TSPY_DYRE.YYYI

2015年2月13日

解析者: Michelle Morales

更新者 : RonJay Kristoffer Caragay

別名:

PWS:Win32/Dyzap (Microsoft), Win32/Battdil.I (ESET), Trojan.Win32.Staser.awtf (Kaspersky), Infostealer.Dyranges (Symantec)

プラットフォーム:

Windows

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ: スパイウェア
破壊活動の有無: なし
暗号化: はい
感染報告の有無: はい

概要

感染経路インターネットからのダウンロード, 他のマルウェアからの作成

スパイウェアは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。

スパイウェアは、特定のWebサイトにアクセスし、情報を送受信します。スパイウェアマルウェアは、自身（コンピュータに侵入して最初に自身のコピーを作成したスパイウェア）を削除します。

詳細

ファイルサイズ 420,352 bytes

タイプ EXE

メモリ常駐はい

発見日 2015年1月22日

ペイロード URLまたはIPアドレスに接続

侵入方法

スパイウェアは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。

インストール

スパイウェアは、感染コンピュータのOSに応じて以下のファイルを作成します。

%AppDataLocal%\f5e83w4ef.dat (For Windows Vista and above)
%System%\config\systemprofile\Application Data\f5e83w4ef.dat (For Windows XP and below)

(註：%AppDataLocal%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local" です。. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

スパイウェアは、感染コンピュータのOSに応じて、以下のように自身のコピーを作成します。

%Windows%\{random file name}.exe (For Windows XP and below)
%AppDataLocal%\{random file name}.exe (For Windows Vista and above)

(註：%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.. %AppDataLocal%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local" です。)

スパイウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

Global\zx5fwtw4ep

スパイウェアは、以下のプロセスにコードを組み込みます。

explorer.exe
svchost.exe

自動実行方法

スパイウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\googleupdate
ImagePath = "%Windows%\{random file name}.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\googleupdate
DisplayName = "Google Update Service"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\googleupdate
Start = "2"

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
GoogleUpdate = "%AppDataLocal%\{random file name}.exe" (For Windows Vista and above)

スパイウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\googleupdate (For Windows XP and below)

情報漏えい

スパイウェアは、以下の情報を収集します。

Host Name
Public IP Address
OS Version
User Name
Computer Name
OS platform
Installed programs

その他

スパイウェアは、以下のWebサイトにアクセスしてインターネット接続を確認します。

google.com
microsoft.com

スパイウェアは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。

http://icanhazip.com

スパイウェアは、以下のWebサイトにアクセスし、情報を送受信します。

http://{BLOCKED}.{BLOCKED}.40.51:443
http://{BLOCKED}.{BLOCKED.42.201:443
http://{BLOCKED}.{BLOCKED.34.20:443
http://{BLOCKED}.{BLOCKED.34.20:4443
http://{BLOCKED}.{BLOCKED.245.130:443
http://{BLOCKED}.{BLOCKED.245.130:4443
http://{BLOCKED}.{BLOCKED.156.26:443
http://{BLOCKED}.{BLOCKED.184.4:443
http://{BLOCKED}.{BLOCKED.89.161:443
http://{BLOCKED}.{BLOCKED.239.153:443
http://{BLOCKED}.{BLOCKED.116.160:443
http://{BLOCKED}.{BLOCKED.116.160:4443
http://{BLOCKED}.{BLOCKED.199.80:443
http://{BLOCKED}.{BLOCKED.22.45:443
http://{BLOCKED}.{BLOCKED}.22.45:4443

スパイウェアは、自身（コンピュータに侵入して最初に自身のコピーを作成したスパイウェア）を削除します。

スパイウェアは、感染コンピュータのOSが、Windows Vistaおよびそれ以上の場合、以下のファイルを作成します。

%AppDataLocal%\f5e83w4ef.dat

スパイウェアは、感染コンピュータのOSが、Windows XPおよびそれ以下の場合、以下のファイルを作成します。

%System%\config\systemprofile\Application Data\f5e83w4ef.dat

スパイウェアは、感染コンピュータのOSが、Windows XPおよびそれ以下の場合、以下の自身のコピーを作成します。

%Windows%\{random file name}.exe

スパイウェアは、感染コンピュータのOSが、Windows Vistaおよびそれ以上の場合、以下の自身のコピーを作成します。

%AppDataLocal%\{random file name}.exe

スパイウェアが収集する情報は、以下のとおりです。

ホスト名
公開IPアドレス
OSのバージョン
ユーザ名
コンピュータ名
OSのプラットフォーム
インストールされたプログラム

スパイウェアは、以下のWebブラウザを監視します。

chrome.exe
firefox.exe
iexplore.exe

以下のいずれかを含むURLを持つ銀行／ビットコインのログインページへ不正なコードの挿入することにより、重要な銀行/ビットコインの情報が収集されます。

*cm.netteller.com/login2008/Authentication/Views/favicon.ico[?]*
*.ebanking-services.com/EamWeb/account/login.aspx*
*.com/bbw/cmserver/welcome/default/verify.cfm*
*.com/pub/html/login.html*
*.blilk.com/Core/Authentication/MFA*
*.com/CorporateBankingWeb/Core/Login.aspx*
*.com/SPF/Login/Auth.aspx*
*.com/fi*/*/logon*
secure.mercbank.com/mercantilebankofmichiganonline_35/Authentication/Login.aspx
www.bankline.natwest.com/CWSLogon/logon.do*
www.bankline.rbs.com/
www.bankline.ulsterbank.ie/
www.business.hsbc.co.uk
online.bankofscotland.co.uk/personal/logon/login.jsp*
www.rbsdigital.com/login.aspx*
lloydslink.online.lloydsbank.com/Logon/Logon.jsp*
www.ulterbankanytimebanking.ie/default.aspx*
banking.bankofscotland.co.ul/Logon/Logon.aspx*
businessaccess.citibasnk.citigroup.com/cbusol/signon.do*
www6.rbc.com/webapp/ukv0/signin/logon.xhtml*
wellsoffice.wellsfargo.com/ceoportal/signon/index.jsp*
access.jpmorgan.com/jpmalogon*
usgateway.rbs.com/wps/portal/cb/applications*
commercial.bnc.ca/auth/Login*
online-business.bankofscotland.co.uk/business/logon/login.jsp*
ebanking2.danskebank.co.uk/pub/logon/logon.aspx*
businessbankingcpo.tdcommercialbanking.com/WBB/LoginDisplay*
cityntl.webcashmgmt.com/wcmfd/wcmpw/CustomerLogin*
www.treasury.pncbank.com/idp/esec/login.ht*
www.frostcashmanager.com/CASHplus/*
www8.comerica.com/pkmslogin.form*
secureentrycorp.amegybank.com*
secureentrycorp.calbanktrust.com*
secureentrycorp.nsbank.com*
secureentrycorp.zionsbank.com*
www.fcsolb.com/cb/pages/jsp-ns/login.jsp*
business2.danskebank.co.uk/pub/logon/logon.aspx*
online.coutts.com/eBankingCouttsLogin/login*
business.co-operativebank.co.uk/*
login.salesforce.com/*
www.natwestibanking.com/eai/IPB_EAI_Web/customerNumber.do*
online.adambank.com/eBankingAdamLogin/login*
fdonline.co-operativebank.co.uk/corp/BANKAWAY*
home2.cybusinessonline.co.uk/lmgruV8/ceblm-web/login.ctl*
home1.ybonline.co.uk/raluV8/reglm-web/login.ctl*
businessonline.mutualofomahabank.com/cb/pages/jsp-ns/login.jsp*
business-eb.ibanking-services.com/K1/index.jsp*
