TSPY_ONLINEG.OMU
PWS:Win32/OnLineGames.LH(Microsoft),Rootkit.Win32.Agent.dhtd(Kaspersky),a variant of Win32/PSW.OnLineGames.QBV trojan(NOD32)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
- マルウェアタイプ: スパイウェア
- 破壊活動の有無: なし
- 暗号化: はい
- 感染報告の有無: はい
概要
トレンドマイクロは、このスパイウェアをNoteworthy(要注意)に分類しました。
このスパイウェアは、韓国の改ざんされた特定のWebサイト上に組み込まれていたことが確認されました。スパイウェアは、特定のオンラインゲームから認証情報を収集するだけでなく、「BKDR_TENPEQ.SM」として検出されるバックドア型マルウェアをダウンロードします。
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
スパイウェアは、特定のオンラインゲームに関連するユーザ名やパスワードといった個人情報を収集します。
スパイウェアが自身の不正活動を実行するためには、メインとなるコンポーネントが必要になります。
詳細
侵入方法
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
スパイウェアは、以下のコンポーネントファイルを作成します。
- %Windows%\setupball.bmp - encrypted dll file(detected as TSPY_ONLINEG.OMU when decrypted)
- %Windows%\version.dat
- %Windows%\wintmp.dat
- %Windows%\winurl.dat
- %User Temp%\del{random}.bat - deletes the initiial copy of the malware, deletes the batch file itself, and renames an existing olesau32.dll(malware copy)
(註:%Windows%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、"C:\Windows" です。. %User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。)
スパイウェアは、以下のプロセスにコードを組み込みます。
- explorer.exe
プロセスの終了
スパイウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。
- V3LTray.exe
- V3LSvc.exe
- V3Light.exe
- V3LRun.exe
作成活動
スパイウェアは、収集した情報を保存するために以下のファイルを作成します。
- d3d8d{number}.ini
ダウンロード活動
スパイウェアは、以下のWebサイトにアクセスして自身のコンポーネントファイルをダウンロードします。
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120547.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120546.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120545.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120544.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120543.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120542.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120541.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120540.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120539.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120538.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120537.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120536.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120535.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120534.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120533.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120532.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120531.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120530.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120529.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120528.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120527.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120526.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120525.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120524.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120523.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120522.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120521.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120520.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120519.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120518.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120516.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120515.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120514.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120513.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120512.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120511.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120510.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120509.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120508.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120507.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120506.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120505.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120504.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120503.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120502.gif
- http://www.{blocked}r.{blocked}o.kr/bbs2/data/event/120501.gif
トレンドマイクロの製品では、ダウンロードしたファイルを以下として検出します。
- BKDR_TENPEQ.SM
情報漏えい
スパイウェアは、以下のオンラインゲームに関連するユーザ名やパスワードといった個人情報を収集します。
- DKonline.exe
- DuelPoker.exe
- PMClient.exe
- NMWizard24.exe
- heroes.exe
- Poker.exe
- HgSel.exe
- NGM.exe
- ArcheAge.exe
- fifazf.exe
- client.exe
- KRITIKA_Client.exe
情報収集
スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。
- www.{BLOCKED}la.com/up/otp.asp
その他
スパイウェアが自身の不正活動を実行するためには、メインとなるコンポーネントが必要になります。
スパイウェアが作成する以下のコンポーネントは、暗号化されたDLLファイルです。このファイルもこのスパイウェアとして検出されます。
- %Windows%\setupball.bmp
スパイウェアが作成する以下のコンポーネントは、最初に作成されたこのスパイウェアのコピーを削除します。そしてこのバッチファイル自体を削除します。また、自身のコピーである "olesau32.dll" を改称します。
- %User Temp%\del{random}.bat
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアのパス名およびファイル名を確認します。
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用いてウイルス検索を実行してください。「TSPY_ONLINEG.OMU」で検出したパス名およびファイル名を確認し、メモ等をとってください。
手順 4
回復コンソールを使用して、TSPY_ONLINEG.OMU として検出されるファイルを確認し、削除します。
手順 5
以下のファイルを検索し削除します。
- %Windows%\setupball.bmp
- %Windows%\version.dat
- %Windows%\wintmp.dat
- %Windows%\winurl.dat
- d3d8d{number}.ini
手順 6
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TSPY_ONLINEG.OMU」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください