “http://{BLOCKED}ckupforu.com/dgabbana/"

HKEY_CURRENT_USER\Software\AppDataLow\
BHOinit
url = "http://{BLOCKED}forsafedd.com/pickit/”

HKEY_CURRENT_USER\Software\AppDataLow\
BHOinit
url2 = "http://{BLOCKED}forsafedd.com/pickit/”

HKEY_CURRENT_USER\Software\AppDataLow\
BHOinit
url = "http://{BLOCKED}ckupforu.com/gabbanauk/”

HKEY_CURRENT_USER\Software\AppDataLow\
BHOinit
url2 = "http://{BLOCKED}ckupforu.com/gabbanauk/”

HKEY_CURRENT_USER\Software\AppDataLow\
BHOinit
url = "http://{BLOCKED}evinovat.com/pteradaptelfan/"

HKEY_CURRENT_USER\Software\AppDataLow\
BHOinit
url2 = "http://{BLOCKED}evinovat.com/pteradaptelfan/"

他のシステム変更

スパイウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_CLASSES_ROOT\CLSID\{D032570A-5F63-4812-A094-87D007C23012}\
InprocServer32
@ = "%System%\iebho.dll"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{D032570A-5F63-4812-A094-87D007C23012}\InprocServer32
@ = "%System%\iebho.dll"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Main
Enable Browser Extensions = "yes"

スパイウェアは、インストールの過程で、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{D032570A-5F63-4812-A094-87D007C23012}

HKEY_CLASSES_ROOT\CLSID\{D032570A-5F63-4812-A094-87D007C23012}

その他

スパイウェアは、以下の不正なWebサイトにアクセスします。

  • http://{BLOCKED}ickupforu.com/dgabbana/
  • http://{BLOCKED}ickupforu.com/gabbanauk/
  • http://{BLOCKED}iickupforu.com/dgabbana/
  • http://{BLOCKED}iickupforu.com/gabbanauk/
  • http://{BLOCKED}upforsafedd.com/pickit/
  • http://{BLOCKED}pforsafedd.com/pickit/
  • http://{BLOCKED}nevinovat.com/pteradaptelfan/
  • http://{BLOCKED}evinovat.com/pteradaptelfan/

  対応方法

対応検索エンジン: 9.300

トレンドマイクロのお客様:

    最新のバージョン(パターンファイル および エンジン)を導入したセキュリティ対策製品を用い、ウイルス検索を実行してください。検出したファイルはすべて「削除」し、検出したウイルスはすべて「駆除」してください。削除対象となるファイルには、トロイの木馬型マルウェアやスクリプト系、上書き感染型ウイルス(overwriting virus)、ジョーク・プログラムなど「駆除」できないマルウェアがあげられ、これらのファイルを検出した場合は、すべて「削除」してください。

インターネットをご利用の皆様:

  • トレンドマイクロの「オンラインスキャン」を使って、あなたの PC がウイルスに侵されていないかどうかを簡単にチェックすることが可能です。オンラインスキャンはあなたのコンピュータの中に不正なプログラムが存在するかどうかをチェックします。
  • 今日、PCやネットワークをセキュリティ上の脅威から守り、安全なIT環境を維持するためには、セキュリティ製品を活用することが最も有効な方法となっています。トレンドマイクロは、一般の個人ユーザだけでなく、企業ユーザやインターネット・サービス・プロバイダ(ISP)向けに、ウイルス対策製品やコンテンツセキュリティ対策をご提供しています。トレンドマイクロの製品・サービスについては、こちらをご参照ください。


ご利用はいかがでしたか? アンケートにご協力ください