Trend Micro Security

TSPY_ONLINEG.OKO

2013年7月3日
 解析者: Anthony Joe Melgarejo   
 別名:

PWS:Win32/OnLineGames.AH(Microsoft),RDN/PWS-Mmorpg!jt (McAfee), Mal/GamePSW-C (Sophos)

 プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 危険度:
 感染確認数:
 システムへの影響:
 情報漏えい:


  • マルウェアタイプ: スパイウェア
  • 破壊活動の有無: なし
  • 暗号化: はい
  • 感染報告の有無: はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェアは、特定のプロセスに作成したファイルを組み込みます。

スパイウェアは、特定のレジストリ値を削除するため、アプリケーションやプログラムが正しく起動しなくなります。

ただし、情報公開日現在、このWebサイトにはアクセスできません。

スパイウェアは、ユーザによる特定のWebサイト上での取引を監視します。 スパイウェアは、特定のオンラインゲームに関連するユーザ名やパスワードといった個人情報を収集します。 スパイウェアは、感染コンピュータから特定の情報を収集します。

  詳細

ファイルサイズ 995,810 bytes
メモリ常駐 はい
発見日 2013年6月27日
ペイロード URLまたはIPアドレスに接続, ファイルの変更

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、以下のコンポーネントファイルを作成します。

  • %User Temp%\{random 1}.dll - also detected as TSPY_ONLINEG.OKO
  • %User Temp%\{random 2}.dll - also detected as TSPY_ONLINEG.OKO
  • %System%\kakutk.dll - also detected as TSPY_ONLINEG.OKO
  • %System%\drivers\0135cf9b.sys - also detected as TSPY_ONLINEG.OKO

(註:%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)

スパイウェアは、以下の無害なファイルを作成します。

  • %User Temp%\A1.zip
  • %User Temp%\B1.zip
  • %User Temp%\C1.zip
  • %System%\safemono.dll

(註:%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)

スパイウェアは、以下のプロセスに作成したファイルを組み込みます。

  • explorer.exe

自動実行方法

スパイウェアは、以下のレジストリキーを追加し、自身を Browser Helper Object(BHO)として登録します。これにより、Internet Explorer(IE)が起動するとスパイウェアが自動実行されます。

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{AB705622-B25B-491B-4A46FDDBC88E}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Interface\{AB705622-B25B-491B-4A46FDDBC88E}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
TypeLib\{AB705622-B25B-491B-4A46FDDBC88E}

スパイウェアは、以下のレジストリ値を追加し、自身をBrowser Helper Object(BHO)として登録します。

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
IEHlprObj.1\CLSID
Default = "{AB705622-B25B-491B-A6BF-4A46FDDBC88E}"

スパイウェアは、作成されたコンポーネントをシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\0135cf9b

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\7d9efa1d

他のシステム変更

スパイウェアは、以下のファイルを改変します。

  • %System%\midimap.dll
  • %System%\wshtcpip.dll

(註:%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)

スパイウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\HOOK_ID
name = "{random}.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\SYS_DLL
name = "{random}.dll"

スパイウェアは、以下のレジストリ値を削除します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
ctfmon.exe = "%System%\ctfmon.exe"

プロセスの終了

スパイウェアは、感染コンピュータ上でプロセスが常駐されていることを確認した場合、以下のいずれかの文字列を含むプロセスまたはサービスを終了します。

  • AhnFlt2k.sys
  • AhnFltNt.sys
  • AhnRec2k.sys
  • AhnRecNt.sys
  • AhnRghNt.sys
  • ahnsze.sys
  • ASHUPD.EXE
  • AvastSvc.exe
  • AVASTUI.EXE
  • AVCENTER.EXE
  • AVGAM.EXE
  • AVGEMC.EXE
  • AVGFRW.EXE
  • AVGNSX.EXE
  • avgnt.exe
  • AVGRSX.EXE
  • AVGUARD.EXE
  • AVGUPD.EXE
  • avgwdsvc.exe
  • avp.exe
  • AVSCAN.EXE
  • AVUPGSVC.EXE
  • AVWSC.EXE
  • ayagent.aye
  • AYRTSrv.aye
  • AYUpdSrv.aye
  • BDAGENT.EXE
  • BDREINIT.EXE
  • CCSVCHST.EXE
  • CHROME.EXE
  • EGUI.EXE
  • ekrn.exe
  • EstRtw.sys
  • FIREFOX.EXE
  • Mctray.exe
  • MSSECES.EXE
  • MUPDATE2.EXE
  • MYSFTY.EXE
  • NaverAgent.exe
  • NAVW32.EXE
  • NSAVSVC.NPC
  • Nsvmon.npc
  • NVCAGENT.NPC
  • SECCENTER.EXE
  • SGRUN.EXE
  • SGSVC.EXE
  • SGUI.EXE
  • SHSTAT.EXE
  • UDATERUI.EXE
  • UPDATESRV.EXE
  • v3core.sys
  • v3engine.sys
  • V3LRUN.EXE
  • V3LSvc.exe
  • V3LTray.exe
  • V3SP.EXE
  • V3SVC.EXE
  • V3UP.EXE
  • VSSERV.EXE

