&苍产蝉辫;解析者: Karl Dominguez   
&苍产蝉辫;プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

&苍产蝉辫;危険度:
&苍产蝉辫;感染确认数:
&苍产蝉辫;システムへの影响:
&苍产蝉辫;情报漏えい:

  • マルウェアタイプ:
    スパイウェア

  • 破壊活动の有无:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

? 概要

スパイウェアは、他のマルウェアに作成され、コンピュータに侵入します。

  詳細

ファイルサイズ 42,496 bytes
タイプ DLL
メモリ常驻 はい
発见日 2010年11月29日

侵入方法

スパイウェアは、以下のマルウェアに作成され、コンピュータに侵入します。

  • TROJ_AMBLER.KA

インストール

スパイウェアは、以下のコンポーネントファイルを作成します。

  • %User Profile%\Application Data\Sun\cetw.txt
  • %User Profile%\Application Data\Sun\lfmt.txt
  • %User Profile%\Application Data\Sun\{malware file name}_shrd
  • %User Profile%\Application Data\Sun\rwbbr.txt
  • %User Profile%\Application Data\Sun\oietr.txt
  • %User Profile%\Application Data\Sun\cngrh.txt
  • %User Profile%\Application Data\Sun\vntw.txt
  • %User Profile%\Application Data\Sun\mogr.txt
  • %User Profile%\Application Data\Sun\cetw.txt
  • %User Profile%\Application Data\Sun\mxd1.txt
  • %User Profile%\Application Data\Sun\vwvn.txt
  • %User Profile%\Application Data\Sun\crff.txt
  • %User Profile%\Application Data\Sun\xkelf.txt
  • %User Profile%\Application Data\Sun\opfwe.txt
  • %User Profile%\Application Data\Sun\lofwfg.txt
  • %User Profile%\Application Data\Sun\ffefx.txt

(註:%User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>"、Windows NTでは、"C:\WINNT\Profiles\<ユーザ名>"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\<ユーザ名>" です。)

スパイウェアは、以下のフォルダを作成します。

  • %User Profile%\Application Data\Sun

(註:%User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>"、Windows NTでは、"C:\WINNT\Profiles\<ユーザ名>"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\<ユーザ名>" です。)

スパイウェアは、以下のプロセスにコードを组み込みます。

  • Iexplore.exe
  • firefox.exe

自动実行方法

スパイウェアは、自身のコピーが奥颈苍诲辞飞蝉起动时に自动実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{24EA4F28-B636-43C1-BCE6-F287B56E42D2}
StubPath = "rundll32.exe %User Profile%\Application Data\Sun\{malware file name}.dll", UnregisterDll"

他のシステム変更

スパイウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Clock

HKEY_CURRENT_USER\Software\Microsoft\
Clock\0

HKEY_CURRENT_USER\Software\Microsoft\
Clock\7

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{24EA4F28-B636-43C1-BCE6-F287B56E42D2}

スパイウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\PhishingFilter
Enabled = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\PhishingFilter
EnabledV8 = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\PhishingFilter
ShownVerifyBalloon = "3"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
TabProcGrowth = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
NoProtectedModeBanner = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Security
DisableFixSecuritySettings = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Security
DisableSecuritySettingsCheck = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{24EA4F28-B636-43C1-BCE6-F287B56E42D2}
(default) = "Transaction Manager"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{24EA4F28-B636-43C1-BCE6-F287B56E42D2}
Locale = "EN"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{24EA4F28-B636-43C1-BCE6-F287B56E42D2}
Locale = "EN"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{24EA4F28-B636-43C1-BCE6-F287B56E42D2}
StubPath = "rundll32.exe %User Profile%\Application Data\Sun\{malware file name}.dll", UnregisterDll"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{24EA4F28-B636-43C1-BCE6-F287B56E42D2}
IsInstalled = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{24EA4F28-B636-43C1-BCE6-F287B56E42D2}
Version = "4,3,6,3"

HKEY_CURRENT_USER\Software\Microsoft\
Clock\0
knhbc = "22052011_003114_2507687"

情报収集

スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

  • http://{BLOCKED}boook.com/myu.php
  • http://{BLOCKED}boook.com/myc.php
  • http://{BLOCKED}boook.com/myi.php
  • http://{BLOCKED}boook.com/myn.php
  • http://{BLOCKED}boook.com/myl.php

その他

スパイウェアは、以下のレジストリ値の追加および変更を行います。

(註:変更前のレジストリ値は、「ユーザが定义した値」となります。)

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Internet Settings\Zones\1
1400 = "0"

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Internet Settings\Zones\1
1200 = "0"

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Internet Settings\Zones\1
1405 = "0"

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Internet Settings\Zones\1
2500 = "3"

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Internet Settings\Zones\1
1809 = "3"

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Internet Settings\Zones\2
1400 = "0"

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Internet Settings\Zones\2
1200 = "0"

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Internet Settings\Zones\2
1405 = "0"

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Internet Settings\Zones\2
2500 = "3"

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Internet Settings\Zones\2
1809 = "3"

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Internet Settings\Zones\3
1400 = "0"

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Internet Settings\Zones\3
1200 = "0"

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Internet Settings\Zones\3
1405 = "0"

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Internet Settings\Zones\3
2500 = "3"

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Internet Settings\Zones\3
1809 = "3"

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Internet Settings\Zones\4
1400 = "0"

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Internet Settings\Zones\4
1200 = "0"

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Internet Settings\Zones\4
1405 = "0"

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Internet Settings\Zones\4
2500 = "3"

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Internet Settings\Zones\4
1809 = "3"

スパイウェアは、以下の情报を収集します。

  • "pstorec.dll" に保存されているパスワード
  • "Microsoft Outlook Express" のユーザ認証情報
  • Internet Explorer(IE)のパスワードで保護されたWebサイト
  • 滨贰のオートコンプリート
  • 滨贰のオートコンプリートのパスワード
  • ポータルサイト「MSN Explorer」のログイン情報
  • Bank of America のユーザの認証情報
  • インターネットのクッキー
  • 証明书

また、スパイウェアは、以下の机能を备えています。

  • キー入力操作情报の収集
  • 自身の削除
  • クッキーの削除
  • コンピュータをシャットダウン
  • ドライブの列挙

  対応方法

対応検索エンジン: 8.900
初回 VSAPI パターンバージョン 7.726.08
初回 VSAPI パターンリリース日 2010年12月26日

手順 1

Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を无効にしてください。

手順 2

この「罢厂笔驰冲础惭叠尝贰搁.碍础」が作成、あるいは、ダウンロードした以下のファイルを検索し、検索した场合は削除してください。