Trend Micro Security

TSPY_JOANAP.A

2013年5月17日
 解析者: Nikko Tamana   

 別名:

Backdoor:Win32/Joanap.A (Microsoft), Backdoor.Win32.Joanap (Ikarus)

 プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 危険度:
 感染確認数:
 システムへの影響:
 情報漏えい:


  • マルウェアタイプ: スパイウェア
  • 破壊活動の有無: なし
  • 暗号化: なし
  • 感染報告の有無: はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。 スパイウェアは、他のマルウェアまたはグレイウェアのパッケージとともにコンポーネントとして、コンピュータに侵入します。

スパイウェアは、ワーム活動の機能を備えていません。

スパイウェアは、バックドア活動の機能を備えていません。

スパイウェアは、ダウンロードする機能を備えていません。


  詳細

ファイルサイズ 90,112 bytes
タイプ EXE
メモリ常駐 はい
発見日 2013年5月10日
ペイロード 情報収集, ファイルの作成

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェアは、他のマルウェアまたはグレイウェアのパッケージとともにコンポーネントとして、コンピュータに侵入します。

感染活動

スパイウェアは、ワーム活動の機能を備えていません。

バックドア活動

スパイウェアは、バックドア活動の機能を備えていません。

ダウンロード活動

スパイウェアは、ダウンロードする機能を備えていません。

情報漏えい

スパイウェアは、以下の情報を収集します。

  • Password hashes from NT LanMan

情報収集

スパイウェアは、SMTPを用いて、自身が収集した情報を以下のEメールアドレスに送信します。

  • {BLOCKED}epy0611@gmail.com

その他

スパイウェアが自身の不正活動を実行するためには、以下のコンポーネントが必要になります。

  • %System%\perfw06.dat
  • %System%\mssscardprv.ax
  • %System%\KB25879.dat

(註:%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)

スパイウェアは、以下のファイルを作成します。

  • %User Temp%\msvcrt.bat - Used to delete itself

(註:%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。)

スパイウェアは、「NT LanMan」からパスワードハッシュを収集します。

スパイウェアが自身の削除に利用するファイルは以下のとおりです。

  • %User Temp%\msvcrt.bat

スパイウェアは、以下のパスワードを用いた「brute force (総当り攻撃)」により管理者アカウントでログインを試みます。

  • *1234
  • 00000
  • 000000
  • 00000000
  • 11111
  • 111111
  • 11111111
  • 121212
  • 123123
  • 123321
  • 12345
  • 123456
  • 1234567
  • 12345678
  • 123456789
  • 1234567890
  • 1234qwer
  • 123abc
  • 123asd
  • 123qwe
  • 168168
  • 1q2w3e
  • 1q2w3e4r
  • 1qaz2wsx
  • 1qazxsw2
  • 520520
  • 54321
  • 654321
  • 666666
  • 88888
  • 888888
  • 8888888
  • 88888888
  • Admin
  • KKKKKKK
  • Login
  • abc123
  • abcd1234
  • admin
  • admin!@#
  • admin123
  • administrador
  • administrator
  • asdf!23
  • asdf123
  • asdfg
  • asdfgh
  • ashley
  • backup
  • backupexec
  • bailey
  • baseball
  • blank
  • changeme
  • cisco
  • clustadm
  • cluster
  • compaq
  • computer
  • control
  • cookie123
  • database
  • db1234
  • dbpassword
  • default
  • domino
  • dragon
  • enable
  • exchadm
  • exchange
  • foobar
  • football
  • gateway
  • guest
  • harley
  • iloveyou
  • internet
  • letmein
  • login
  • lotus
  • manager
  • master
  • michael
  • money
  • monkey
  • notes
  • office
  • oracle
  • owner
  • passw0rd
  • passwd
  • password
  • password!
  • password1
  • print
  • pw123
  • q1w2e3
  • q1w2e3r4
  • q1w2e3r4t5
  • q1w2e3r4t5y6
  • qazwsx
  • qazwsxedc
  • qazxsw
  • qwert
  • qwerty
  • replicate
  • seagate
  • secret
  • server
  • shadow
  • sqlexec
  • sunshine
  • super
  • superman
  • sybase
  • temp!
  • temp123
  • test!
  • test!23
  • test1
  • test123
  • tivoli
  • trustno1
  • veritas
  • virus
  • win2000
  • win2003
  • win2008
  • winxp
  • zxcv123asdf

スパイウェアはログインに成功すると、「%System Root%」を「adnim」という名前のネットワーク共有として設定します。また、「HelpEvent」と「RPCEvent」のサービス名を作成します。

スパイウェアは、Googleの正規のSMTPサイトである以下にアクセスすることでメールを送信します。

  • gmail-smtp-in.l.google.com

マルウェアは、ルートキット機能を備えていません。

マルウェアは、脆弱性を利用した感染活動を行いません。


  対応方法

対応検索エンジン: 9.300
初回 VSAPI パターンバージョン 9.918.04
初回 VSAPI パターンリリース日 2013年5月14日
VSAPI OPR パターンバージョン 9.919.00
VSAPI OPR パターンリリース日 2013年5月15日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアのパス名およびファイル名を確認します。
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用いてウイルス検索を実行してください。「TSPY_JOANAP.A」で検出したパス名およびファイル名を確認し、メモ等をとってください。

手順 3

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 4

TSPY_JOANAP.A として検出されたファイルを検索し削除します。

註:このファイルは、隠しファイルとして設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

特定のファイルが起動した際、マルウェアの自動起動実行の停止:

  • Windows 2000、XP および Server 2003 の場合:

    1. [スタート]-[検索]-[ファイルとフォルダすべて]を選択します。
    2. [ファイル名のすべてまたは一部]に上記で確認したファイル名を入力してください。
    3. [探す場所]の一覧から[マイコンピュータ]を選択し、Enter を押します。
    4. 検索が終了したら、ファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。

  • Windows Vista および 7 の場合:

    1. [スタート]をクリックします。
    2. [プログラムとファイルの検索]に、上記で確認したファイル名を入力し、Enter を押します。
    3. 検索が終了したら、ファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
      註:Windows 7 において上記の手順が正しく行われない場合、マイクロソフトのWebサイトをご確認ください。
  • 手順 5

    以下のファイルを検索し削除します。

    [ 詳細 ]
    コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
    • %User Temp%\msvcrt.bat

    手順 6

    コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TSPY_JOANAP.A」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


    ご利用はいかがでしたか? アンケートにご協力ください