ダウンロード活動

スパイウェアは、以下のWebサイトにアクセスして自身のコンポーネントファイルをダウンロードします。

  • http://{BLOCKED}m.lfllja.com/cs0719

ただし、情報公開日現在、このWebサイトにはアクセスできません。

情報漏えい

スパイウェアは、ユーザによる以下のWebサイト上での取引を監視します。

  • aion.plaync.jp
  • aran.kr.gameclub.com
  • asgard.nexon.com
  • auth.siren24.com
  • bank.cu.co.kr
  • banking.nonghyup.com
  • baram.nexon com
  • baram.nexon.com
  • bns.plaync.com
  • capogames.net
  • clubaudition.ndolfin.com
  • cyphers.nexon.com
  • df.nexon.com
  • dk.halgame.com
  • dragonnest.nexon.com
  • elsword.nexon.com
  • fifaonline.pmang.com
  • fifaonline3.nexon.com
  • hangame.com
  • heroes.nexon.com
  • id.hangame.com
  • ipin.siren24.com
  • itemmania.com
  • kr.battle.net
  • lod.nexon.com
  • login.nexon.com
  • maplestory.nexon.com
  • mo.netmarble.net
  • ncoin.plaync.com
  • netmarble.net
  • nexon.com/cash/page/payrequest.aspx
  • npubid.hangame.com
  • pay.neowiz.com
  • plaync.co.kr
  • poker.hangame.com/baduki.nhn
  • poker.hangame.com/duelpoker.nhn
  • poker.hangame.com/highlow2.nhn
  • poker.hangame.com/hoola3.nhn
  • poker.hangame.com/laspoker.nhn
  • poker.hangame.com/poker7.nhn
  • r2.webzen.co.kr
  • samwinfo.capogames.net
  • tales.nexon.com
  • tera.hangame.com
  • www.booknlife.com/bnl_new/community
  • www.booknlife.com
  • www.booknlife.com/bnl_new/giftcard
  • www.capogames.net
  • www.cultureland.co.kr
  • www.gersang.co.kr
  • www.happymoney.co.kr
  • www.happymoney.co.kr/happyorder/cashchargebuy.hm
  • www.happymoney.co.kr/member/login.hm
  • www.itembay.com
  • www.kmcert.com
  • www.nexon.com
  • www.pm ng.com
  • www.pmang.com/game_top.nwz?ssn=40
  • www.pmang.com
  • www.pmang.com/gam _top.nwz?ssn=2
  • www.pmang.com/game_top.nwz?ssn=23
  • www.pmang.com/game_top.nwz?ssn=3
  • www.pmang.com/game_top.nwz?ssn=43
  • www.pmang.com/game_top.nwz?ssn=1
  • www.pmang.com/game_top.nwz?ssn=14
  • www.pmang.com/game_top.nwz?ssn=24
  • www.pmang.com/game_top.nwz?ssn=25
  • www.pmang.com/game_top.nwz?ssn=26
  • www.pmang.com/game_top.nwz?ssn=17
  • www.pmang.com/game_top.nwz?ssn=18
  • www.pmang.com/game_top.nwz?ssn=19
  • www.teencash.co.kr
  • yulgang.mgame.com

スパイウェアは、以下のオンラインゲームに関連するユーザ名やパスワードといった個人情報を収集します。

  • ArcheAge
  • Cabal2
  • Diablo
  • Duke Nukem Forever (DNF)
  • Dungeon & Fighter
  • Elsword
  • Kingdom of the Winds
  • Lineage
  • MapleStory
  • WinBaram
  • World of Warcraft

スパイウェアは、感染コンピュータから以下の情報を収集します。

  • Mac Address
  • OS version
  • Installed AV software
  • Number of running processes

情報収集

スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

  • http://banana.{BLOCKED}er.com/xin87842647df/lin.asp
  • http://banana.{BLOCKED}r.com/838483dfotp/lin.asp
  • http://banana.{BLOCKED}r.com/xin09923929mxd/lin.asp
  • http://green.{BLOCKED}r.com/po23924898df/lin.asp
  • http://green.{BLOCKED}r.com/po9819219mxd/lin.asp <1--BLOCKED http://green.boolker.com/po9819219mxd/lin.asp -->
  • http://{BLOCKED}.{BLOCKED}.210.187/kaixin/mail.asp?mac={mac address}&os={OS version}&avs={AV software present}&ps={value}&ver={value}&pnum={number of running processes}

  対応方法

対応検索エンジン: 9.300
初回 VSAPI パターンバージョン 10.120.03
初回 VSAPI パターンリリース日 2013年6月27日
VSAPI OPR パターンバージョン 10.121.00
VSAPI OPR パターンリリース日 2013年6月27日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアのパス名およびファイル名を確認します。
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用いてウイルス検索を実行してください。「TSPY_ONLINEG.OKO」で検出したパス名およびファイル名を確認し、メモ等をとってください。

手順 3

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 4

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.1\CLSID
    • Default = "{AB705622-B25B-491B-A6BF-4A46FDDBC88E}"

手順 5

このレジストリキーを削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
    • {AB705622-B25B-491B-4A46FDDBC88E}
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
    • {AB705622-B25B-491B-4A46FDDBC88E}
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib
    • {AB705622-B25B-491B-4A46FDDBC88E}
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
    • 0135cf9b
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
    • 7d9efa1d

手順 6

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %User Temp%\A1.zip
  • %User Temp%\B1.zip
  • %User Temp%\C1.zip
  • %System%\safemono.dll

手順 7

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TSPY_ONLINEG.OKO」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 8

以下のファイルをバックアップを用いて修復します。なお、マイクロソフト製品に関連したファイルのみ修復されます。このマルウェア/グレイウェア/スパイウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。

  • %System%\midimap.dll
  • %System%\wshtcpip.dll
  • %Program Files%\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
  • %Program Files%\Java\jre{version number}\lib\deploy\jqs\ie\jqs_plugin.dll
  • %Program Files%\Java\jre{version number}\bin\jp2ssv.dll


ご利用はいかがでしたか? アンケートにご協力ください