TSPY_URSNIF.MJY

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。 スパイウェアは、リモートサイトから他のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。

スパイウェアは、特定のWebサイトにアクセスし、情報を送受信します。 スパイウェア マルウェアは、自身（コンピュータに侵入して最初に自身のコピーを作成した スパイウェア ）を削除します。

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェアは、リモートサイトから以下のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。

• Embedded malicious JS files on TROJ_URSNIF.WMY and TROJ_URSNIF.MJY

スパイウェアは、以下のリモートサイトからダウンロードされ、コンピュータに侵入します。

• http://{BLOCKED}erman.net/wp-content/themes/twentysixteen/inc/majorka.exe
• http://{BLOCKED}l.company/wp-content/themes/themify-music/builder-layouts/majorka.exe

インストール

スパイウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

• %Application Data%\Microsoft\{string1}{string2}\{string1}{string2}.exe
  where:
  {string1} = first four letters of a dll file under System directory
  {string2} = last four letters of a dll file under System directory

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.)

スパイウェアは、以下のファイルを作成し実行します。

• %User Temp%\{random folder name}\{random filename}.bat ← use to delete itself; deleted afterwards

(註：%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。.)

スパイウェアは、以下のフォルダを作成します。

• %Application Data%\Microsoft\{string1}{string2}
  where:
  {string1} = first four letters of a dll file under System directory
  {string2} = last four letters of a dll file under System directory
  

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.)

スパイウェアは、以下のプロセスにコードを組み込みます。

• explorer.exe

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{string1}{string2} = "%Application Data%\Microsoft\{string1}{string2}\{string1}{string2}.exe"

他のシステム変更

スパイウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}\
Vars

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}\
Files

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}\
Run

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}\
Config

スパイウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}
{UID} = "{hex value}"

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}
{Value Name} = "{hex value}"
where {Value Name} may be any of the following:

• Main
• Block
• Temp
• Client
• Ini
• Keys
• Scr
• LastTask
• LastConfig
• CrHook
• OpHook
• Exec

作成活動

スパイウェアは、収集した情報を保存するために以下のファイルを作成します。

• %User Temp%\{random filename}.bin
• %User Temp%\{random filename}.bi1 - contains the user's IP Address

(註：%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。.)

情報漏えい

スパイウェアは、以下の情報を収集します。

• Computer Name
• Digital Certificates
• Cookies
• Keyboard Logs
• Clipboard Logs
• Captured Screenshot
• Email Credentials
• Running processes and services
• Installed device drivers
• Installed Programs
• System Information (Please see notes for more details)
• IP Address

情報収集

スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

• http://{BLOCKED}n.{BLOCKED}nagency.net/images/{random path}.{bmp}

その他

スパイウェアは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。

• myip.opendns.com
• resolver1.opendns.com

スパイウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• http://{BLOCKED}n.{BLOCKED}nagency.net/images/{random path}.{gif/jpeg}
• http://{BLOCKED}t.jp/img/t{32/64}.bin

スパイウェア は、自身（コンピュータに侵入して最初に自身のコピーを作成した スパイウェア ）を削除します。

スパイウェアは、不正なJSファイルに埋め込まれて、コンピュータに侵入します。

スパイウェアが作成し実行する以下のファイルは、コピーの実行および自身の削除に利用されます。

• %User Temp%\{random folder name}\{random filename}.bat

スパイウェアは、感染したコンピュータ内に以下のフォルダを作成します。

• %Application Data%\{string1}{string2}
  {string1} = %System%ディレクトリ下のDLLファイルの最初の4文字
  {string2} = %System%ディレクトリ下のDLLファイルの最後の4文字

スパイウェアは、感染したコンピュータ内に以下のファイルを作成します。

• %Application Data%\{string1}{string2}\{string1}{string2}.exe
  {string1} = %System%ディレクトリ下のDLLファイルの最初の4文字
  {string2} = %System%ディレクトリ下のDLLファイルの末尾の4文字

スパイウェアが収集した情報を保存するために作成する以下のファイルには、ユーザのIPアドレスが含まれています。

スパイウェアが収集する情報は以下のとおりです。

• コンピュータ名
• デジタル証明書
• クッキー
• キーボードの記録
• クリップボードの記録
• スクリーンショットの取得
• Eメールの認証情報
• 実行中のプロセスおよびサービス
• インストールされたデバイスドライバ
• インストールされたプログラム
• コンピュータの情報
• IPアドレス

ファイル ”systeminfo.exe” は、以下のコンピュータの情報を返します。

• ホスト名
• オペレーティングシステム（OS）の名称、バージョン、 製造元
• 環境設定およびビルドタイプ
• 登録されている所有者および組織
• 製品ID
• 最初にOSがインストールされた日
• システム起動時間
• コンピュータの製造元、モデルおよびタイプ
• プロセッサ
• BIOS バージョン
• Windows およびシステム のディレクトリ
• 起動デバイス
• システムおよび入力ロケール
• タイムゾーン
• 総メモリ容量および利用可能なメモリ容量
• 仮想メモリの情報 (最大、利用可能、使用中)
• ページ ファイルの場所
• ドメイン
• ログオンサーバ
• ホットフィックス
• ネットワークカード

スパイウェアは、以下を実行します。

• 窃取した情報をファイルに保存およびアップロード
• インターネット閲覧の監視
• 対象のプロセスのAPIをフック
• Mozilla Firefoxの SPDYプロトコルの無効化
• 情報収集を目的とした以下のコマンドの実行
  • systeminfo.exe
  • tasklist.exe /SVC
  • driverquery.exe
  • reg.exe query 
    "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall"
  • cmd /C "nslookup myip.opendns.com resolver1.opendns.com >＜User Temp＞\＜ランダムなファイル名＞.bi1"
• 自身のアンインストール
• スパイウェアは、プラグ アンド プレイ デバイスで以下の文字列を確認することで、自身が仮想環境またはサンドボックス下で実行されているかを確認し、確認された場合は自身を終了します。
  • vbox
  • qemu
  • vmware
  • virtual hd

スパイウェアは、"%System Root%\321.txt"を検索します。確認された場合、スパイウェアは自身の活動を開発者モードで実行します。

スパイウェアは、ルートキット機能を備えていません。

スパイウェアは、脆弱性を利用した感染活動を行いません。