TSPY_SPYEYE.EXEI
Trojan-Spy.Win32.SpyEyes.gyi (Kaspersky), Trojan:Win32/EyeStye.N (Microsoft)
Windows 2000, Windows XP, Windows Server 2003
マルウェアタイプ:
スパイウェア
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
トレンドマイクロは、このスパイウェアをNoteworthy(要注意)に分類しました。
「SpyEye」ファミリは、情報収集型不正プログラム「ZBOT」と同様、情報収集活動をすることで知られています。
スパイウェアは、特定の情報を不正リモートユーザに送信します。また、特定の不正活動を実行します。
スパイウェアは、正規のWebサイトに偽のログインページを表示することで、ユーザが銀行や金融機関のWebサイトを閲覧した場合、ユーザ名やパスワードといった情報を収集します。
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
スパイウェアは、特定のWebサイトにアクセスし、情報を送受信します。
スパイウェアは、ルートキット機能を備えており、自身に関連したプロセスおよびファイルを隠匿し、ユーザによる検出および削除を避けます。
スパイウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。
詳細
侵入方法
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
スパイウェアは、以下のコンポーネントファイルを作成します。
- %System Root%\usxxxxxxxx\config.bin
(註:%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)
スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %System Root%\usxxxxxxxx\usxxxxxxxx.exe
(註:%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)
スパイウェアは、以下のフォルダを作成します。
- %System Root%\usxxxxxxxx
(註:%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)
スパイウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- Global\SystemService
スパイウェアは、以下のプロセスに自身を組み込み、システムのプロセスに常駐します。
- explorer.exe
自動実行方法
スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
usxxxxxxxx.exe = "%System Root%\usxxxxxxxx\usxxxxxxxx.exe"
バックドア活動
スパイウェアは、以下のWebサイトにアクセスし、情報を送受信します。
- http://{BLOCKED}4.{BLOCKED}5.228.147/~main/us1/gate.php
- http://{BLOCKED}8.{BLOCKED}9.96.95/us1/gate.php
- http://{BLOCKED}8.{BLOCKED}9.99.250/us1/gate.php
- http://{BLOCKED}ker007.ru/us10/gate.php
ルートキット機能
スパイウェアは、ルートキット機能を備えており、自身に関連したプロセスおよびファイルを隠匿し、ユーザによる検出および削除を避けます。
情報漏えい
スパイウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。
スパイウェアは、以下の情報を不正リモートユーザに送信します。
- オペレーティングシステム(OS)の情報
- ボットネットへの接続状況(オンライン/オフライン)
- Internet Explorer(IE)のバージョン
- アカウントの種類
- ボリューム情報
- 言語識別子
- タイマ刻み数
- タイム ゾーン
- ローカル日時
- Bot version
- Bot GUID
- Bot hash
- このスパイウェアのプラグイン
- Function data
- プロセス名
- フックされた機能
スパイウェアは、以下の不正活動を行います。
- 環境設定ファイルの更新
- 自身の更新
- IEのゾーン設定の変更
- Mozilla Firefoxの設定ファイルの変更
- キー入力操作情報の記録
- オンライン銀行の取引フォームにデータを書き込む
- FTPおよびPOP3で用いられるユーザ名およびパスワードの収集
- Webフォームに入力された情報の傍受
スパイウェアは、正規のWebサイトに偽のログインページを表示することで、ユーザが以下の銀行や金融機関のいずれかのWebサイトを閲覧した場合、ユーザ名やパスワードといった情報を収集します。
- *.wellsfargo.com/*
- *://online.wellsfargo.com/*
- *bankofamerica.com*
- *bankofamerica.com/*
- https://*.bankofamerica.com/*/commonscript.js
- https://online.wellsfargo.com/das/cgi-bin/session.cgi*
- https://onlineeast#.bankofamerica.com/*/GotoCustomerServiceMenu*
- https://onlineeast#.bankofamerica.com/*/GotoWelcome
- https://onlineeast#.bankofamerica.com/*/SplashPageControl*
- https://sitekey.bankofamerica.com/sas/maint.do
- https://www.chase.com/*
- https://www.wellsfargo.com/biz/*
対応方法
手順 1
Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
Windowsをセーフモードで再起動します。
手順 3
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- usxxxxxxxx.exe = "%System Root%\usxxxxxxxx\usxxxxxxxx.exe"
- usxxxxxxxx.exe = "%System Root%\usxxxxxxxx\usxxxxxxxx.exe"
手順 4
以下のフォルダを検索し削除します。
- %System Root%\usxxxxxxxx
手順 5
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TSPY_SPYEYE.EXEI」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください