• Email
• Facebook
• Twitter
• Google+
• Linkedin

TSPY_FAREIT.YYLO

---

• マルウェアタイプ: スパイウェア
• 破壊活動の有無: なし
• 暗号化:  
• 感染報告の有無: はい

---

  概要

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

---

  詳細

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
NetworkNotifyer = "{malware path and file name}"

他のシステム変更

スパイウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Notepad
persistentLocalizedName = "{random values}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ActiveModifiedTheme = "{random values}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Shell Folders
DefaultCompressedRecord = "{random values}"

HKEY_CURRENT_USER\Software\Microsoft\
Notepad
lineLoadedQuick = "DMGVNX9iPv6FSNXsOOp1P01oq6PL/D2L1Uf/1+QjVsompES2qSxyMYicgPtA7trvJA=="

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
SizeCompletedValid = "DMGVNX9iPv6FSNXsOOp1P01oq6PL/D2L1Uf/1+QjVsompES2qSxyMYicgPtA7trvJA=="

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Shell Folders
RecordModifiedMax = "DMGVNX9iPv6FSNXsOOp1P01oq6PL/D2L1Uf/1+QjVsompES2qSxyMYicgPtA7trvJA=="

HKEY_CURRENT_USER\Software\Microsoft\
Notepad
recordEnabledCheck = "5"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
StyleModifiedPrev = "5"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Shell Folders
UrlEnabledUse = "5"

HKEY_CURRENT_USER\Software\Microsoft\
Notepad
platformCompressedValid = "{random values}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
InfoPlayedCurrent = "{random values}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Shell Folders
FlagsModifiedValid = "{random values}"

HKEY_CURRENT_USER\Software\Microsoft\
Notepad
dBSavedUse = "{random values}"

作成活動

スパイウェアは、以下のファイルを作成します。

• %System Root%\tmp.exe
• %System%\Packet.dll
• %System%\wpcap.dll
• %System%\drivers\npf.sys

(註：%System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

その他

スパイウェアは、以下の不正なWebサイトにアクセスします。

• {BLOCKED}.238.161
• {BLOCKED}.196.162
• {BLOCKED}.157.163
• {BLOCKED}.186.163
• {BLOCKED}.253.163
• {BLOCKED}0.1
• {BLOCKED}1.249.33
• {BLOCKED}.61.34
• {BLOCKED}.198.34
• {BLOCKED}30.35
• {BLOCKED}.240.36
• {BLOCKED}.135.176
• {BLOCKED}117.177
• {BLOCKED}134.177
• {BLOCKED}.142.177
• {BLOCKED}.183.178
• {BLOCKED}177.210
• {BLOCKED}1.244.212
• {BLOCKED}.176.213
• {BLOCKED}.49.215
• {BLOCKED}.216.216
• {BLOCKED}.152.195
• {BLOCKED}76.197
• {BLOCKED}5.86.198
• {BLOCKED}0.108.199
• {BLOCKED}.51.200
• {BLOCKED}.66.90
• {BLOCKED}135.91
• {BLOCKED}103.92
• {BLOCKED}165.92
• {BLOCKED}216.92
• {BLOCKED}.145.164
• {BLOCKED}.28.165
• {BLOCKED}7.123.205
• {BLOCKED}.11.206
• {BLOCKED}.183.206
• {BLOCKED}.207.207
• {BLOCKED}.24.209
• {BLOCKED}3.168.209
• {BLOCKED}137.150
• {BLOCKED}7.230.151
• {BLOCKED}.172.152
• {BLOCKED}.37.154
• {BLOCKED}62.155
• {BLOCKED}2.152.218
• {BLOCKED}.76.220
• {BLOCKED}5.10.222
• {BLOCKED}36.222
• {BLOCKED}.54.222
• {BLOCKED}180.3
• {BLOCKED}110.4
• {BLOCKED}1.208.5
• {BLOCKED}0.76.6
• {BLOCKED}107.6
• {BLOCKED}1.245.81
• {BLOCKED}.158.82
• {BLOCKED}4.3.83
• {BLOCKED}.138.83
• {BLOCKED}1.178.83
• {BLOCKED}.116.93
• {BLOCKED}.95.94
• {BLOCKED}.164.94
• {BLOCKED}.172.126
• {BLOCKED}1.176.128
• {BLOCKED}.21.129
• {BLOCKED}.71.129
• {BLOCKED}4.159.130

このウイルス情報は、自動解析システムにより作成されました。

---

  対応方法

ご利用はいかがでしたか？　アンケートにご協力ください