Trend Micro Security

TSPY_TEPFER.DH

2012年10月9日
 解析者: Jasen Sumalapao   
 別名:

Trojan:Win32/Malex.gen!E (Mirosoft), Trojan-PSW.Win32.Tepfer.apmh (Kaspersky), Trojan.Smoaler (Symantec), Mal/NecursDrp-A (Sophos), Trojan.Generic.KDV.673626 (FSecure), Trojan.Win32.Generic!SB.0 (Sunbelt), W32/Tepfer.A!tr.pws (Fortinet)

 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 感染確認数:
 システムへの影響:
 情報漏えい:


  • マルウェアタイプ: スパイウェア
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェアは、正規のファイルに類似したファイル名を利用して正規のファイルを装います。

スパイウェアは、実行後、自身を削除します。

  詳細

ファイルサイズ 87,584 bytes
タイプ EXE
発見日 2012年7月17日

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

  • %User Profile%\Application Data\svchost.exe
  • %User Profile%\Application Data\System32\csrss.exe
  • %User Profile%\Application Data\System32\rundll32.exe

(註:%User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>"、Windows NTでは、"C:\WINNT\Profiles\<ユーザ名>"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\<ユーザ名>" です。)

スパイウェアは、以下のフォルダを作成します。

  • %User Profile%\Application Data\System32

(註:%User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>"、Windows NTでは、"C:\WINNT\Profiles\<ユーザ名>"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\<ユーザ名>" です。)

スパイウェアは、正規のファイルに類似したファイル名を利用して正規のファイルを装います。

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Client Server Runtime Process = %User Profile%\Application Data\System32\csrss.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Host-process Windows (Rundll32.exe) = %User Profile%\Application Data\System32\csrss.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Service Host Process for Windows = %User Profile%\Application Data\svchost.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Client Server Runtime Process = %User Profile%\Application Data\System32\csrss.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Host-process Windows (Rundll32.exe) = %User Profile%\Application Data\System32\csrss.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Service Host Process for Windows = %User Profile%\Application Data\svchost.exe

他のシステム変更

スパイウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\BC Clients
{random 1 digit character} = {random garbage look alike characters}

スパイウェアは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
Client Server Runtime Process = %User Profile%\Application Data\System32\csrss.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
Host-process Windows (Rundll32.exe) = %User Profile%\Application Data\System32\csrss.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
Service Host Process for Windows = %User Profile%\Application Data\svchost.exe

その他

スパイウェアは、実行後、自身を削除します。