TSPY_ROVNIX.YPOB

トレンドマイクロは、このマルウェアをNoteworthy（要注意）に分類しました。

このマルウェアは、およそ3,000の日本国内の正規サイト上で表示された「malvertisement（不正広告）」攻撃のペイロードです。この攻撃は、 Internet Explorer および Adobe Flash Player の脆弱性をついたエクスプロイトキット「Angler Exploit Kit（Angler EK）」を利用します。

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェアは、Internet Explorer（IE）のゾーン設定を変更します。

スパイウェアは、ダウンロードしたファイルを実行します。

スパイウェア マルウェアは、自身（コンピュータに侵入して最初に自身のコピーを作成した スパイウェア ）を削除します。

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、異なるファイル名を用いて以下のフォルダ内に自身のコピーを作成します。

• "%Application Data%\BackUp{Volume ID}.exe"

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.)

スパイウェアは、以下のファイルを作成します。

• "%User Temp%\NTFS.sys"
• "%User Temp%\tmp{3 Random Numbers}.tmp.exe"
• "%System%\BOOT.dat"

(註：%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。.. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

スパイウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• "Global\INSNTFS{Volume ID}"
• "Global\UACNTFS{Volume ID}"
• "Global\BDNTFS{Volume ID}"

自動実行方法

スパイウェアは、以下のサービスを追加し、実行します。

• %User Temp%\NTFS.sys
  Service Name: "BS{Volume ID}"

(註：%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。.)

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
BackUp{Volume ID} = "%Application Data%\BackUp2326257383.exe"

他のシステム変更

スパイウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Sysinternals\
C
EulaAccepted = 1

HKEY_CURRENT_USER\Software\Microsoft\
Installer\Products\B2326257383
LP = "%User temp%\L2326257383"

HKEY_USERS\.DEFAULT\Software\
Sysinternals\C
EulaAccepted = 1

スパイウェアは、以下のレジストリキーを変更します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
RSA{Volume ID} = "%System%\rundll32.exe "%Application Data%\Microsoft\Crypto\RSA\RSA{Volume ID}.dll",DllInitialize

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Disk Defragmenter = "%System%\rundll32.exe "%Application Data%\defragsvc.dll",DllInitialize"

プロセスの終了

スパイウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• iexplore.exe

Webブラウザのホームページおよび検索ページの変更

スパイウェアは、IEのゾーン設定を変更します。

ダウンロード活動

スパイウェアは、以下のWebサイトにアクセスし、ファイルをダウンロードします。

• http://{BLOCKED}ebabanahujtr.org/53648768.zip

スパイウェアは、以下のファイル名でダウンロードしたファイルを保存します。

• "%Application Data%\Microsoft\Crypto\RSA\RSA{Volume ID}.dll"
• "%Application Data%\defragsvc.dll"

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.)

トレンドマイクロの製品では、ダウンロードしたファイルを以下として検出します。

• TROJ_ROVNIX.YPOD

スパイウェアは、ダウンロードしたファイルを実行します。

情報漏えい

スパイウェアは、以下の情報を収集します。

• Information on the Volume Protection/Encryption:
  • Bitlocker
  • TrueCrypt
  • VeraCrypt
• Windows Version
• SID Sub Authority and its Count
• User Account and SIDs
• NTFS Information
• Native System Information
• Product Information
• OS Architecture (x86/x64)
• Volume Information
• List of Running Process
• File Version Info of Processes Listed
• File Description of Processes Listed
• Company Name of Processes Listed
• Product Version of Processes Listed
• Product Name of Processes Listed
• File Time of "%System%\win32k.sys"
• Information on AV Related Process Running with the following Strings
  • "agnitum"
  • "alwilsoftware"
  • "pctools"
  • "grisoft"
  • "aviragmbh"
  • "aviraproduct"
  • "avirafreeantivirus"
  • "bitdefender"
  • "avginternetsecurity"
  • "comodo"
  • "doctorweb"
  • "eset,spol"
  • "esetsmart"
  • "frisksoftware"
  • "kaspersky"
  • "pandasoftware"
  • "symanteccorporation"
  • "checkpointsoftware"
  • "microsoftsecurity"
  • "microsoftmalware"
  • "mcafee"
  • "bullguard"
  • "novashieldinc"
  • "cjscreturnilsoftware"
  • "sophosplc"
  • "quickhealtechnologies"
  • "gdatasoftware"
  • "beijingrising"
  • "immunetcorporation"
  • "k7computing"
  • "sunbeltsoftware"
  • "beijingjiangmin"
  • "usbdisksecurity"
  • "deepfreeze"
  • "virus"
  • "malware"
  • "rootkit"
  • "rapport"
• Logs of its successful routines
• PID of process running the malware (Child and/or Parent)
• Current Directory of the Malware

