TSPY_SPSNIFF.AE
Trojan:Win32/Dynamer!dtc (Microsoft); Trojan-Spy.Win32.SPSniffer.c (Kaspersky)
Windows 2000, Windows XP, Windows Server 2003
- マルウェアタイプ: スパイウェア
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
概要
トレンドマイクロは、このスパイウェアをNoteworthy(要注意)に分類しました。
スパイウェアは、Eltima Softwareのソフトウェア "Serial Port Sniffer ActiveX Control" および "Serial Port Monitor Activex" に組み込まれている特定のDLLファイルを必要とします。これらのソフトウェアは、コンピュータ上のシリアルポートを監視するために利用されます。
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
スパイウェアは、ユーザのキー入力操作情報を記録し、情報を収集します。
詳細
侵入方法
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
作成活動
スパイウェアは、以下のファイルを作成します。このファイルは、キー入力操作情報を収集するために利用されます。
- systen.dll
情報漏えい
スパイウェアは、ユーザのキー入力操作情報を記録し、情報を収集します。
情報収集
スパイウェアは、SMTPを用いて、自身が収集した情報を以下のEメールアドレスに送信します。
- {BLOCKED}shydra@gmail.com
- {BLOCKED}dosteste@yahoo.com.br
その他
このスパイウェアが実行するためには、以下のDLLファイルが必要になります。
- spsax.dll
- spsniffer.dll
このDLLファイルは、Eltima Softwareのソフトウェア "Serial Port Sniffer ActiveX Control" および "Serial Port Monitor Activex" に組み込まれています。
スパイウェアは、ホスト名やユーザ名といったコンピュータに関する情報をファイル "systen.dll" に保存します。
スパイウェアは、収集した情報を以下のSMTPサーバへ送信します。
- shawmail.cg.shawcable.net
- smtp.mail.yahoo.com
対応方法
手順 1
Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
「TSPY_SPSNIFF.AE」で検出したファイル名を確認し、そのファイルを終了します。
- 検出ファイルが、Windows のタスクマネージャまたは Process Explorer に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、こちらをご参照下さい。 - 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。
手順 3
以下のファイルを検索し削除します。
- systen.dll
手順 4
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TSPY_SPSNIFF.AE」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください
