• Email
• Facebook
• Twitter
• Google+
• Linkedin

TSPY_MINOCDO.A

---

• マルウェアタイプ: スパイウェア
• 破壊活動の有無: なし
• 暗号化: はい
• 感染報告の有無: はい

---

  概要

トレンドマイクロは、このスパイウェアをNoteworthy（要注意）に分類しました。

スパイウェアは、ソーシャル・ネットワーク・サービス(SNS)「Facebook」にアクセスするネットワークトラフィックを妨害し、ユーザにクレジットカード情報の入力を促す不正なページヘと誘導します。このスパイウェアに感染したコンピュータのユーザは、金融関連アカウントのセキュリティが侵害される可能性があります。

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェアは、ユーザが特定のWebサイトにアクセスできないように、感染コンピュータのHOSTSファイルを改変します。

スパイウェアは、感染コンピュータから特定の情報を収集します。

スパイウェアは、特定のWebサイトにアクセスし、情報を送受信します。

---

  詳細

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、以下のフォルダを追加します。

• {OS depended directory}\cddnivot

スパイウェアは、以下のコンポーネントファイルを作成します。

• {OS dependent directory}\cddnivot\cfg - encrypted config file
• {OS dependent directory}\cddnivot\etc
• {OS dependent directory}\cddnivot\ihst
• {OS dependent directory}\cddnivot\lck
• {OS dependent directory}\cddnivot\por
• {OS dependent directory}\cddnivot\rng
• {OS dependent directory}\cddnivot\run
• {OS dependent directory}\cddnivot\tst

スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• {OS dependent directory}\capbepfn.exe
• {OS dependent directory}\azlwpsbcwya.exe
• %User Temp%\i5wfyrpl{random characters}.exe
• %Temp%\i5wfyrpl{random characters}.exe - for Windows OS other than Vista and 7

(註：%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。. %Temp%フォルダは、標準設定では "C:\Windows\Temp" です。)

自動実行方法

スパイウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UserMode Protection PNRP Services Machine Remote
Type = "110"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UserMode Protection PNRP Services Machine Remote
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UserMode Protection PNRP Services Machine Remote
ErrorControl = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UserMode Protection PNRP Services Machine Remote
ImagePath = "%System%\capbepfn.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UserMode Protection PNRP Services Machine Remote
DisplayName = "UserMode Protection PNRP Services Machine Remote"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UserMode Protection PNRP Services Machine Remote
ObjectName = "LocalSystem"

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Browser Studio WWAN Installer Location = "%System%\capbepfn.exe"

スパイウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\UserMode Protection PNRP Services Machine Remote

スパイウェアは、Windows起動時に自動実行されるよう＜スタートアップ＞フォルダ内に以下のファイルを作成します。

• %User Startup%\capbepfn.exe

(註：%User Startup%フォルダは、Windows 98 および ME の場合、通常、"C:\Windows\Profiles\＜ユーザ名＞\Start Menu\Programs\Startup"、Windows NT の場合、"C:\WINNT\Profiles\＜ユーザ名＞\Start Menu\Programs\Startup" および "C:\Documents and Settings\＜ユーザ名＞\Start Menu\Programs\Startup" です。)

HOSTSファイルの改変

スパイウェアは、ユーザが以下のWebサイトにアクセスできないように、感染コンピュータのHOSTSファイルを改変します。

• 127.0.0.1 www.facebook.com
• 127.0.0.1 facebook.com

情報漏えい

環境設定ファイルは、以下の情報を含んでいます。

• Other URLs to access
• URL to Intercept
• URL for Redirection

スパイウェアは、感染コンピュータから以下の情報を収集します。

• CPU Information
• Notification of the affected system's successful C&C server connection

情報収集

スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

• http://{BLOCKED}ernothing.net/fb/?session={session number}

その他

スパイウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• http://{BLOCKED}cclub-grup.com

{OS dependent directory}には以下のいずれかが該当します。

• %System% - Windows Vista および Windows 7以外の オペレーティングシステム（OS）の場合
• %AppDataLocal% - Windows Vista および Windows 7の OSの場合

スパイウェアは、上述のWebサイトがアクセス不可能となる場合に備えて、DNSサーバへ以下のWebサイトを問い合わせます。

• http://＜省略＞tarimagine.com
• http://＜省略＞ince.net
• http://＜省略＞ce.net
• http://＜省略＞age.net
• http://＜省略＞ge.net
• http://＜省略＞oice.net
• http://＜省略＞ice.net
• http://＜省略＞ive.net
• http://＜省略＞ve.net
• http://＜省略＞ight.net
• http://＜省略＞ght.net
• http://＜省略＞ey.net
• http://＜省略＞ice.net
• http://＜省略＞oice.net
• http://＜省略＞ve.net
• http://＜省略＞ive.net
• http://＜省略＞ght.net
• http://＜省略＞ight.net
• http://＜省略＞ey.net
• http://＜省略＞hey.net
• http://＜省略＞ice.net
• http://＜省略＞oice.net
• http://＜省略＞ve.net
• http://＜省略＞ive.net
• http://＜省略＞eight.net
• http://＜省略＞ight.net
• http://＜省略＞ey.net
• http://＜省略＞hey.net
• http://＜省略＞oice.net
• http://＜省略＞tio.com
• http://＜省略＞ojo.com
• http://＜省略＞tol.com
• http://＜省略＞ia.com
• http://＜省略＞ereforyounow.com
• http://＜省略＞ter.com
• http://＜省略＞eearly.net

スパイウェアは、「http://facebook.com」にアクセスするネットワークトラフィックを以下のWebサイトへと誘導します。

• http://＜省略＞ernothing.net/fb

このサイトのアドレスバーには、以下が表示され、Facebookのセキュリティページとして装います。これによりユーザは、自身のクレジットカード情報を入力する可能性があります。

• http://facebook.com/＜省略＞nge

スパイウェアが作成する以下のファイルは、暗号化された環境設定ファイルです。

• {OS dependent directory}\cddnivot\cfg

スパイウェアが作成する以下の自身のコピーは、Windows Vista および Windows 7以外の OSの場合に作成されます。

• %Temp%\i5wfyrpl＜ランダムな文字列＞.exe

環境設定ファイルが含む情報は、以下のとおりです。

• アクセスする他のURL
• 妨害するURL
• 誘導先のURL

スパイウェアが感染コンピュータから収集する情報は、以下のとおりです。

• CPUの情報
• 感染コンピュータがコマンド＆コントロール（C&C）サーバへ接続したことに対する通知

---

  対応方法

ご利用はいかがでしたか？　アンケートにご協力ください