トレンドマイクロは、このスパイウェアをNoteworthy(要注意)に分類しました。
このスパイウェアは、韓国の改ざんされた特定のWebサイト上に組み込まれていたことが確認されました。スパイウェアは、特定のオンラインゲームから認証情報を収集するだけでなく、「BKDR_TENPEQ.SM」として検出されるバックドア型マルウェアをダウンロードします。
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
スパイウェアは、特定のオンラインゲームに関連するユーザ名やパスワードといった個人情報を収集します。
スパイウェアが自身の不正活動を実行するためには、メインとなるコンポーネントが必要になります。
侵入方法
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
スパイウェアは、以下のコンポーネントファイルを作成します。
- %Windows%\setupball.bmp - encrypted dll file(detected as TSPY_ONLINEG.OMU when decrypted)
- %Windows%\version.dat
- %Windows%\wintmp.dat
- %Windows%\winurl.dat
- %User Temp%\del{random}.bat - deletes the initiial copy of the malware, deletes the batch file itself, and renames an existing olesau32.dll(malware copy)
(註:%Windows%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、"C:\Windows" です。. %User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。)
スパイウェアは、以下のプロセスにコードを組み込みます。
プロセスの終了
スパイウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。
- V3LTray.exe
- V3LSvc.exe
- V3Light.exe
- V3LRun.exe
作成活動
スパイウェアは、収集した情報を保存するために以下のファイルを作成します。
ダウンロード活動
スパイウェアは、以下のWebサイトにアクセスして自身のコンポーネントファイルをダウンロードします。
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120547.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120546.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120545.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120544.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120543.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120542.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120541.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120540.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120539.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120538.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120537.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120536.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120535.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120534.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120533.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120532.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120531.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120530.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120529.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120528.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120527.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120526.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120525.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120524.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120523.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120522.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120521.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120520.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120519.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120518.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120516.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120515.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120514.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120513.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120512.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120511.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120510.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120509.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120508.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120507.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120506.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120505.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120504.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120503.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120502.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120501.gif
トレンドマイクロの製品では、ダウンロードしたファイルを以下として検出します。
情報漏えい
スパイウェアは、以下のオンラインゲームに関連するユーザ名やパスワードといった個人情報を収集します。
- DKonline.exe
- DuelPoker.exe
- PMClient.exe
- NMWizard24.exe
- heroes.exe
- Poker.exe
- HgSel.exe
- NGM.exe
- ArcheAge.exe
- fifazf.exe
- client.exe
- KRITIKA_Client.exe
情報収集
スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。
- www.{BLOCKED}la.com/up/otp.asp
その他
スパイウェアが自身の不正活動を実行するためには、メインとなるコンポーネントが必要になります。
スパイウェアが作成する以下のコンポーネントは、暗号化されたDLLファイルです。このファイルもこのスパイウェアとして検出されます。
スパイウェアが作成する以下のコンポーネントは、最初に作成されたこのスパイウェアのコピーを削除します。そしてこのバッチファイル自体を削除します。また、自身のコピーである "olesau32.dll" を改称します。
- %User Temp%\del{random}.bat
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアのパス名およびファイル名を確認します。
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用いてウイルス検索を実行してください。「TSPY_ONLINEG.OMU」で検出したパス名およびファイル名を確認し、メモ等をとってください。
手順 3
「TSPY_ONLINEG.OMU」 が作成またはダウンロードした不正なファイルを削除します。
手順 4
回復コンソールを使用して、TSPY_ONLINEG.OMU として検出されるファイルを確認し、削除します。
[ 詳細 ]
[ 戻る ]
マルウェアのファイルの確認および削除:
- 以下の方法でWindowsの回復コンソールを使用し、不正プログラムを削除してください。
- Windows のインストールCDを使用して、コンピュータを再起動します。
- [セットアップへようこそ] 画面で、修復の R キーを押します。
- キーボードを選択します。
- 修復する Windows がインストールされているドライブを選択します(通常は 1 を選択します)。
- 管理者のパスワードを入力し、Enter キーを押します。管理者パスワードがない場合は、何も入力せずに Enter キーを押します。
- コマンドプロンプトに、上記で確認した不正プログラムが検出されたフォルダ名を入力します。
- 以下のコマンドを入力し、Enter キーを押します。
DEL <上記で確認した不正プログラムのパス名およびファイル名>
※DEL と <上記で確認した不正プログラムのパス名およびファイル名> の間に半角スペースを入れてください。 - 同様の方法で、上記で確認した不正プログラムのファイルをすべて削除してください。
- コマンドプロンプトに EXIT と入力し、コンピュータを再起動してください。
手順 5
以下のファイルを検索し削除します。
[ 詳細 ]
[ 戻る ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
- %Windows%\setupball.bmp
- %Windows%\version.dat
- %Windows%\wintmp.dat
- %Windows%\winurl.dat
- d3d8d{number}.ini
マルウェアのコンポーネントファイルの削除:
- [スタート]-[検索]-[ファイルとフォルダすべて]を選択します。
- [ファイル名のすべてまたは一部]に以下を入力してください。
- %Windows%\setupball.bmp
- %Windows%\version.dat
- %Windows%\wintmp.dat
- %Windows%\winurl.dat
- d3d8d{number}.ini
- [探す場所]の一覧から[マイコンピュータ]を選択し、[検索]を押します。
- 検索が終了したら、ファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
- 残りのファイルに対して、このマルウェアのコンポーネントファイルの削除の手順2.)から 4.)を繰り返してください。
手順 6
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TSPY_ONLINEG.OMU」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください