• Email
• Facebook
• Twitter
• Google+
• Linkedin

TSPY_DYRE.CX

---

• マルウェアタイプ: スパイウェア
• 破壊活動の有無: なし
• 暗号化:  
• 感染報告の有無: はい

---

  概要

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェアは、実行後、自身を削除します。

---

  詳細

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %AppDataLocal%\{random filename}.exe (for Windows Vista and above)
• %Windows%\{random filename}.exe (for Windows XP and below)

(註：%AppDataLocal%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local" です。. %Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

自動実行方法

スパイウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ge
ImagePath = "%Windows%\{random filename}.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ge
DisplayName = "Google Update"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ge
Start = "2"

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
GoogleUpdate = "%AppDataLocal%\{random filename}.exe" (for Windows Vista and above)

他のシステム変更

スパイウェアは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ge (for Windows XP and below)

作成活動

スパイウェアは、以下のファイルを作成します。

• %System%\config\systemprofile\Application Data\bq5uzce1f3.dll (for Windows XP and below)
• %AppDataLocal%\bq5uzce1f3.dll (for Windows Vista and above)

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %AppDataLocal%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local" です。)

その他

スパイウェアは、以下の不正なWebサイトにアクセスします。

• {BLOCKED}.{BLOCKED}.186.106:443
• {BLOCKED}.{BLOCKED}.20.145:4443
• {BLOCKED}.{BLOCKED}.121.140:443
• {BLOCKED}.{BLOCKED}.122.31:443
• {BLOCKED}.{BLOCKED}.131.104:4443
• {BLOCKED}.{BLOCKED}.249.18:443
• {BLOCKED}.{BLOCKED}.53.23:443
• {BLOCKED}.{BLOCKED}.102.233:443
• {BLOCKED}.{BLOCKED}.167.4:443
• {BLOCKED}.{BLOCKED}.172.200:443
• {BLOCKED}.{BLOCKED}.146.91:4443
• {BLOCKED}.{BLOCKED}.255.199:4443
• {BLOCKED}.{BLOCKED}.189.92:443
• {BLOCKED}.{BLOCKED}.191.222:443
• {BLOCKED}.{BLOCKED}.191.70:443
• {BLOCKED}.{BLOCKED}.5.241:443
• {BLOCKED}.{BLOCKED}.19.156:443
• {BLOCKED}.{BLOCKED}.80.111:443
• {BLOCKED}.{BLOCKED}.76.194:443
• {BLOCKED}.{BLOCKED}.214.40:4443
• {BLOCKED}.{BLOCKED}.138.75:443
• {BLOCKED}.{BLOCKED}.139.42:4443
• {BLOCKED}.{BLOCKED}.170.81:443
• {BLOCKED}.{BLOCKED}.38.6:4443
• {BLOCKED}.{BLOCKED}.20.98:4443
• {BLOCKED}.{BLOCKED}.2.165:443
• {BLOCKED}.{BLOCKED}.230.117:443
• {BLOCKED}.{BLOCKED}.181.148:4443
• {BLOCKED}.{BLOCKED}.77.203:443
• {BLOCKED}.{BLOCKED}.25.136:4443
• {BLOCKED}.{BLOCKED}.223.146:4443
• {BLOCKED}.{BLOCKED}.197.166:4443
• {BLOCKED}.{BLOCKED}.37.42:4443
• {BLOCKED}.{BLOCKED}.91.127:4443
• {BLOCKED}.{BLOCKED}.124.76:443
• {BLOCKED}.{BLOCKED}.145.138:4443
• {BLOCKED}.{BLOCKED}.48.221:443
• {BLOCKED}.{BLOCKED}.156.103:443
• {BLOCKED}.{BLOCKED}.145.140:443
• {BLOCKED}.{BLOCKED}.18.136:443
• {BLOCKED}.{BLOCKED}.204.113:443
• {BLOCKED}.{BLOCKED}.65.224:4443
• {BLOCKED}.{BLOCKED}.220.102:4443
• {BLOCKED}.{BLOCKED}.197.77:4443
• {BLOCKED}.{BLOCKED}.70.129:443
• {BLOCKED}.{BLOCKED}.239.98:4443
• {BLOCKED}.{BLOCKED}.17.201:4443
• {BLOCKED}.{BLOCKED}.97.45:443
• {BLOCKED}.{BLOCKED}.97.54:443
• {BLOCKED}.{BLOCKED}.97.66:443
• {BLOCKED}.{BLOCKED}.216.5:4443
• {BLOCKED}.{BLOCKED}.2.169:443
• {BLOCKED}.{BLOCKED}.194.202:443
• {BLOCKED}.{BLOCKED}.206.202:443
• {BLOCKED}.{BLOCKED}.48.29:4443

スパイウェアは、実行後、自身を削除します。

スパイウェアが作成する以下のファイルは、Windows Vistaおよびそれ以上のバージョンの場合作成されます。

• %AppDataLocal%\{random filename}.exe
• %AppDataLocal%\bq5uzce1f3.dll

スパイウェアが作成する以下のファイルは、Windows XPおよびそれ以下のバージョンの場合作成されます。

• %Windows%\{random filename}.exe
• %System%\config\systemprofile\Application Data\bq5uzce1f3.dll

---

  対応方法

ご利用はいかがでしたか？　アンケートにご協力ください