www.iombankibanking.com/eai/IPB_EAI_Web/eai*
www.rbsiibanking.com/ipb/IPB_Client_Web/Start.do*
www1.rbcbankusa.com/cgi-bin/rbaccess/rbunxcgi*
login.isso.db.com/websso/sso_multi_auth_Logon.sso*
www.onlinebanking.iombank.com/default.aspx*
bank.barclays.co.uk/olb/auth/LoginLink.action*
www.rbsidigital.com/default.aspx*
www.corporate-clients.commerzbank.com/S-Portal/SHTML/cdir2/companydirectportal/pgf.html*
www.onlinebanking.natwestoffshore.com/default.aspx*
tdetreasury.tdbank.com/s1gcb/logon/sbuser*
achieveaccess.charterone.com/exchange/basic/authentication*
express.53.com/portal/auth/login/Login*
www22.bmo.com/ctpauth/CTPEAILogin/CustUserPasswordAuthServlet*
e-access.compassbank.com/bbw/cmserver/welcome/default/verify.cfm*
ht.businessonlinepayroll.com/SPF/login/ee_auth.aspx*
webcmpr.bancopopular.com/K1*
www.svbconnect.com/auth*
charisma.btdirect.ro/CharismaWEB/_Public/Login.aspx*
ibusinessbanking.aib.ie/ibb/controller*
aibinternetbanking.aib.ie/inet/roi/login.htm*
business.santander.co.uk/LGSBBI_NS_ENS/BtoChannelDriver.ssobto*
retail.santander.co.uk/LOGSUK_NS_ENS/BtoChannelDriver.ssobto*
corporate.santander.co.uk/LOGSCU_NS_ENS/BtoChannelDriver.bto*
www.internationalpayments.co.uk/*
leumionline.bankleumi.co.uk/my.policy*
www.caterallenonline.co.uk/*
bolpp.bankofireland.com/Commercial*
personal.co-operativebank.co.uk/CBIBSWeb/start.do*
www.boi-bol.com/newHome.jsp*
cbfm.saas.cashfac.com/cbfm/Logon.aspx*
www.ingonline.com/ro/!UPR.Dispatcher*
onlinebusiness.lloydsbank.co.uk/business/logon/login.jsp*
alolb1.arbuthnotlatham.co.uk/IB/Online*
online.hoaresbank.co.uk/fi11512/bb/logon*
butterfieldonline.co.uk/*
www.asbolb.com/servlet/ASB.ASBServlet*
online.ybs.co.uk/public/authentication/login1.do*
www.kbinternetbanking.com/*
ibank.reliancebankltd.com/logon.aspx*
online.duncanlawrie.com/InternetBanking/faces/mdi/login.jsp*
esavings.shawbrook.co.uk/BankFast/Shawbrook*
bureau.bottomline.co.uk/unity/index.aspx*
ibb.firsttrustbank1.co.uk/ibb/controller*
www1.firstdirect.com/1/2/!ut/p/c5/04_SB8K8xLLM9MSSzPy8xBz9CP0os3gDgzAfSycDUy8LAzNDbz8vbzMDKADKR5rFO7s7epiY-wD5YZ6uBp4mTiYGpr5uhgaexmDdFibeBn7enkEuBs4ejiYeHkGGMN0FuaGKAPRSfDc!*
netbanking.ubluk.com/Login/Index*
ibank.zenith-bank.co.uk/internetbanking/index.jsp*
ibank.gtbankuk.com/Gaps_UK/Default.aspx*
online.bankofcyprus.co.uk/netteller/login.faces*
banking.ireland-bank.com/IrelandBankOnline_303/Authentication/Login.aspx*
bankofirelandlifeonline.ie/*
secure.handelsbanken.com/bb/glss/servlet/prelogon*
dashboard.gocoin.com/login*
www.365online.com/online365/spring/authentication*
online.kbc.ie/kbc-online/onlinebanking/login*
www.open24.ie/online/login.aspx*
business2.danskebank.ie/pub/logon/logon.aspx*
online.ebs.ie/internet/login/index.jsp*
corporate.metrobankonline.co.uk/*
