解析者: Roland Marco Dela Paz   

 別名:

W32.Gauss (Symantec); Trojan-Spy.Win32.Gauss (Kaspersky)

 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 感染確認数:
 システムへの影響:
 情報漏えい:

  • マルウェアタイプ:
    スパイウェア

  • 破壊活動の有無:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

トレンドマイクロは、このスパイウェアをNoteworthy(要注意)に分類しました。

スパイウェアは、システム関連の情報の収集および、オンラインバンキング、ソーシャルネットワーキング、Eメールおよびインスタントメッセンジャ(IM)の認証情報を収集するように設計されています。スパイウェアは、中東地域の企業を狙った標的型攻撃で利用されている可能性があります。

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェアは、感染コンピュータから特定の情報を収集します。

スパイウェアは、特定のWebサイトにアクセスし、情報を送受信します。 スパイウェアは、上記プロセスが確認されると、そのプロセスを停止します。これにより、感染コンピュータ上で自身の実行を確実にします。

  詳細

ファイルサイズ 不定
タイプ DLL
メモリ常駐 はい
発見日 2012年8月10日
ペイロード URLまたはIPアドレスに接続, ファイルの作成

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、以下の無害なファイルを作成します。

  • %User Temp%\~shw.tmp - log file
  • %User Temp%\~gdl.tmp - log file
  • %User Temp%\~mdk.tmp - log file
  • %User Temp%\md.bak - log file
  • %Windows%\system\Temp\s61cs3.dat - log file
  • %Windows%\temp\~ZM6AD3.tmp - log file
  • %User Temp%\ws1bin.dat - log file
  • %Windows%\Fonts\pldnrfn.ttf - font file

(註:%User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\<ユーザー名>\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\TEMP" です。. %Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。)

スパイウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

  • ShellHWDetectionMutex

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。

HKEY_CURRENT_USER\CLSID\{CLSID}\
InProcServer32
(Default) = "%System%\wbem\wmihlp32.dll"

(註:変更前の上記レジストリ値は、「%system32%\wbem\wbemsvc.dll」となります。)

他のシステム変更

スパイウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Reliability
TimeStampForUI = "{data}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Reliability
ShutdownIntervalSnapshotUI = "{data}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Reliability
ShutdownInterval = "{data}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Fonts
Palida Narrow (TrueType) = "pldnrfn.ttf"

情報漏えい

スパイウェアは、感染コンピュータから以下の情報を収集します。

  • CMOS information
  • BIOS information
  • Computer name
  • Domain account information
  • Operating System Version
  • Workstation information
  • Available drives
  • Driectories under %Program Files% folder
  • IE version
  • Environment variables
  • Network adapter information
  • Routing table
  • Disk information
  • Running Processes
  • Available Microsoft SQL servers
  • URL cache
  • Available network shares
  • Proxy configuration

(註:%Program Files%は、標準設定では "C:\Program Files" です。)

その他

スパイウェアは、以下のWebサイトにアクセスしてインターネット接続を確認します。

  • www.google.com
  • www.update.windows.com

スパイウェアは、以下のWebサイトにアクセスし、情報を送受信します。

  • {BLOCKED}.{BLOCKED}.45.115
  • {BLOCKED}.{BLOCKED}.166.116
  • {BLOCKED}mputeradvisor.com
  • {BLOCKED}nction.org
  • {BLOCKED}advisor.info
  • {BLOCKED}7.com
  • {BLOCKED}access.net
  • {BLOCKED}ity.net

