TSPY_DYRE.EKW

トレンドマイクロは、このマルウェアをNoteworthy（要注意）に分類しました。

脆弱性「CVE-2013-2729」を利用するエクスプロイトにより、スパイウェア「DYREZA」がダウンロードされます。このスパイウェアは、オンライン銀行や仮想通貨「Bitcoin（ビットコイン）」の情報を収集する機能を備えていることで知られています。

スパイウェアは、リモートサイトから他の不正プログラムにダウンロードされ、コンピュータに侵入します。

スパイウェアは、特定のWebサイトにアクセスし、情報を送受信します。 スパイウェアは、実行後、自身を削除します。

侵入方法

スパイウェアは、リモートサイトから以下の不正プログラムによりダウンロードされ、コンピュータに侵入します。

• TROJ_PIDIEF.LK
• TROJ_PIDIEF.UXL
• TROJ_PIDIEF.YYGA

インストール

スパイウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

• %Windows%\{random file name}.exe (for Windows XP and lower)
• %AppDataLocal%\{random file name}.exe (for Vista and higher)

(註：%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.. %AppDataLocal%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local" です。)

スパイウェアは、以下のファイルを作成します。

• %System%\config\systemprofile\Application Data\{random file name 2}.vas (for Windows XP and lower)
• %AppDataLocal%\{random file name 3}.vas (for Vista and higher)

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %AppDataLocal%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local" です。)

スパイウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• Global\1g2hk1hyj

スパイウェアは、以下のプロセスにコードを組み込みます。

• explorer.exe

自動実行方法

スパイウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\googleupdate
ImagePath = "%Windows%\{random file name}.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\googleupdate
DisplayName = "Google Update Service"

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
(Default) = "%AppDataLocal%\{random file name}.exe " (for Vista and higher)

スパイウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\googleupdate(for Windows XP and lower)

情報漏えい

スパイウェアは、以下の情報を収集します。

• Host Name
• Public IP Address
• OS Version
• User Name

その他

スパイウェアは、以下のWebサイトにアクセスしてインターネット接続を確認します。

• google.com

スパイウェアは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。

• http://icanhazip.com

スパイウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• {BLOCKED}.{BLOCKED}.51.224:4443
• {BLOCKED}.{BLOCKED}.51.224:443
• {BLOCKED}.{BLOCKED}.46.50:4443
• {BLOCKED}.{BLOCKED}.122.128:4443
• {BLOCKED}.{BLOCKED}.121.205:4443
• {BLOCKED}.105.122.128:443
• {BLOCKED}.{BLOCKED}.98.111:4443
• {BLOCKED}.{BLOCKED}.121.205:443
• {BLOCKED}.{BLOCKED}.98.111:443
• {BLOCKED}.{BLOCKED}.35.188:443
• {BLOCKED}.{BLOCKED}.122.160:4443
• {BLOCKED}.{BLOCKED}.126.25:4443
• {BLOCKED}.{BLOCKED}.110.52:4443
• {BLOCKED}.{BLOCKED}.122.160:443
• {BLOCKED}.{BLOCKED}.126.25:443
• {BLOCKED}.{BLOCKED}.110.52:443
• {BLOCKED}.{BLOCKED}.122.160
• {BLOCKED}.{BLOCKED}.202.162:4443
• {BLOCKED}.{BLOCKED}.202.162:443
• {BLOCKED}.{BLOCKED}.227.37:443

スパイウェアは、実行後、自身を削除します。

スパイウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

• %Windows%\{random file name}.exe (Windows XP以下)
• %AppDataLocal%\{random file name}.exe (Vista以上)

スパイウェアは、以下のファイルを作成します。

• %System%\config\systemprofile\Application Data\{random file name 2}.vas (Windows XP以下)
• %AppDataLocal%\{random file name 3}.vas (Vista以上)

スパイウェアが、収集する情報は以下のとおりです。

• ホスト名
• 公開 IPアドレス
• OSのバージョン
• ユーザ名

スパイウェアは、以下のブラウザを監視します。

• Google Chrome
• Internet Explorer
• Mozilla Firefox

スパイウェアは、以下のいずれかの含むURLを不正なコードと共に、オンライン銀行やビットコインのログインページに組み込むことで、重要なオンライン銀行やビットコインの情報を収集します。

• accounts.expresscoin.com/*
• accounts.expresscoin.com/login*
• aibinternetbanking.aib.ie/*
• aibinternetbanking.aib.ie/inet/roi/login.htm*
• alolb1.arbuthnotlatham.co.uk/*
• alolb1.arbuthnotlatham.co.uk/IB/Online*
• anxbtc.com/*
• bank.barclays.co.uk/*
• bank.barclays.co.uk/olb/auth/LoginLink.action*
• banking.ireland-bank.com/*
• banking.ireland-bank.com/IrelandBankOnline_303/Authentication/Login.aspx*
• banking.triodos.co.uk/*
• banking.triodos.co.uk/ib-seam/login.seam*
• bankofirelandlifeonline.ie/*
• bankofirelandlifeonline.ie/homepage.jhtml*
• bitbargain.co.uk/*
• bitbargain.co.uk/login*
• bitpay.com/*
• bitpay.com/merchant-login*
• blockchain.info/*
• blockchain.info/wallet/login*
• bolpp.bankofireland.com/*
• bolpp.bankofireland.com/Commercial/*
• btultra.btrl.ro/*
• btultra.btrl.ro/sign/_mcologon*
• bureau.bottomline.co.uk/*
• bureau.bottomline.co.uk/unity/index.aspx*
• business.co-operativebank.co.uk/*
• business.co-operativebank.co.uk/corp/BANKAWAY*
• business.santander.co.uk/*
• business.santander.co.uk/LGSBBI_NS_ENS/BtoChannelDriver.ssobto*
• business2.danskebank.co.uk/*
• business2.danskebank.co.uk/pub/logon/logon.aspx*
• business2.danskebank.ie/*
• business2.danskebank.ie/pub/logon/logon.aspx*
• businessonline.mutualofomahabank.com/*
• businessonline.mutualofomahabank.com/cb/pages/jsp-ns/login.jsp*
• butterfieldonline.co.uk*
• butterfieldonline.co.uk/*
• cbfm.saas.cashfac.com/*
• cbfm.saas.cashfac.com/cbfm/Logon.aspx*
• cbionline.cbi.ae/*
• cbionline.cbi.ae/bus/security/Welcome.do*
• charisma.btdirect.ro/*
• charisma.btdirect.ro/CharismaWEB/_Public/Login.aspx*
• corporate.adcb.com/*
• corporate.adcb.com/corporateWeb/login.do*
• corporate.metrobankonline.co.uk/*
• corporate.santander.co.uk/*
• corporate.santander.co.uk/LOGSCU_NS_ENS/BtoChannelDriver.bto*
• dashboard.gocoin.com/*
• dashboard.gocoin.com/login*
• e-access.compassbank.com/*
• e-access.compassbank.com/bbw/cmserver/welcome/default/verify.cfm*
• eadibcorp.adib.ae/*
• eadibcorp.adib.ae/cb/servlet/cb/jsp-ns/login.jsp*
• esavings.shawbrook.co.uk/*
• esavings.shawbrook.co.uk/BankFast/Shawbrook*
• fastbanking.bancpost.ro/*
• fastbanking.bancpost.ro/iBankWeb/login.jsp*
• fdonline.co-operativebank.co.uk/*
• fdonline.co-operativebank.co.uk/corp/BANKAWAY*
• fidelitytopeka.btbanking.com/*
• fidelitytopeka.btbanking.com/onlineserv/CM/*
• home1.ybonline.co.uk/*
• home1.ybonline.co.uk/raluV8/reglm-web/login.ctl*
• home2.cybusinessonline.co.uk/*
• home2.cybusinessonline.co.uk/lmgruV8/ceblm-web/login.ctl*
• ht.businessonlinepayroll.com/*
• ht.businessonlinepayroll.com/SPF/login/ee_auth.aspx*
• ib.btrl.ro/*
• ib.btrl.ro/BT24/bfo/channel/web/loginframe.jsp*
• ibank.gtbankuk.com/*
• ibank.gtbankuk.com/Gaps_UK/Default.aspx*
• ibank.reliancebankltd.com/*
• ibank.reliancebankltd.com/logon.aspx*
• ibank.zenith-bank.co.uk/*
• ibank.zenith-bank.co.uk/internetbanking/index.jsp*
• ibb.firsttrustbank1.co.uk/*
• ibb.firsttrustbank1.co.uk/ibb/controller*
• ibusinessbanking.aib.ie/*
• ibusinessbanking.aib.ie/ibb/controller*
• leumionline.bankleumi.co.uk/*
• leumionline.bankleumi.co.uk/my.policy*
• localbitcoins.com/*
• localbitcoins.com/accounts/login*
• login.24banking.ro/*
• login.24banking.ro/casserver/login*
• login.isso.db.com/*
• login.isso.db.com/websso/sso_multi_auth_Logon.sso*
• login.salesforce.com/*
• login.smartbusiness.ae/*
• login.smartbusiness.ae/bo-login.jsp*
• my.sjpbank.co.uk/*
• my.sjpbank.co.uk/Security/Auth/Logon*
• net.crediteurope.ro/*
• net.crediteurope.ro/ibank-cln/do/login/prompt*
• netbanking.mashreqbank.com/*
• netbanking.mashreqbank.com/B001/SMELogin.jsp*
• netbanking.ubluk.com/*
• netbanking.ubluk.com/Login/Index*
• northrimbankonline.btbanking.com/*
• northrimbankonline.btbanking.com/onlineserv/CM/*
• online.adambank.com/*
• online.adambank.com/eBankingAdamLogin/login*
• online.bankofcyprus.co.uk/*
• online.bankofcyprus.co.uk/netteller/login.faces*
• online.coutts.com/*
• online.coutts.com/eBankingCouttsLogin/login*
• online.dib.ae/*
• online.dib.ae/webapplication.ui/localoperations/login/loginpage.aspx*
• online.duncanlawrie.com/*
• online.duncanlawrie.com/InternetBanking/faces/mdi/login.jsp*
• online.ebs.ie/*
• online.ebs.ie/internet/login/index.jsp*
• online.hoaresbank.co.uk/*
• online.hoaresbank.co.uk/fi11512/bb/logon*
• online.kbc.ie/*
• online.kbc.ie/kbc-online/onlinebanking/login*
• online.ybs.co.uk/*
• online.ybs.co.uk/public/authentication/login1.do*
• onlinebusiness.lloydsbank.co.uk/*
• onlinebusiness.lloydsbank.co.uk/business/logon/login.jsp*
• personal.co-operativebank.co.uk/*
• personal.co-operativebank.co.uk/CBIBSWeb/start.do*
• retail.santander.co.uk/*
• retail.santander.co.uk/LOGSUK_NS_ENS/BtoChannelDriver.ssobto*
• ro.unicreditbanking.net/*
• ro.unicreditbanking.net/disp*
• s2b.standardchartered.com/*
• s2b.standardchartered.com/ssoapp/login.jsp*
• safello.com/*
• safello.com/login*
• santander.hpdsc.com/*
• santander.hpdsc.com/main*
• secure.coinjar.com/*
• secure.coinjar.com/users/sign_in*
• secure.handelsbanken.com/*
• secure.handelsbanken.com/bb/glss/servlet/prelogon*
• secure.internetbanking.ro/*
• secure.internetbanking.ro/IBK_SMS/Login/LoginFirstStep.aspx*
• secure.membersaccounts.com/*
• secure.membersaccounts.com/SELFSERVICE/login.aspx*
• secure2.alphabank.ro/*
• secure2.alphabank.ro/corporate/CorpOTPLoginLangRom.jsp*
• webcmpr.bancopopular.com/*
• webcmpr.bancopopular.com/K1*
• www.365online.com/*
• www.365online.com/online365/spring/authentication*
• www.arabi-online.net/*
• www.arabi-online.net/efs/servlet/efs/jsp-ns/login.jsp*
• www.asbolb.com/*
• www.asbolb.com/servlet/ASB.ASBServlet*