secure2.alphabank.ro/corporate/CorpOTPLoginLangRom.jsp*
ib.btrl.ro/BT24/bfo/channel/web/loginframe.jsp*
btultra.btrl.ro/sign/_mcologon*
fastbanking.bancpost.ro/iBankWeb/login.jsp*
www.brdoffice.ro/smartoffice/_mcologon*
www.ceconline.ro/smartoffice/logon.htm*
ro.unicreditbanking.net/disp*
secure.internetbanking.ro/IBK_SMS/Login/LoginFirstStep.aspx*
net.crediteurope.ro/ibank-cln/do/login/prompt*
www.raiffeisenonline.ro/eBankingWeb/login*
www.raiffeisenonline.ro/*
login.24banking.ro/casserver/login*
www.barclayswealth.com/login/action/logon/unauthenticated/personal/loginDetailsRouting*
s2b.standardchartered.com/ssoapp/login.jsp*
eadibcorp.adib.ae/cb/servlet/cb/jsp-ns/login.jsp*
corporate.adcb.com/corporateWeb/login.do*
www.arabi-online.net/efs/servlet/efs/jsp-ns/login.jsp*
cbionline.cbi.ae/bus/security/Welcome.do*
my.sjpbank.co.uk/Security/Auth/Logon*
my.sjpbank.co.uk/Security/Auth/Logon*
login.smartbusiness.ae/bo-login.jsp*
online.dib.ae/webapplication.ui/localoperations/login/loginpage.aspx*
www.investbank.ae/ibank/loginAction.do*
netbanking.mashreqbank.com/B001/SMELogin.jsp*
online.nbad.com/iportalweb/iportal/jsps/orbilogin.jsp*
rakbankonline.ae/corp/BANKAWAY*
www.noorinternetbanking.com/CWCLIENT/loginClient.action*
secure.membersaccounts.com/SELFSERVICE/login.aspx*
cardonebanking.com/authlogin.aspx
cardonebanking.com/authlogin.aspx?business*
bitpay.com/merchant-login*
safello.com/login*
accounts.expresscoin.com/login*
anxbtc.com/*
blockchain.info/wallet/login*
www.bcv.ch/de*
localbitcoins.com/accounts/login*
bitbargain.co.uk/login*
secure.coinjar.com/users/sign_in*
www.coinbase.com/signin*
cib.uab.ae/*
www.bitstamp.net/account/login*
www.halifax-online.co.uk/personal/logon/login.jsp*
banking.triodos.co.uk/ib-seam/login.seam?loginType=dp550*
banking.triodos.co.uk/ib-seam/login.seam?loginType=username*
ebank.turkishbank.co.uk/Default2.aspx*
nebasilicon.fdecs.com/eCustService/*
infinity.icicibank.co.uk/UKRET/BANKAWAY*
ibank.theaccessbankukltd.co.uk/entry/CorpLoginLang.html*
www.standardlife.co.uk/1/site/uk/login*
apps.virginmoney.com/vmosws/loginWait.do*
ebaer.juliusbaer.com/*
ebanking-ch2.ubs.com/workbench/Index.do*
onlinebanking.bankcoop.ch/*
tb.raiffeisendirect.ch/*
wwwsec.ebanking.zugerkb.ch/authen/login*
wwwsec.valiant.ch/authen/login*
inba.lukb.ch/lukbLogin/*
www.bcv.ch/bcvd-login/authenticateAction.do*
www.bcv.ch/en*
www.bcv.ch/fr*
online.citi.eu/GBIPB/JSO/signon/DisplayUsernameSignon.do*
clients.tilneybestinvest.co.uk/ORM/Login.aspx*
my.hypovereinsbank.de/login*
kunden.commerzbank.de/lp/login*
db-sg.db.com/gen/login/index_4.cfm*
meine.deutsche-bank.de/trxm/db*
www.banking.axa.de/OnlineBankingWebfrontend/banking/common/login.xhtml;jsessionid=F05F46A7333D65031BD6C9B43C062C31*
my.banklenz.de/web/guest/login*
