Trend Micro Security

TSPY_GENOME

2013年4月12日
 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 感染確認数:
 システムへの影響:
 情報漏えい:


  • マルウェアタイプ: スパイウェア
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  詳細

メモリ常駐 はい
ペイロード URLまたはIPアドレスに接続, ファイルのダウンロード

インストール

スパイウェアは、以下のファイルを作成します。

  • %System Root%\confl.log

(註:%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

自動実行方法

スパイウェアは、以下のレジストリ値を追加し、自身をBrowser Helper Object(BHO)として登録します。

HKEY_CLASSES_ROOT\CLSID\{2EB1DE5D-91E6-4AD7-9C69-91243E190EB1}
@ = "Abn"

HKEY_CLASSES_ROOT\CLSID\{2EB1DE5D-91E6-4AD7-9C69-91243E190EB1}\
InProcServer32
@ = "%System Root%\Abn.dll" = ThreadingModel = "Apartment"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Browser Helper Objects\{2EB1DE5D-91E6-4AD7-9C69-91243E190EB1}

感染活動

スパイウェアは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。

  • %System Root%\Arquivos de programas\Internet Explorer\PLUGINS\iewd.exe

(註:%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

ダウンロード活動

スパイウェアは、以下のファイル名でダウンロードしたファイルを保存します。

  • %Windows%\a0x1.exe
  • %System%\Eguis.exe
  • %System%\isssas.cpl

(註:%Windows%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、"C:\Windows" です。. %System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)

その他

スパイウェアは、以下の不正なWebサイトにアクセスします。

  • http://{BLOCKED}0.{BLOCKED}4.72.61/RealMedia/ads/Creatives/OasDefault/ASACSA_TC-08.06.09/des.jpg
  • http://{BLOCKED}8.{BLOCKED}4.15.228/l.php?aff_id=1&wm_id=0&u=a8fbbde7-2725-43dd-974b-4d36acf41a1d&log_id=1
  • http://{BLOCKED}8.{BLOCKED}4.15.228/l.php?aff_id=1&wm_id=0&u=a8fbbde7-2725-43dd-974b-4d36acf41a1d&log_id=3
  • http://{BLOCKED}8.{BLOCKED}4.15.228/l.php?aff_id=8654&wm_id=03010&u=411f3a52-26ed-4872-9a07-8c966acba234&log_id=1
  • http://{BLOCKED}8.{BLOCKED}4.15.228/l.php?aff_id=8654&wm_id=03010&u=411f3a52-26ed-4872-9a07-8c966acba234&log_id=3
  • http://{BLOCKED}8.{BLOCKED}4.15.228/l.php?aff_id=8654&wm_id=03010&u=a8fbbde7-2725-43dd-974b-4d36acf41a1d&log_id=1
  • http://{BLOCKED}8.{BLOCKED}4.15.228/l.php?aff_id=8654&wm_id=03010&u=a8fbbde7-2725-43dd-974b-4d36acf41a1d&log_id=3
  • http://{BLOCKED}8.{BLOCKED}4.15.228/sw/1/0/0/a8fbbde7-2725-43dd-974b-4d36acf41a1d/0/x.dat
  • http://{BLOCKED}8.{BLOCKED}4.15.228/sw/8654/03010/0/411f3a52-26ed-4872-9a07-8c966acba234/0/x.dat
  • http://{BLOCKED}8.{BLOCKED}4.15.228/sw/8654/03010/0/a8fbbde7-2725-43dd-974b-4d36acf41a1d/0/x.dat
  • http://{BLOCKED}s.{BLOCKED}a.com.br/RealMedia/ads/creatives/OasDefault/090101_Seven_Sky_ROS/Eguis.jpg
  • http://{BLOCKED}s.{BLOCKED}a.com.br/RealMedia/ads/creatives/OasDefault/090101_Seven_Sky_ROS/p.cpl
  • http://{BLOCKED}n.{BLOCKED}e.com/down/uupdate.exe
  • http://{BLOCKED}m.{BLOCKED}lmarkets.com/member.php?u=7586
  • http://{BLOCKED}m.{BLOCKED}ice.com/member.php?u=7586
  • http://www.{BLOCKED}rum.com/member.php?u=29387
  • http://www.{BLOCKED}hardware.net/comunidade/member.php?u=764481
  • http://www.{BLOCKED}eriedemouna.com/images/imag2.gif
  • http://www.{BLOCKED}ho.cc/imagens/0001.gif
  • http://www.{BLOCKED}ho.cc/imagens/0002.gif
  • http://www.{BLOCKED}g.or.kr/sarangbi_bgm/img/update.txt
  • http://www.{BLOCKED}a.net/member.php?u=21040
  • http://{BLOCKED}8.{BLOCKED}4.15.228/l.php?aff_id=1&wm_id=0&u=a8fbbde7-2725-43dd-974b-4d36acf41a1d&log_id=3