• www.barclayswealth.com/*
• www.barclayswealth.com/login/action/logon/unauthenticated/personal/loginDetailsRouting*
• www.bitstamp.net/*
• www.bitstamp.net/account/login*
• www.boi-bol.com/*
• www.boi-bol.com/newHome.jsp*
• www.brdoffice.ro/*
• www.brdoffice.ro/smartoffice/_mcologon*
• www.cardonebanking.com/*
• www.cardonebanking.com/authlogin.aspx*
• www.caterallenonline.co.uk*
• www.caterallenonline.co.uk/*
• www.ceconline.ro/*
• www.ceconline.ro/smartoffice/logon.htm*
• www.coinbase.com/*
• www.coinbase.com/signin*
• www.corporate-clients.commerzbank.com/*
• www.corporate-clients.commerzbank.com/S-Portal/SHTML/cdir2/companydirectportal/pgf.html*
• www.halifax-online.co.uk/*
• www.halifax-online.co.uk/personal/logon/login.jsp*
• www.ingonline.com/*
• www.ingonline.com/ro/!UPR.Dispatcher*
• www.internationalpayments.co.uk/*
• www.investbank.ae/*
• www.investbank.ae/ibank/loginAction.do*
• www.iombankibanking.com/*
• www.iombankibanking.com/eai/IPB_EAI_Web/eai*
• www.kbinternetbanking.com*
• www.kbinternetbanking.com/*
• www.natwestibanking.com/*
• www.natwestibanking.com/eai/IPB_EAI_Web/customerNumber.do*
• www.onlinebanking.iombank.com/*
• www.onlinebanking.iombank.com/default.aspx*
• www.onlinebanking.natwestoffshore.com/*
• www.onlinebanking.natwestoffshore.com/default.aspx*
• www.open24.ie/*
• www.open24.ie/online/login.aspx*
• www.raiffeisenonline.ro/*
• www.raiffeisenonline.ro/eBankingWeb/login*
• www.rbsidigital.com/*
• www.rbsidigital.com/default.aspx*
• www.rbsiibanking.com/*
• www.rbsiibanking.com/ipb/IPB_Client_Web/Start.do*
• www.suntrust.com/*
• www.suntrust.com/portal/server.pt*
• www.svbconnect.com/*
• www.svbconnect.com/auth*
• www1.firstdirect.com/*
• www1.firstdirect.com/1/2/!ut/p/c5/04_SB8K8xLLM9MSSzPy8xBz9CP0os3gDgzAfSycDUy8LAzNDbz8vbzMDKADKR5rFO7s7epiY-wD5YZ6uBp4mTiYGpr5uhgaexmDdFibeBn7enkEuBs4ejiYeHkGGMN0FuaGKAPRSfDc!*
• www1.rbcbankusa.com/*
• www1.rbcbankusa.com/cgi-bin/rbaccess/rbunxcgi*
• www22.bmo.com/*
• www22.bmo.com/ctpauth/CTPEAILogin/CustUserPasswordAuthServlet*

スパイウェアは、以下の「Simple Traversal of UDP through NATs（STUN）」サーバにアクセスし、感染したコンピュータの公開 IPアドレスを特定します。

• stun1.voiceeclipse.net
• stun.callwithus.com
• stun.sipgate.net
• stun.ekiga.net
• stun.ideasip.com
• stun.internetcalls.com
• stun.noc.ams-ix.net
• stun.phonepower.com
• stun.voip.aebc.com
• stun.voipbuster.com
• stun.voxgratia.org
• stun.ipshka.com
• stun.faktortel.com.au
• stun.iptel.org
• stun.voipstunt.com
• stunserver.org
• 203.183.172.196:3478
• s1.taraba.net
• s2.taraba.net
• stun.l.google.com:19302
• stun1.l.google.com:19302
• stun2.l.google.com:19302
• stun3.l.google.com:19302
• stun4.l.google.com:19302
• stun.schlund.de
• stun.rixtelecom.se
• stun.voiparound.com
• numb.viagenie.ca
• stun.stunprotocol.org
• stun.2talk.co.nz