banking.bankhaus-mayer.de/ptlweb/WebPortal*
banking.martinbank.de/*
www.bv-activebanking.de/neelmeyer/loginFormAction.do*
www.bv-activebanking.de/trinkaus/loginFormAction.do*
apps.bhw.de/es600/index.jsp*
extra.unicreditbank.hu/eibpublic_SP/login.en.html*
extra.unicreditbank.hu/eibpublic_SP/login.hu.html*
extra.unicreditbank.hu/eibpublic_SP/login.de.html*
banking.bmwbank.de/s/b2cpws.fcc*
banking.commerzfinanz.com/onlinebanking-cfg/loginFormAction.do*
banking.donner-reuschel.de/index.jsp*
blcweb.banquelaurentienne.ca/lang/fr/BLCDirect*
www.firstmeritib.com/ec/DefaultCorp.aspx*
blcweb.banquelaurentienne.ca/lang/en/BLCDirect*
connect-ch2.ubs.com/workbench/Index.do*
secure.tddirectinvesting.co.uk/webbroker2/login.jsp*
www.youinvest.co.uk/LogIn/username*
www.dab-bank.de/Mein-Konto-Depot/Login*
banking.degussa-bank.de/banking/servlet/com.pagentix.banking.servlet.TopNavigationServlet*
finanzportal.fiducia.de/p01pebe/entry*
www.deutschebank-dbdirect.com/cas/login*
login.isso.db.com/websso/sso_custom_multi_auth_flex_Logon.sso*
db-direct.db.com/u/eb/Login_Main.serv*
www.bv-activebanking.de/dbm/loginFormAction.do*
finanzportal.fiducia.de/p13pepe/entry*
www.asl.com/asl/login/entryFrame.jsp*
banking.ing-diba.de/app/login*
banking.valovisbank.de/portal/*
kunden-mkb-bank.de/*
www.mkbag.de/ptlweb/WebPortal*
financepilot-pe.mlp.de/p13pepe/entry*
banking.nfbank.de/ptlweb/WebPortal*
hbciweb.olb.de/financebrowser5*
banking.oyakankerbank.de/*
www.firstmerit.com/commercial/index.html*
secure.ampbanking.com/au/Logon*
online.multiport.com.au/*
ebanking.schwaebische-bank.de/loginStart.do*
www.anztransactive.anz.com/*
banking.steylerbank.de/ptlweb/WebPortal*
www.anz.com/INETBANK/bankmain.asp*
bbonline.banksa.com.au/html/cbank.asp*
ibs.bankwest.com.au/BWLogin/bib.aspx*
netteller2.tsw.com.au/delphi/ntv451.asp*
businessonline.westpac.com.au/esis/Login/SrvPage*
online.corp.westpac.com.au*
www*.my.commbiz.commbank.com.au/Logon/UserMaintenance/Login.aspx
bbonline.bankofmelbourne.com.au/html/cbank.asp*
ib.banksyd.com.au/*
online.hbs.net.au/hbsv47/ntv471.asp*
www.ib.boq.com.au/boqbl*
banking.lloydsbank.com/Logon/logon.aspx*
www.my.commbank.com.au/netbank/Logon/Logon.aspx*
bank.ruralbank.com.au/banking/RBLIBanking/*
secure.macquarie.com.au/sepas/serve*
nabconnect*.nab.com.au/auth/nabclogin/login.do*
ib.tmbank.com.au/ib/signon/Login.aspx*
www.citibank.com.au/AUGCB/JSO/signon/DisplayUsernameSignon.do*
ap.ebs.bankofchina.com/login.html*
netteller3.pnbank.com.au/InternetBanking/Login.aspx*
secure.defencebank.com.au/daib/logon/cu3205/logon.asp*
online.bankmecu.com.au/daib/logon/cu3140/logon.asp*
private.bankofsingapore.com/Login/Login*
banking.triodos.co.uk/ib-seam/login.seam?lcid=*
fareastnationalbank.ebanking-services.com/EamWeb/account/login.aspx*
