TSPY_SPYEYE

2013年11月26日
 解析者: Dianne Lagrimas   

 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 感染確認数:
 システムへの影響:
 情報漏えい:


  • マルウェアタイプ: スパイウェア
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要

感染経路 他のマルウェアからの作成, Eメールを介したスパム活動, インターネットからのダウンロード

SPYEYE」は、オンライン銀行や金融機関のWebサイトに関連するユーザの情報を収集することから悪名高いマルウェアです。「SPYEYE」ファミリの亜種は、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。また、スパムメールを介して、コンピュータに侵入する場合もあります。

「SPYEYE」ファミリの亜種は、プロセスやファイルを隠ぺいするルートキット機能をを備えています。そして、ユーザのキー入力操作情報を記録することにより情報を収集します。また、HTML形式の記入フォームを追加で挿入することによってさらなる情報を収集します。収集されたログイン情報は、ユーザに気づかれないうちにオンライン振替などといった取引に利用されます。また収集された情報は、アンダーグラウンド市場で売買されます。

「SPYEYE」ファミリの亜種は、実行されると、複数のWebサイトにアクセスし、情報の送受信を行います。

「SPYEYE」ファミリの亜種は、登場して以来、情報収集を目的とする多くの攻撃に利用されてきました。2011年には、ロシアのサイバー犯罪が、「SPYEYE」を利用し米国のさまざまな組織から320万米ドル以上の利益を手にしました。


  詳細

メモリ常駐 はい
ペイロード システムセキュリティへの感染活動, URLまたはIPアドレスに接続, ファイルのダウンロード, キー入力操作情報の記録, 情報収集

インストール

スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %Windows%\AvProtector.exe
  • %Windows%\rundlll.exe
  • %Windows%\scvhost.exe
  • %Windows%\win32Runtime.exe
  • %System Root%\trivax1.Bin\trivax1.Bin.exe
  • %System Root%\usxxxxxxxx\usxxxxxxxx.exe

(註:%Windows%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、"C:\Windows" です。. %System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

スパイウェアは、以下のフォルダを作成します。

  • %System Root%\trivax1.Bin
  • %System Root%\usxxxxxxxx

(註:%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

他のシステム変更

スパイウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\PhishingFilter

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Recovery

スパイウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLUA = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
ConsentPromptBehaviorAdmin = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
win32Runtime = "%Windows%\win32Runtime.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLUA = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
ConsentPromptBehaviorAdmin = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile
EnableFirewal = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\ DomainProfile
DoNotAllowExceptions = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\PhishingFilter
EnabledV8 = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\PhishingFilter
ShownServiceDownBalloon = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Recovery
ClearBrowsingHistoryOnExit = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
GlobalUserOffline = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
WarnOnPostRedirect = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
WarnOnIntranet = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\0
1409 = "3"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\1
1409 = "3"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\2
1409 = "3"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\3
1409 = "3"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\4
1409 = "3"

スパイウェアは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = "0"

(註:変更前の上記レジストリ値は、「1」となります。)

その他

スパイウェアは、以下の不正なWebサイトにアクセスします。

  • http://{BLOCKED}e.net/banners/testing.exe
  • http://{BLOCKED}ion-crew.biz/asdfg/gate.php
  • http://{BLOCKED}x.com/user/gate.php
  • http://{BLOCKED}giftstore.com/icard/gate.php
  • http://{BLOCKED}stat.org/stats/gate.php
  • http://{BLOCKED}bit.org/upload/gate.php
  • http://{BLOCKED}4.{BLOCKED}5.228.147/~main/us1/gate.php
  • http://{BLOCKED}8.{BLOCKED}9.96.95/us1/gate.php
  • http://{BLOCKED}8.{BLOCKED}9.99.250/us1/gate.php
  • http://{BLOCKED}checker007.ru/us10/gate.php


  対応方法

対応検索エンジン: 9.200

トレンドマイクロのお客様:

    最新のバージョン(パターンファイル および エンジン)を導入したセキュリティ対策製品を用い、ウイルス検索を実行してください。検出したファイルはすべて「削除」し、検出したウイルスはすべて「駆除」してください。削除対象となるファイルには、トロイの木馬型不正プログラムやスクリプト系、上書き感染型ウイルス(overwriting virus)、ジョーク・プログラムなど「駆除」できない不正プログラムがあげられ、これらのファイルを検出した場合は、すべて「削除」してください。

インターネットをご利用の皆様:

  • トレンドマイクロの「オンラインスキャン」を使って、あなたの PC がウイルスに侵されていないかどうかを簡単にチェックすることが可能です。オンラインスキャンはあなたのコンピュータの中に不正なプログラムが存在するかどうかをチェックします。
  • 今日、PCやネットワークをセキュリティ上の脅威から守り、安全なIT環境を維持するためには、セキュリティ製品を活用することが最も有効な方法となっています。トレンドマイクロは、一般の個人ユーザだけでなく、企業ユーザやインターネット・サービス・プロバイダ(ISP)向けに、ウイルス対策製品やコンテンツセキュリティ対策をご提供しています。トレンドマイクロの製品・サービスについては、こちらをご参照ください。


ご利用はいかがでしたか? アンケートにご協力ください