TrojanSpy.Win32.BEAHNY.THCACAI

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェアは、特定のWebサイトにアクセスし、情報を送受信します。

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、以下のファイルを作成します。

• %Start Menu%\{8 random characters}.exe -> Modified Copy of File
• %Windows%\{8 random characters}.exe ->Modified Copy of File
• %Application Data%\{8 random characters}.exe ->Modified Copy of File
• %User Temp%\{7 random numerical characters}.bat -> 3 files will be created for dropping of malware file in %Windows%, %Application Data% and %Start Menu% directories.

(註：%Start Menu%フォルダは、現在ログオンしているユーザのスタートメニューフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Windows\Start Menu" または "C:\Documents and Settings\＜ユーザ名＞\Start Menu" です。また、Windows Vista、7、8の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming\Microsoft\Windows\Start Menu" です。. %Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.. %Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

スパイウェアは、以下のプロセスを追加します。

• /c "%User Temp%\{7 random numerical characters}.bat" -> Copies the malware file into %Windows%, %Application Data%, %Start Menu%, then deletes "%User Temp%\{7 random numerical characters}.bat" after execution
• cmd /c start /b sc start Schedule&ping localhost&sc query Schedule|findstr RUNNING&&(schtasks /delete /TN {10 random characters} /f&schtasks /create /ru system /sc MINUTE /mo 50 /ST 07:00:00 /TN {10 random characters} /tr "cmd.exe /c %Windows%\{8 random characters}.exe"&schtasks /run /TN {10 random characters}) -> process that checks for the scheduled task, ping's local host and creates scheduled task
• schtasks /create /ru system /sc MINUTE /mo 50 /ST 07:00:00 /TN {10 random characters} /tr "cmd.exe /c %Windows%\{8 random characters}.exe" -> creates scheduled task
• %Application Data%\{8 Random Characters}.exe
• wmic csproduct get UUID -> to get the machine's GUID
• wmic nic where netconnectionid!=NULL get macaddress -> to get the machine's MAC Address
• Wmic Path Win32_VideoController Get Description -> to get the Graphics Memory information

(註：%Start Menu%フォルダは、現在ログオンしているユーザのスタートメニューフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Windows\Start Menu" または "C:\Documents and Settings\＜ユーザ名＞\Start Menu" です。また、Windows Vista、7、8の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming\Microsoft\Windows\Start Menu" です。)

スパイウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• AH0a4hnqzh3gQp

バックドア活動

スパイウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• http://{BLOCKED}i.{BLOCKED}g.com/t.php?ID={Computer Name}&GUID={GUID}&MAC={MAC ADDRESS}&OS={OS Version&BIT={32/64}&CARD={VIDEO CARD INFORMATION}&_T={TIME}
• http://{BLOCKED}p.{BLOCKED}y.com/t.php?ID={Computer Name}&GUID={GUID}&MAC={MAC ADDRESS}&OS={OS Version&BIT={32/64}&CARD={VIDEO CARD INFORMATION}&_T={TIME}
• http://{BLOCKED}o.{BLOCKED}h.com/t.php?ID={Computer Name}&GUID={GUID}&MAC={MAC ADDRESS}&OS={OS Version&BIT={32/64}&CARD={VIDEO CARD INFORMATION}&_T={TIME}

情報漏えい

スパイウェアは、以下の情報を収集します。

• Computer Name
• Machine's GUID
• MAC Address
• OS Version
• Graphics Memory Information
• System Time