TSPY_URSNIF.AUSIQJ

トレンドマイクロは、このマルウェアをNoteworthy（要注意）に分類しました。

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェアは、特定のWebサイトにアクセスし、情報を送受信します。

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

• %Application Data%\{string1}{string2}\{string1}{string2}.exe
  where:
  • {string1} = first four letters of a dll file under System directory
  • {string2} = last four letters of a dll file under System directory

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

スパイウェアは、以下のファイルを作成し実行します。

• %User Temp%\{random folder name}\{random filename}.bat ← used to delete itself; deleted afterwards

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

スパイウェアは、以下のプロセスにコードを組み込みます。

• explorer.exe

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{string1}{string2} = "%Application Data%\{string1}{string2}\{string1}{string2}.exe"

他のシステム変更

スパイウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}
Vars =

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}
Files =

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}
Config =

スパイウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}
{UID} = "{hex value}"

HKEY_CURRENT_USER\Software\AppDataLow\
Software\Microsoft\{GUID}
{Value Name} = "{data}"

• Main
• Block
• Temp
• Client
• Ini
• Keys
• Scr
• LastTask
• LastConfig
• CrHook
• OpHook
• Exec
• TorClient
• TorCrc
• Install

作成活動

スパイウェアは、収集した情報を保存するために以下のファイルを作成します。

• %User Temp%\{random filename}.bin

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

情報漏えい

スパイウェアは、以下の情報を収集します。

• Key Board Logs
• Clipboard Logs
• Running processes and services

その他

スパイウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• http://{BLOCKED}unfvjdn.net/images/{RANDOM PATH}
• http://{BLOCKED}ebncxds.com/images/{RANDOM PATH}

＜補足＞
インストール

スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成し、実行します。

• %Application Data%\Microsoft\{string1}{string2}\{string1}{string2}.exe
  • {string1} = システムディレクトリ下のDLLファイルの最初の4文字 
  • {string2} = システムディレクトリ下のDLLファイルの末尾の4文字

スパイウェアが作成し実行する以下のファイルは、自身の実行および削除に利用されます。

• %User Temp%\{ランダムなフォルダ名}\{ランダムなファイル名}.bat

他のシステム変更

スパイウェアは、以下のレジストリ値を追加します。

• HKEY_CURRENT_USER\Software\AppDataLow\ Software\Microsoft\{GUID} {UID} = "{hex value}"
• HKEY_CURRENT_USER\Software\AppDataLow\ Software\Microsoft\{GUID} {Value Name} = "{data}"

  上記レジストリ値の、{Value Name} には、以下のいずれかがあてはまります。

  • Main
  • Block
  • Temp
  • Client
  • Ini
  • Keys
  • Scr
  • LastTask
  • LastConfig
  • CrHook
  • OpHook
  • Exec
  • TorClient
  • TorCrc
  • Install

作成活動

スパイウェアは、収集した情報を保存するために以下のファイルを作成します。

• %User Temp%\{ランダムなファイル名}.bin

情報漏えい

スパイウェアは、以下の情報を収集します。

• キー入力操作情報
• クリップボードの記録
• 実行中のプロセスおよびサービス

その他

スパイウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• http://{BLOCKED}unfvjdn.net/images/{ランダムなパス}
• http://{BLOCKED}ebncxds.com/images/{ランダムなパス}

スパイウェアは、以下を実行します。

• 窃取した情報をファイルに保存およびアップロード
• インターネット閲覧の監視
• 対象のプロセスのAPIをフック
• Mozilla FirefoxのSPDYプロトコルの無効化
• スパイウェアは、プラグ アンド プレイ デバイスで以下の文字列を確認することで、自身が仮想環境またはサンドボックス下で実行されているかを確認し、確認された場合は自身を終了します。
  • vbox
  • qemu
  • vmware
  • virtual hd
• 情報収集を目的とした以下のコマンドの実行
  • cmd.exe /C "%Application Data%\{string1}{string2}\{string1}{string2}.exe" "{実行されたマルウェアのディレクトリ}"