スパイウェアは、以下のプロセスの存在を確認します。

  • abcd.exe
  • acs.exe
  • adoronsfirewall.exe
  • alertwall.exe
  • ALMon.exe
  • ALsvc.exe
  • alupdate.exe
  • AntiHook.exe
  • app_firewall.exe
  • apvxdwin.exe
  • armorwall.exe
  • as3pf.exe
  • asr.exe
  • aupdrun.exe
  • authfw.exe
  • avas.exe
  • avcom.exe
  • AVKProxy.exe
  • avkservice.exe
  • AVKTray.exe
  • AVKWCtl.exe
  • avkwctrl.exe
  • avmgma.exe
  • avp.exe
  • avtask.exe
  • aws.exe
  • backgroundscanclient.exe
  • bgctl.exe
  • bgnt.exe
  • blackd.exe
  • blackice.exe
  • blinksvc.exe
  • bootsafe.exe
  • bullguard.exe
  • CavApp.exe
  • cavasm.exe
  • CavAUD.exe
  • CavCons.exe
  • CavEmSrv.exe
  • Cavmr.exe
  • CavMud.exe
  • Cavoar.exe
  • CavQ.exe
  • CavSn.exe
  • CavSub.exe
  • CavUMAS.exe
  • CavUserUpd.exe
  • Cavvl.exe
  • cdas17.exe
  • cdas2.exe
  • cdinstx.exe
  • CEmRep.exe
  • clamd.exe
  • CMain.exe
  • cmdagent.exe
  • cmgrdian.exe
  • configmgr.exe
  • configuresav.exe
  • cpd.exe
  • csi-eui.exe
  • CV.exe
  • DCSUserProt.exe
  • dfw.exe
  • dlservice.exe
  • dltray.exe
  • dvpapi.exe
  • emlproui.exe
  • emlproxy.exe
  • endtaskpro.exe
  • espwatch.exe
  • Ethereal.exe
  • fameh32.exe
  • fch32.exe
  • fgui.exe
  • filedeleter.exe
  • filemon.exe
  • firewall.exe
  • firewall2004.exe
  • firewallgui.exe
  • fsar32.exe
  • fsav32.exe
  • fsdfwd.exe
  • fsgk32.exe
  • fsgk32st.exe
  • fsguidll.exe
  • fshdll32.exe
  • fsm32.exe
  • fsma32.exe
  • fsmb32.exe
  • fsorsp.exe
  • fspc.exe
  • fsqh.exe
  • fsrt.exe
  • fssm32.exe
  • fsus.exe
  • fwsrv.exe
  • gateway.exe
  • GDFirewallTray.exe
  • GDFwSvc.exe
  • GDScan.exe
  • gsava.exe
  • gssm32.exe
  • hpf_.exe
  • iface.exe
  • InstLsp.exe
  • invent.exe
  • ipatrol.exe
  • ipcserver.exe
  • ipctray.exe
  • kpf4gui.exe
  • kpf4ss.exe
  • licwiz.exe
  • livehelp.exe
  • lookout.exe
  • lpfw.exe
  • mpf.exe
  • mpfcm.exe
  • Netcap.exe
  • Netguard Lite.exe
  • netguardlite.exe
  • Netmon.exe
  • nstzerospywarelite.exe
  • oasclnt.exe
  • omnitray.exe
  • OnAccessInstaller.exe
  • onlinent.exe
  • op_mon.exe
  • opf.exe
  • opfsvc.exe
  • outpost.exe
  • Packetizer.exe
  • Packetyzer.exe
  • pcipprev.exe
  • pctav.exe
  • pctavsvc.exe
  • pcviper.exe
  • persfw.exe
  • pfft.exe
  • pgaccount.exe
  • prevxcsi.exe
  • prifw.exe
  • privatefirewall 3.exe
  • privatefirewall3.exe
  • procguard.exe
  • procmon.exe
  • protect.exe
  • pxagent.exe
  • rawshark.exe
  • RDTask.exe
  • rtt_crc_service.exe
  • sab_wab.exe
  • sagui.exe
  • SAVAdminService.exe
  • savcleanup.exe
  • savcli.exe
  • savmain.exe
  • savprogress.exe
  • SavService.exe
  • scfmanager.exe
  • scfservice.exe
  • schedulerdaemon.exe
  • sdcdevcon.exe
  • sdcdevconIA.exe
  • sdcdevconx.exe
  • sdcservice.exe
  • sdtrayapp.exe
  • siteadv.exe
  • sndsrvc.exe
  • Sniffer.exe
  • snsmcon.exe
  • snsupd.exe
  • SoftAct.exe
  • sp_rsser.exe
  • spfirewallsvc.exe
  • sppfw.exe
  • spybotsd.exe
  • SpyHunter3.exe
  • spywareterminatorshield.exe
  • spywat~1.exe
  • ssupdate.exe
  • SUPERAntiSpyware.exe
  • Tcpdump.exe
  • terminet.exe
  • Tethereal.exe
  • THGuard.exe
  • tppfdmn.exe
  • tscutynt.exe
  • tshark.exe
  • tzpfw.exe
  • umxagent.exe
  • umxtray.exe
  • updclient.exe
  • UUpd.exe
  • uwcdsvr.exe
  • VCATCH.EXE
  • vdtask.exe
  • VSDesktop.exe
  • vsmon.exe
  • webwall.exe
  • Windump.exe
  • winroute.exe
  • Wireshark.exe
  • wwasher.exe
  • xauth_service.exe
  • xfilter.exe
  • ywareterminatorshield.exe
  • zanda.exe
  • zapro.exe
  • zerospywarele.exe
  • zerospywarelite_installer.exe
  • zlclient.exe
  • zlh.exe

スパイウェアは、上記プロセスが確認されると、そのプロセスを停止します。これにより、感染コンピュータ上で自身の実行を確実にします。

スパイウェアが作成する無害なファイルは、以下のとおりです。

  • %User Temp%\~shw.tmp - ログファイル
  • %User Temp%\~gdl.tmp - ログファイル
  • %User Temp%\~mdk.tmp - ログファイル
  • %User Temp%\md.bak - ログファイル
  • %Windows%\system\Temp\s61cs3.dat - ログファイル
  • %Windows%\temp\~ZM6AD3.tmp - ログファイル
  • %User Temp%\ws1bin.dat - ログファイル
  • %Windows%\Fonts\pldnrfn.ttf - フォントファイル