velocity.ocbc.com/portal.view*
uniservices2.uobgroup.com/ELO/login.jsp*
sg.bibplus.uobgroup.com/BIB/public*
bbonline.stgeorge.com.au/html/cbank.asp*
internetbanking.suncorpbank.com.au/*
inetbnkp.adelaidebank.com.au/OnlineBanking/AdBank*
secure.anz.co.nz/IBCS/service/login*
www.bnz.co.nz/ib4b/app/login*
bol.westpac.co.nz/s1gcb/logon/sbuser*
www.ib.kiwibank.co.nz/*
www.flexipurchase.com/secure/welcome.asp*
homebank.tsbbank.co.nz/online/*
secure1.rabodirect.co.nz/exp/policyenforcer/pages/loginB2CDGPEN.jsf*
ibank.sbs.net.nz/ui/inetbankindex.aspx*
www.mercantilcbonline.com/secure/banking/logon*
fx.regions.com/esn01/servlet/RSASingleSignOn*
www.bankdirect.co.nz*
bbonline.stgeorge.com.au/html/cbindex.asp*
ideal.dbs.com/loginSubscriber/login/pin.jsp*
internet-banking.dbs.com.sg/IB/Welcome*
www.dbsvonline.com/english/index.asp*
www.superchoice.com.au/amp/*
www.superorganised.com.au/dashboard/login*
portal.northonline.com.au/WealthNET.PortalClient/*
www.postfinance.ch/ap/ba/fp/html/e-finance/home*
ebanking-ch2.ubs.com/workbench/Index.do*
www.ebanking.hsbc.co.nz/1/2/!ut/p/c5/jZBdC4IwGEZ_0vtuI6VLXTitmeGa6G5kiIigMyKK_n3rJrrpg-fynHPzgAE_Z6_jYC_j4uwENZigzYMQOd0yFLwIkJbZmsu4JCJhnjefecn-qkklokxTLEjquUxCKsUBxRF_1Kp3rVawT5e5hwZM-CYr8ZTzjVzFyDhn0Ez9YLv7d0-Rl6cdVG45z_6D06zr205GD_hDJm4!/dl3/d3/L0lJSklna21BL0lKakFBTXlBQkVSQ0pBISEvNEZHZ3NvMFZ2emE5SUFnIS83X002NzBDMkozMEdTRzYwMlJNREw1QjAzQ0MzL0FHVnNUNDc3MjAwMDQ!/*
secure.heartland.co.nz/IB/index.zul*
businesscenter.mysynchrony.com/BusinessCenterPortal*
commerceconnections.commercebank.com*
pfo.us.hsbc.com*
www.us.hsbcprivatebank.com/1/2/PBRSINTEGRATION/gpbus*
cashmanager.mizuhoe-treasurer.com/mz/servlet/SLogin*
www.gecapitalbank.com/gecb/app/login*
www.gemyaccounts.com/myaccounts/Index.html*
connect.bnymellon.com/ConnectLogin/login/LoginPage.jsp*
clientlogin.ibb.ubs.com/login*
www.bendigobank.com.au/banking/BBLIBanking/*
www.hsbc.com.au/1/2/HUB_IDV2/IDV_EPP*
www.citibusiness.citibank.com.sg/SGCBZ/JSO/signon/DisplayUsernameSignon.do*
internet.ocbc.com/internet-banking/*
ibank.standardchartered.com.sg/nfs/login.htm*
fastpay.asbbank.co.nz/Account/LogOn*
www2.secure.hsbcnet.com/uims/portal/IDV_CAM10_AUTHENTICATION;jsessionid=0000Zdar89MHGjwzN2EmYiIxV3A:12rfcdmnj*
ebanking-es.ubs.com/*
ebanking-uk.ubs.com/*
www.citibank.com.sg/SGGCB/JSO/signon/DisplayUsernameSignon.do*
www.onlinesbiglobal.com/64SG/BANKAWAY*
www.onlinesbiglobal.com/64SG/BANKAWAY*
ebanking-bel.ubs.com/epexb*
ebanking-bel.ubs.com/estmtb*
ebanking-bel.ubs.com/fim*
ebanking-bhs2.ubs.com/epex*
ebanking-aut.ubs.com/fim*
ebanking-aut.ubs.com/epexa*
ebanking-aut.ubs.com/estmta*
invest.etrade.com.au/Home.aspx*
www.hsbc.com.sg/1/2/!ut/p/c5/04_SB8K8xLLM9MSSzPy8xBz9CP0os3gDf6NAZ8tQU3c3A0dDV5MAf2MTAwjQL8h2VAQAdKy3eg!!/*
