TSPY_DYRE.YUYBM
PWS:Win32/Dyzap.N (Microsoft); Trojan.Dyre (Malwarebytes); Gen:Variant.Dyreza.4 (BitDefender); Trojan.Win32.Staser.bcwb (Kaspersky)
Windows
- マルウェアタイプ: スパイウェア
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
スパイウェアは、実行後、自身を削除します。
詳細
侵入方法
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %AppDataLocal%\{random filename}.exe (for Windows Vista and above)
- %Windows%\{random filename}.exe (for Windows XP and below)
(註:%AppDataLocal%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local" です。. %Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)
自動実行方法
スパイウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\googleupdate
ImagePath = "%Windows%\{random filename}.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\googleupdate
DisplayName = "Google Update Service"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\googleupdate
Start = "2"
スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
GoogleUpdate = "%AppDataLocal%\{random filename}.exe" (for Windows Vista and above)
他のシステム変更
スパイウェアは、以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\googleupdate (for Windows XP and below)
作成活動
スパイウェアは、以下のファイルを作成します。
- %System%\config\systemprofile\Application Data\nw9vbe82n1.dll (for Windows XP and below)
- %AppDataLocal%\nw9vbe82n1.dll (for Windows Vista and above)
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %AppDataLocal%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local" です。)
その他
スパイウェアは、以下の不正なWebサイトにアクセスします。
- {BLOCKED}.246.112.24:443
- {BLOCKED}.195.193.131:443
- {BLOCKED}.86.177.105:443
- {BLOCKED}.87.212.246:443
- {BLOCKED}.249.61.139:443
- {BLOCKED}.105.34.153:443
- {BLOCKED}.120.40.82:443
- {BLOCKED}.122.236.40:4443
- {BLOCKED}.137.0.64:443
- {BLOCKED}.18.172.215:4443
- {BLOCKED}.30.40.44:4443
- {BLOCKED}.31.53.7:443
- {BLOCKED}.165.229.209:443
- {BLOCKED}.165.229.209:4443
- {BLOCKED}.165.239.151:443
- {BLOCKED}.165.239.151:4443
- {BLOCKED}.228.149.47:443
- {BLOCKED}.191.175.202:443
- {BLOCKED}.131.138.151:4443
- {BLOCKED}.131.138.33:4443
- {BLOCKED}.131.143.37:4443
- {BLOCKED}.202.233.138:4443
- {BLOCKED}.151.254.183:443
- {BLOCKED}.151.48.166:443
- {BLOCKED}.63.100.27:443
- {BLOCKED}.63.103.236:443
- {BLOCKED}.63.97.115:4443
- {BLOCKED}.63.97.144:443
- {BLOCKED}.63.97.196:443
- {BLOCKED}.63.97.216:443
- {BLOCKED}.63.98.147:4443
- {BLOCKED}.63.98.170:4443
- {BLOCKED}.63.98.171:4443
- {BLOCKED}.63.98.190:443
- {BLOCKED}.63.98.207:443
- {BLOCKED}.63.98.249:443
- {BLOCKED}.63.98.95:443
- {BLOCKED}.162.109.242:443
- {BLOCKED}.87.98.91:443
- {BLOCKED}.120.246.111:443
- {BLOCKED}.234.34.137:443
- {BLOCKED}.251.250.93:443
- {BLOCKED}.162.110.204:4443
- {BLOCKED}.208.52.146:443
- {BLOCKED}.112.57.205:443
- {BLOCKED}.236.224.45:443
- {BLOCKED}.236.228.155:443
- {BLOCKED}.66.249.207:443
- {BLOCKED}.105.249.177:4443
- {BLOCKED}.174.109.116:443
- {BLOCKED}.196.99.217:443
- {BLOCKED}.238.74.70:443
- {BLOCKED}.242.52.191:443
- {BLOCKED}.242.52.192:443
- {BLOCKED}.242.53.132:443
- {BLOCKED}.242.53.142:4443
- {BLOCKED}.242.53.79:443
- {BLOCKED}.242.54.100:4443
- {BLOCKED}.72.177.142:4443
- {BLOCKED}.231.114.243:443
- {BLOCKED}.231.178.46:4443
- {BLOCKED}.45.41.34:4443
- {BLOCKED}.154.91.230:443
- {BLOCKED}.67.88.84:4443
スパイウェアは、実行後、自身を削除します。
対応方法
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TSPY_DYRE.YUYBM」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください