TSPY_SPYEYE.DU
Windows 2000, Windows XP, Windows Server 2003
マルウェアタイプ:
スパイウェア
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
スパイウェアは、ルートキット機能を備えており、自身に関連したプロセスおよびファイルを隠匿し、ユーザによる検出および削除を避けます。
スパイウェアは、Internet Explorer(IE)のセキュリティ設定レベルを下げます。
詳細
インストール
スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %System Root%\trivax1.Bin\trivax1.Bin.exe
(註:%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)
スパイウェアは、以下のコンポーネントファイルを作成します。
- %System Root%\trivax1.Bin\config.bin
(註:%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)
スパイウェアは、以下のフォルダを作成します。
- %System Root%\trivax1.Bin
(註:%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)
他のシステム変更
スパイウェアは、以下のレジストリキーを追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\PhishingFilter
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Recovery
スパイウェアは、インストールの過程で、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Recovery
ClearBrowsingHistoryOnExit = "0"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
GlobalUserOffline = "0"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
ProxyHttp1.1 = "1"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
WarnOnPostRedirect = "0"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
WarnOnIntranet = "0"
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\PhishingFilter
ShownServiceDownBalloon = "0"
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\PhishingFilter
EnabledV8 = "0"
スパイウェアは、以下のレジストリ値を変更します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
WarnOnPost = 0
(註:変更前の上記レジストリ値は、「1」となります。)
ルートキット機能
スパイウェアは、ルートキット機能を備えており、自身に関連したプロセスおよびファイルを隠匿し、ユーザによる検出および削除を避けます。
Webブラウザのホームページおよび検索ページの変更
スパイウェアは、IEのセキュリティ設定レベルを下げます。
その他
スパイウェアは、以下の不正なWebサイトにアクセスします。
- http://{BLOCKED}x.com/user/gate.php