www.asb.co.nz/Business-Banking*
cib.icicibank.com/corp/BANKAWAY*
group.unicreditbanking.net/*
www.fidunet.lu/fidunet/loginFidu.jsp*
www.corpnet.lu/corpnet/loginCorp.jsp*
secure.unicreditbank.lu/*
www.unicreditbank.sk/i-banking-sk-https.html*
www.unicreditbank.ba/eba/BHgradjani*
ebanking-au.ubs.com/ebanking*
onlineservices.ubs.com/olsauth/ex/pbl/ubso/dl*
clientportal.ibb.ubs.com/portal/index.htm*
ebanking-fr.ubs.com/enquiries/*
ebanking-de1.ubs.com/workbench/Index.do*
ebanking-hksg.ubs.com/*
ebanking-can.ubs.com/epex/*
ebanking-ca.ubs.com/safeloginc/Login*
ebanking-ca.ubs.com/gepc/MainAction*
ebanking-can.ubs.com/estmtc/*
ebanking-ca.ubs.com/safeloginc/Login*
ebanking-ca.ubs.com/estmtc/action/login*
online.lloydsbank.co.uk/personal/logon/login.jsp*
www.tranzact.org/*
mdcommercial.jpmorgan.com/*
www.jpmm.com/*
jpmcsso.jpmorgan.com/sso/action/login*
www.hsbc.co.uk/1/2/!ut/p/c5/04_SB8K8xLLM9MSSzPy8xBz9CP0os3gDgzAfSycDUy8LAzNDbz8vbzMDKADKR5rFO7s7epiY-wD5YZ6uBp4mTiYGpr5uhgaexmDdFibeBn7enkEuBs4ejiYeRiHGMN1-Hvm5qfoFuRHlABOr0sE!/*
ebanking-it.ubs.com/*
ebanking-lux.ubs.com/estmt/*
ebanking-lux.ubs.com/epex/*
ebanking-lux.ubs.com/fim/*
ebanking-ch.ubs.com/workbench/Index.do*
quotes-global1.ubs.com/go/*
ebanking-mc.ubs.com/*
ebanking-nld.ubs.com/estmtn/*
www.ubs.com/connect*
privatebank-us.ubs.com/*
online.unicreditcorporate.it/login.htm*
online-smallbusiness.unicredit.it/login.htm*
online-private.unicredit.it/login.htm*
online-retail.unicredit.it/login.htm*
www.gtb.unicredit.eu/login*
my.hypovereinsbank.de/login*
online.bulbank.bg/page/default.aspx*
extra.unicreditbank.hu/eib_SP/loginpage.hu.html*
www.hvbrsce.com/ebanking/Athens/Pages/ElectronicBanking.htm*
si.unicreditbanking.net/disp*
www.zaba.hr/ebank/gradjani/Prijava*
wealth.goldman.com/login/login_a.cgi*
cashmanagement.barclays.net/portalservices/forms/login.pser*
www.barclayswealth.com/login/action/logon/unauthenticated/corporate/loginSigningGemplus*
www.unity-online.co.uk/*
secure.aldermorebusinesssavings.co.uk/corporate*
cashproonline.bankofamerica.com/AuthenticationFrameworkWeb/cpo/login/public/loginMain.faces*
www.signatureny.web-access.com/signat/cgi-bin/login.cgi*
www.commercial.hsbc.com.hk/1/2/!ut/p/c5/04_SB8K8xLLM9MSSzPy8xBz9CP0os3gDd-NQv1BDg2AXA1-PEE9zPwtDAwgAykeaxTu7O3qYmPsA-WGergaeJk4mBqa-boYGnsbYdPsidBfkhioCAMGAADI!*
cmol.bbt.com/auth/prompt.tb*
santander.hpdsc.com/main*
auth.globalpay.westernunion.com/Sso/Login.aspx*
cmo.cibc.com/wp/wps/portal/bbdsignon*
globalpay.westernunion.com/GlobalPay/Login.aspx*
my.statestreet.com/*
www.goldman.com/login/login_a.cgi*
drob.santanderbank.com/cscobgss/Satellite*
trz.tranzact.org/LogonOTP.aspx*
catalystcorp.org/*
jpmcsso.jpmorgan.com/sso/action/federateLogin*