スパイウェアが収集する情報は、以下のとおりです。

  • CMOS情報
  • BIOS情報
  • コンピュータ名
  • ドメインアカウント情報
  • オペレーティングシステム(OS)のバージョン
  • ワークステーション情報
  • 利用可能なドライブ
  • <Program Files>フォルダ内のディレクトリ
  • Internet Explorer(IE)のバージョン
  • 環境変数
  • ネットワークアダプタ情報
  • ルーティングテーブル
  • ディスク情報
  • 実行中のプロセス
  • 利用可能なMicrosoft SQLサーバ
  • URLキャッシュ
  • 利用可能なネットワーク共有フォルダ
  • プロキシ設定

スパイウェアは、以下のコンポーネントを利用します。これらはすべて自身として検出されます。

  • %System%\devwiz.ocx
  • %System%\dskapi.ocx
  • %System%\lanhlp32.ocx
  • %System%\mcdmn.ocx
  • %System%\smdk.ocx
  • %System%\wbem\wmihlp32.ocx
  • %System%\wbem\wmiqry32.ocx
  • %System%\windig.ocx
  • %System%\winshell.ocx

スパイウェアは、自身が "LSASS.EXE" によって読み込まれているかを確認します。読み込まれている場合、スパイウェアは、インストール活動を実行します。読み込まれていない場合、メインとなる不正活動を実行します。

スパイウェアは、以下のイベントを作成します。

  • ShellHWStop
  • Global\ShellHWDetectionEvent

スパイウェアは、ファイル "pldnrfn.ttf" を作成するために、以下のレジストリキーにランダムなバイナリデータを書き込みます。

HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\Reliability
ShutdownInterval = "<ランダムなバイナリデータ>"

スパイウェアは、以下の情報を収集する機能を備えています。

  • オンラインバンキング、ソーシャルネットワーキング、Eメールおよびインスタントメッセンジャ(IM)に関連する認証情報
  • Webサイトの閲覧履歴
  • クッキーおよびパスワード

スパイウェアは、「JS_GAUSS.A」として検出されるFirefoxのプラグインをインストールし、情報収集活動を補助します。

スパイウェアは、リムーバブルドライブ内に以下のコンポーネントを作成します。

  • System32.dat - このスパイウェアとして検出
  • System32.bin - このスパイウェアとして検出
  • thumbs.db - ログファイル

スパイウェアは、リムーバブルドライブ内に以下のフォルダを作成します。

  • .Backup0<文字>
  • .Backup00<文字>

そして、スパイウェアは、自身を自動実行をするための以下のコンポーネントを作成します。このコンポーネントは、脆弱性「CVE-2010-2568」を利用します。

  • desktop.ini
  • target.lnk

  対応方法

対応検索エンジン: 9.200
初回 VSAPI パターンバージョン 9.320.04
初回 VSAPI パターンリリース日 2012年8月14日
VSAPI OPR パターンバージョン 9.321.00
VSAPI OPR パターンリリース日 2012年8月14日

手順 1

Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

この「TSPY_GAUSS.A」が作成、あるいは、ダウンロードした以下のファイルを検索し、検索した場合は削除してください。

手順 3

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 4

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Reliability
    • TimeStampForUI = {data}
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Reliability
    • ShutdownIntervalSnapshotUI = {data}
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Reliability
    • ShutdownInterval = {data}
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Fonts
    • Palida Narrow (TrueType) = pldnrfn.ttf

手順 5

変更されたレジストリ値を修正します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_CURRENT_USER\CLSID\{CLSID}\InProcServer32
    • From: Default = %System%\wbem\wmihlp32.dll
      To: Default = %System%\wbem\wbemsvc.dll

手順 6

以下のフォルダを検索し削除します。

[ 詳細 ]
フォルダが隠しフォルダ属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • {removable drive letter}:\.Backup0{character}
  • {removable drive letter}:\.Backup00{character}

手順 7

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %User Temp%\~shw.tmp
  • %User Temp%\~gdl.tmp
  • %User Temp%\~mdk.tmp
  • %User Temp%\md.bak
  • %Windows%\system\Temp\s61cs3.dat
  • %Windows%\temp\~ZM6AD3.tmp
  • %User Temp%\ws1bin.dat
  • %Windows%\Fonts\pldnrfn.ttf
  • {removable drive letter}:\thumbs.db

手順 8

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TSPY_GAUSS.A」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 9

以下の修正パッチをダウンロードし適用します。この脆弱性に対する修正パッチを適用するまで、該当製品の使用をお控えください。この製品の製造元が公開する正式な修正パッチをダウンロードし適用することをお勧めします。

日本語情報はこちら


ご利用はいかがでしたか? アンケートにご協力ください