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

情報収集

スパイウェアは、以下のファイル内に収集した情報を保存します。

• "%User Temp%\L(Volume ID)"
• "%User Temp%\tmp{4 alphanumeric characters}.tmp"

(註：%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。.)

スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

• http://{BLOCKED}ebabanahujtr.org/cgi-bin/150915/post.cgi

その他

スパイウェアは、以下のプロセスの存在を確認します。

• explorer.exe

スパイウェア は、自身（コンピュータに侵入して最初に自身のコピーを作成した スパイウェア ）を削除します。

スパイウェアは、以下のいずれかのユーザ名が感染コンピュータで確認される場合、自身を終了します。

• luser
• perl
• python
• trace
• dump

スパイウェアが収集する情報は以下のとおりです。

• ボリュームの保護または暗号化の情報
  • Bitlocker
  • TrueCrypt
  • VeraCrypt
• Windowsのバージョン情報
• セキュリティ識別子（SID）サブ機関値およびその数
• ユーザアカウントおよびSID
• NTFS情報
• ネイティブシステム情報
• 製品情報
• OSのアーキテクチャ、32ビット版または64ビット版
• ボリューム情報
• 実行中プロセスのリスト
• リストにあるプロセスのファイルバージョン情報
• リストにあるプロセスのファイルの説明
• リストにあるプロセスの会社名
• リストにあるプロセスの製品バージョン
• リストにあるプロセスの製品名
• "%System%\win32k.sys"のFileTime
• 以下の文字列を含む、実行中のAV関連プロセスの情報
  • agnitum
  • alwilsoftware
  • pctools
  • grisoft
  • aviragmbh
  • aviraproduct
  • avirafreeantivirus
  • bitdefender
  • avginternetsecurity
  • comodo
  • doctorweb
  • eset,spol
  • esetsmart
  • frisksoftware
  • kaspersky
  • pandasoftware
  • symanteccorporation
  • checkpointsoftware
  • microsoftsecurity
  • microsoftmalware
  • mcafee
  • bullguard
  • novashieldinc
  • cjscreturnilsoftware
  • sophosplc
  • quickhealtechnologies
  • gdatasoftware
  • beijingrising
  • immunetcorporation
  • k7computing
  • sunbeltsoftware
  • beijingjiangmin
  • usbdisksecurity
  • deepfreeze
  • virus
  • malware
  • rootkit
  • rapport
• 成功したルーティンの記録
• マルウェアを実行するプロセスのPID（子および、または親）
• マルウェアの現在のディレクトリ

マルウェアは、以下を実行します。

• マルウェアは、暗号化されたコードを読み込むためにNTFSブートセクタを変更します。
• 以下のいずれかによってハードディスクが保護または暗号化されている場合、自身を終了します。
  • BitLocker
  • VeraCrypt
  • TrueCrypt
• 現在のユーザのログオフ
• %User Temp% フォルダ内にあるファイルの削除
• マルウェアの名称かパスに以下のサブストリングが含まれる場合、自身を終了します。
  • samp
  • smpl
  • vir
  • malw
  • test
  • troj

(註：%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)