Trend Micro Security

TSPY_INFOSTEA.BO

2012年10月9日
 解析者: Erika Bianca Mendoza   
 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 感染確認数:
 システムへの影響:
 情報漏えい:


  • マルウェアタイプ: スパイウェア
  • 破壊活動の有無: なし
  • 暗号化: なし
  • 感染報告の有無: はい

  概要


スパイウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

スパイウェアは、プロセスに組み込まれ、システムのプロセスに常駐します。

スパイウェアが自身の不正活動を実行するためには、メインとなるコンポーネントが必要になります。

  詳細

ファイルサイズ 132608 bytes
タイプ DLL
ファイル圧縮 ACProtect
メモリ常駐 はい
発見日 2011年5月9日
ペイロード システムのレジストリの変更

侵入方法

スパイウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

インストール

スパイウェアは、プロセスに組み込まれ、システムのプロセスに常駐します。

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{DA550A83-5E5C-41F7-B6C0-A6D729B7B677}\InprocServer32
default = {malware path and filename}

他のシステム変更

スパイウェアは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{DA550A83-5E5C-41F7-B6C0-A6D729B7B677}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Interface\{D6915A2B-1C5B-4AE4-BD44-724EF848B9DF}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
TypeLib\{AFDCF934-5A5C-4C3C-8C7C-1521DBCE14FD}

スパイウェアは、インストールの過程で以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
FlashVideo.clsFlashVideo
default = FlashVideo.clsFlashVideo

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
FlashVideo.clsFlashVideo\Clsid
default = {DA550A83-5E5C-41F7-B6C0-A6D729B7B677}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
TypeLib\{AFDCF934-5A5C-4C3C-8C7C-1521DBCE14FD}\1.0\
0\win32
default = {malware path and filename}

その他

スパイウェアが自身の不正活動を実行するためには、メインとなるコンポーネントが必要になります。