「Man-In-The-Middle（中間者）攻撃」のためのプロキシアドレスは以下のとおりです。

{BLOCKED}8.{BLOCKED}3.80.218:80

スパイウェアは、以下の「Simple Traversal of UDP through NATs（STUN）」サーバにアクセスし、感染したコンピュータの公開 IPアドレスを特定します。

stun1.voiceeclipse.net
stun.callwithus.com
stun.sipgate.net
stun.ekiga.net
stun.ideasip.com
stun.internetcalls.com
stun.noc.ams-ix.net
stun.phonepower.com
stun.voip.aebc.com
stun.voipbuster.com
stun.voxgratia.org
stun.ipshka.com
stun.faktortel.com.au
stun.iptel.org
stun.voipstunt.com
stunserver.org
203.183.172.196:3478
s1.taraba.net
s2.taraba.net
stun.l.google.com:19302
stun1.l.google.com:19302
stun2.l.google.com:19302
stun3.l.google.com:19302
stun4.l.google.com:19302
stun.schlund.de
stun.rixtelecom.se
stun.voiparound.com
numb.viagenie.ca
stun.stunprotocol.org
stun.2talk.co.nz

スパイウェアは、環境設定（Webインジェクションに利用）および新しい通信先となるURLを受信します。

スパイウェアは、ファイルをダウンロードし、実行します。

スパイウェアは、モジュール(VNC,TV)をダウンロードします。

スパイウェアは、ブラウザのスナップショットを取得します。

スパイウェアは、コンピュータをシャットダウン／再起動します。

スパイウェアは、自身の最初に実行されたコピーを削除します。

スパイウェアは、以下のGETリクエストを送信します。

/2101uk1/{Computer name}-{OS patform}_{variable}/{number}/{variable request type}/{BLOCED}.{BLOCKED}.43.41

スパイウェアは、POSTリクエストを送信し、上述の不正なコードの挿入により収集された情報を送信します。

スパイウェアは、セキュアな通信のため以下のI2Pネットワーク上の情報を送受信可能です。

http://{BLOCKED}cr5xvl5jlrhyxjktcdi2d7k5cqeulu4mdl75xxfwmhgnsq.b32.i2p:443

スパイウェアは、ルートキット機能を備えていません。

スパイウェアは、脆弱性を利用した感染活動を行いません。

対応方法

対応検索エンジン: 9.700

初回 VSAPI パターンバージョン 11.426.05

初回 VSAPI パターンリリース日 2015年1月21日

VSAPI OPR パターンバージョン 11.427.00

VSAPI OPR パターンリリース日 2015年1月22日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム（OS）の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル／フォルダ／レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 3

Windowsをセーフモードで再起動します。

[ 詳細 ]

セーフモードでの起動：

• Windows 2000 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows XP の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows Server 2003 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows Vista、Windows 7 および Windows Server 2008 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「詳細ブートオプション」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows 8、8.1 および Server 2012の場合：

画面の右上隅へマウスポインタを移動し、[チャーム]バーを表示します。
マウスで、[設定]－[PC設定の変更]を選択します。
左側のパネルで、[全般]を選択します。
右側のパネルで、[PCの起動をカスタマイズする]が表示されるまで下にスクロールし、[今すぐ再起動]をクリック。コンピュータが再起動するまで待ちます。
[オプションの選択]メニューで、[トラブルシューティング]－[詳細オプション]－[スタートアップ設定]－[再起動]をクリックします。
[スタートアップ設定]メニューで、[4]キーを押し、「4）セーフモードを有効にする」を選択します。

手順 4

このレジストリキーを削除します。

[ 詳細 ]

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\googleupdate (For Windows XP and below)

手順 5

このレジストリ値を削除します。

[ 詳細 ]

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- GoogleUpdate = "%AppDataLocal%\{random file name}.exe" (For Windows Vista and above)

手順 6

以下のファイルを検索し削除します。

[ 詳細 ]

コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

%System%\config\systemprofile\Application Data\f5e83w4ef.dat (For Windows XP and below)
%AppDataLocal%\f5e83w4ef.dat (For Windows Vista and above)

手順 7

コンピュータを通常モードで再起動し、最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、「TSPY_DYRE.YYYI」と検出したファイルの検索を実行してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

ご利用はいかがでしたか？　アンケートにご協力ください