TSPY_TEPFER.UYG

トレンドマイクロは、このスパイウェアをNoteworthy（要注意）に分類しました。

スパイウェアは、オーストラリア国税庁（ATO）からを装ったスパムメールを介して拡散されます。

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェアは、ダウンロードしたファイルを実行します。

スパイウェアは、実行後、自身を削除します。

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ダウンロード活動

スパイウェアは、以下のWebサイトにアクセスして自身のコンポーネントファイルをダウンロードします。

• http://{BLOCKED}t.net:8080/ponyb/gate.php
• http://{BLOCKED}.{BLOCKED}.180.139:8080/ponyb/gate.php
• http://{BLOCKED}c.fm:8080/ponyb/gate.php
• http://{BLOCKED}pioneers.at:8080/ponyb/gate.php
• http://www.{BLOCKED}es.com/Avw.exe
• http://{BLOCKED}sforless.com/rqY.exe
• http://{BLOCKED}RASEEDS.COM/x2ofv0.exe

トレンドマイクロの製品では、ダウンロードしたファイルを以下として検出します。

• TSPY_ZBOT.UYG

スパイウェアは、ダウンロードしたファイルを実行します。

情報漏えい

スパイウェアは、以下のレジストリ値からＥメールアカウント情報を収集します。

HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts

HKEY_CURRENT_USER\Software\Microsoft\
Office\Outlook\OMI Account Manager\
Accounts

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Windows Messaging Subsystem\
Profiles\Microsoft Outlook Internet Settings

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Windows Messaging Subsystem\
Profiles\Outlook

HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager

スパイウェアは、コンピュータ内に以下のFTPクライアントまたはファイルマネージャのアカウント情報が保存されている場合、これらのアカウント情報を収集します。

• BlazeFtp
• COREFTP
• ClassicFTP
• CuteFTP 6 Home
• CuteFTP
• CuteFTP 6 Professional
• CuteFTP 7 Home
• CuteFTP 7 Professional
• CuteFTP 8 Home
• CuteFTP 8 Professional
• CuteFTP Lite
• CuteFTP Pro
• FTP Explorer
• FileZilla
• FlashFXP
• Fling
• Ghisler
• Ipswitch
• LeapFTP
• LeechFTP
• SecureFX
• WebDrive
• WebSitePublisher

スパイウェアは、上述のFTPクライアントおよびファイルマネージャのいずれかから、以下のアカウント情報を収集します。

• FTP destination catalog
• FTP destination password
• FTP destination port
• FTP destination server
• FTP destination user
• FTP profiles
• Host Name
• Initial Directory
• Password
• Port Number
• Server Name
• Terminal Type
• User Name

その他

スパイウェアは、実行後、自身を削除します。

スパイウェアがFTPクライアントおよびファイルマネージャのいずれかから収集するアカウント情報は、以下のとおりです。

• 目的とするFTPのカタログ
• 目的とするFTPのパスワード
• 目的とするFTPのポート
• 目的とするFTPのサーバ
• 目的とするFTPのユーザ
• FTPプロファイル
• ホスト名
• 初期ディレクトリ
• パスワード
• ポート番号
• サーバ名
• ターミナルタイプ
• ユーザ名

スパイウェアは、以下の情報を収集します。

• HTTPパスワード
• HTTPサーバのURL
• HTTPユーザ
• HTTPMaiパスワード２
• HTTPMailサーバ
• HTTPMailユーザ名
• IMAPパスワード
• IMAPパスワード２
• IMAPポート
• IMAPサーバ
• IMAPユーザ
• IMAPユーザ名
• NNTPのEメールアドレス
• NNTPパスワード
• NNTPパスワード２
• NNTPサーバ
• NNTPユーザ名
• POP3パスワード
• POP3パスワード２
• POP3ポート
• POP3サーバ
• POP3ユーザ
• POP3ユーザ名
• SMTPのEメールアドレス
• SMTPパスワード
• SMTPパスワード２
• SMTPポート
• SMTPサーバ
• SMTPユーザ
• SMTPユーザ名

スパイウェアは、以下のユーザ名およびパスワードの組み合わせを利用します。

• 000000
• 1q2w3e4r
• 1q2w3e
• 123qwe
• 123abc
• 11111
• 12345
• 55555
• 111111
• 112233
• 123123
• 123321
• 123456
• 222222
• 654321
• 666666
• 1234567
• 7777777
• 11111111
• 12345678
• 123456789
• 1234567890
• aaaaaa
• abc123
• adidas
• admin
• amanda
• andrew
• angel1
• angels
• angel
• anthony
• apple
• asdfasdf
• asdfgh
• ashley
• asshole
• austin
• bailey
• banana
• bandit
• baseball
• batman
• benjamin
• billgates
• biteme
• blabla
• blahblah
• blessed
• blessing
• blink182
• bubbles
• buster
• canada
• cassie
• charlie
• cheese
• chelsea
• chicken
• christ
• chris
• church
• cocacola
• compaq
• computer
• cookie
• corvette
• creative
• cryptimplus
• dakota
• dallas
• danielle
• daniel
• david
• destiny
• dexter
• diamond
• digital
• dragon
• eminem
• emmanuel
• enter
• faith
• flower
• foobar
• football
• football1
• forever
• forum
• freedom
• friend
• friends
• fuckoff
• fuckyou1
• fuckyou
• gates
• gateway
• genesis
• george
• gfhjkm
• ghbdtn
• ginger
• google
• grace
• green
• guitar
• hahaha
• hallo
• hannah
• happy
• hardcore
• harley
• heaven
• hello1
• hello
• helpme
• hockey
• hotdog
• hunter
• ilovegod
• iloveyou!
• iloveyou
• iloveyou1
• iloveyou2
• internet
• james
• jasmine
• jason
• jasper
• jennifer
• jessica
• jesus1
• jesus
• john316
• jordan23
• jordan
• joseph
• joshua
• junior
• justin
• killer
• kitten
• knight
• letmein
• london
• looking
• lovely
• loving
• lucky
• maggie
• master
• matrix
• matthew
• maverick
• maxwell
• merlin
• michael
• michelle
• mickey
• microsoft
• monkey
• mother
• muffin
• mustang
• mustdie
• mylove
• myspace1
• nathan
• nicole
• nintendo
• nothing
• onelove
• online
• orange
• passw0rd
• password
• password1
• peace
• peaches
• peanut
• pepper
• phpbb
• pokemon
• power
• praise
• prayer
• princess
• prince
• purple
• qazwsx
• qwert
• qwerty1
• qwerty
• rachel
• rainbow
• red123
• richard
• robert
• rotimi
• samantha
• sammy
• samuel
• saved
• scooby
• scooter
• secret
• shadow
• shalom
• silver
• single
• slayer
• smokey
• snoopy
• soccer
• soccer1
• sparky
• spirit
• startrek
• starwars
• stella
• summer
• sunshine
• superman
• taylor
• testing
• testtest
• thomas
• thunder
• tigger
• trinity
• trustno1
• victory
• viper
• welcome
• whatever
• william
• windows
• winner
• wisdom
• zxcvbnm