Trend Micro Security

TSPY_THOPER.AD

2012年10月9日
 解析者: Christopher Daniel So   
 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 感染確認数:
 システムへの影響:
 情報漏えい:


  • マルウェアタイプ: スパイウェア
  • 破壊活動の有無: なし
  • 暗号化: なし
  • 感染報告の有無: はい

  概要

感染経路 他のマルウェアからの作成

スパイウェアは、他のマルウェアに作成され、コンピュータに侵入します。

スパイウェアは、ワーム活動の機能を備えていません。

スパイウェアは、バックドア活動の機能を備えていません。

スパイウェアは、Internet Explorer(IE)のゾーン設定を変更します。

スパイウェアは、ダウンロードする機能を備えていません。

スパイウェアは、Eメールアカウント情報を収集します。

スパイウェアは、Internet Explorer(IE)のウィンドウを非表示で開きます。 スパイウェア マルウェアは、自身(コンピュータに侵入して最初に自身のコピーを作成した スパイウェア )を削除します。

  詳細

ファイルサイズ 73,152 bytes
タイプ DLL
メモリ常駐 はい
発見日 2012年5月8日
ペイロード ファイルの作成

侵入方法

スパイウェアは、他のマルウェアに作成され、コンピュータに侵入します。

インストール

スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %System%\msimegub.bpl

(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

スパイウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

  • Le12xv10

スパイウェアは、自身(コンピュータに侵入して最初に自身のコピーを作成したスパイウェア)を終了し、侵入したコンピュータ内で作成した自身のコピーの方を実行します。

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\stisvc
Start = "2"

(註:変更前の上記レジストリ値は、「3」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\stisvc\Parameters
ServiceDll = "%System%\msimegub.bpl"

(註:変更前の上記レジストリ値は、「%SystemRoot%\system32\wiaservc.dll」となります。)

スパイウェアは、作成されたコンポーネントをシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{BC87739C-6024-412c-B489-B951C2F17000}
ImagePath = "\??\%System%\Drivers\{BC87739C-6024-412c-B489-B951C2F17000}.sys"

スパイウェアは、作成されたコンポーネントをシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{BC87739C-6024-412c-B489-B951C2F17000}

他のシステム変更

スパイウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
CTF\TIP\{1188450c-fdab-47ae-80d8-c9633f71be64}\
LanguageProfile\0x00000000\{63800dac-e7ca-4df9-9a5c-20765055488d}

感染活動

スパイウェアは、ワーム活動の機能を備えていません。

バックドア活動

スパイウェアは、バックドア活動の機能を備えていません。

Webブラウザのホームページおよび検索ページの変更

スパイウェアは、IEのゾーン設定を変更します。

作成活動

スパイウェアは、以下のファイルを作成します。

  • %System%\drivers\{BC87739C-6024-412C-B489-B951C2F17000}.SYS - detected by Trend Micro as TROJ_NETHOOK.A

(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

ダウンロード活動

スパイウェアは、ダウンロードする機能を備えていません。

情報漏えい

スパイウェアは、Eメールアカウント情報を収集します。

情報収集

スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

  • http://feidc.{BLOCKED}ed.net:443/photos/photo.asp
  • http://feidc.{BLOCKED}ed.net:443/Query.asp?loginid=112037

その他

スパイウェアは、IEのウィンドウを非表示で開きます。

スパイウェア は、自身(コンピュータに侵入して最初に自身のコピーを作成した スパイウェア )を削除します。

スパイウェアは、ルートキット機能を備えていません。

スパイウェアは、脆弱性を利用した感染活動を行いません。

このスパイウェアが作成する以下のファイルは、「TROJ_NETHOOK.A」として検出されます。

  • %System%\drivers\{BC87739C-6024-412C-B489-B951C2F17000}.SYS

  対応方法

対応検索エンジン: 9.200
初回 VSAPI パターンバージョン 8.982.01
初回 VSAPI パターンリリース日 2012年5月9日
VSAPI OPR パターンバージョン 8.983.00
VSAPI OPR パターンリリース日 2012年5月9日

手順 1

Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

この「TSPY_THOPER.AD」が作成、あるいは、ダウンロードした以下のファイルを検索し、検索した場合は削除してください。

    • TROJ_NETHOOK.A

手順 3

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 4

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{BC87739C-6024-412c-B489-B951C2F17000}
    • ImagePath = "\??\%System%\Drivers\{BC87739C-6024-412c-B489-B951C2F17000}.sys"

手順 5

このレジストリキーを削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
    • {BC87739C-6024-412c-B489-B951C2F17000}
  • In HKEY_CURRENT_USER\Software\Microsoft\CTF\TIP\{1188450c-fdab-47ae-80d8-c9633f71be64}\LanguageProfile\0x00000000
    • {63800dac-e7ca-4df9-9a5c-20765055488d}

手順 6

変更されたレジストリ値を修正します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\stisvc
    • From: Start = "2"
      To: Start = "3"
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\stisvc\Parameters
    • From: ServiceDll = "%System%\msimegub.bpl"
      To: ServiceDll = "%SystemRoot%\system32\wiaservc.dll"

手順 7

Internet Explorer(IE)のセキュリティ設定を修正します。

[ 詳細 ]

手順 8

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TSPY_THOPER.AD」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください