-- 2010年9月17日更新 --
・実行時、以下のファイルをシステムにドロップ(作成)します。
- %Windir%\system32\ntos.exe [隠しファイル]
・以下のレジストリ値がシステムに追加されます。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network]
UID = "%ComputerName_Machine specific ID%"
- HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
ProxyEnable = 0x00000000
- HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer]
{F710FA10-2031-3106-8872-93A2B5C5C620} = F7 09 F2 0D
・以下の値をレジストリキーに追加して、Windowsファイアウォールを無効にします。
- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\]
“EnableFirewall” = “0x00000000”
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\]
“EnableFirewall” = “0x00000000”
・以下のレジストリ値が改変されます。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\]
Userinit: = "%Windir%\system32\ntos.exe"
・上記のレジストリにより、Spy-Agent.bwが乗っ取ったシステムに登録され、起動のたびに実行されるようにします。
[%UserProfile%はc:\Documents and Settings\Administrator\、%Temp%はC:\Documents and Settings\Administrator\Local Settings\Temp\、%SystemDrive%はオペレーティングシステムがインストールされているドライブで、通常はC:\]
---------------------------------------------------------------------------------------------
-- 2010年2月18日更新 --
・新しい亜種は感染したマシンから金融関連の情報を盗み出すために使われます。この新しい亜種では以下の動作が見られます。
・以下のファイルとフォルダが作成されます。
- %WINDDIR%\system32\lowsec\local.ds (データファイル)
- %WINDDIR%\system32\lowsec\user.ds (データファイル)
- %WINDDIR%\system32\lowsec\user.ds.lll (データファイル)
- %WINDDIR%\system32\sdra64.exe (Spy-Agent.bw)
(%WINDIRはWindowsがインストールされているフォルダを指します。Windows XPでは通常、C:\Windowsになります。)
・Winlogon.exeプロセスに悪質なコードを挿入します。また、再起動後に再び動作するため、以下のレジストリキーを追加します。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = "%WINDDIR%\system32\userinit.exe,%WINDDIR%\system32\sdra64.exe,"
・Windowsファイアウォールが無効に設定されます。
・感染したマシンのWindows名で以下のキーが作成されます。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID = "マシン名"
・以下のレジストリキーが作成されます。
- HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}\{3039636B-5F3D-6C64-6675-696870667265} = F7 09 F2 0D
- HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}\{33373039-3132-3864-6B30-303233343434} = 47 09 F2 0D
・以下の場所から拡張子が.BINのファイルをダウンロードしようとします。
- update[削除].com
- goo[削除].net
- oia[削除].ru
- base[削除].com
- nolif[削除].net
- lake777.[削除].net
-- 2009年3月26日更新 --
・新しい亜種が偽装された電子メールの添付ファイルで確認されました。これらの電子メールはDHLからの荷物の紛失に関するメールを装っています。件名には偽のトラッキングIDが含まれていることがあります。
-- 2008年12月2日更新 --
・本日未明、新しい亜種がドイツのユーザに送信され始めました。この亜種は、電子メールアカウントがロックされ、アカウントのロック解除方法が添付ファイル(Spy-Agent.bw)にあると称する電子メールで届きます。
・使われているファイル名はSperrung.exe、Hinweis.exeで、ドロップ(作成)されるファイルの名前はWins.exeです。
・これらの亜種は本日リリースされたウイルス定義ファイル5452で検出されます。
・Extra DATファイルはExtra DATリクエストページ(http://www.webimmune.net/extra/getextra.aspx)で入手できます。
-- 2008年8月19日更新 --
・本日、さらに別の亜種がスパムで送信されました。メールの件名は「Colis postal」で、「La Poste France」から送信されたように装っています。また、「Your Flight Ticket N0165906」という件名を使って、「Hawaiian Airlines」から送信されたように装う場合もあります。
・メールには、「La_Poste_N8832.zip」または「Your Flight Ticket N0165906」というZIP圧縮ファイルが添付されています。ファイルにはSpy-Agent.bwが組み込まれています。
・この新しい亜種は本日リリースされたウイルス定義ファイル5364で検出されます。
-- 2008年8月18日更新 --
・Fedexからのメールを装う偽のメールの添付ファイルとして届くSpy-Agent.bwの新しい亜種が確認されました。添付ファイルにはFedx-retr871.zipなどの名前がつけられています。
・実行時、以下のファイルを作成します。
- C:\WINDOWS\system32\ntos.exe (Spy-Agent.bw)
・以下のレジストリキーを改変します。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = %Windir%\System32\userinit %Windir%\System32\ntos.exe
-- 2008年8月4日更新 --
・UPSからのメールを装う偽のメールの添付ファイルとして届くSpy-Agent.bwの新しい亜種が確認されました。
・実行時、以下の隠しファイルと隠しフォルダを作成します。
- %Windir%\System32\wsnpoem\ (フォルダ)
- %Windir%\System32\wsnpoem\audio.dll (データファイル)
- %Windir%\System32\wsnpoem\video.dll (データファイル)
- %Windir%\System32\ntos.exe (Spy-Agent.bw)
(%Windir%はWindowsフォルダ。例:C:\Windows)
・以下のレジストリキーが改変/追加されます。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = %Windir%\System32\userinit %Windir%\System32\ntos.exe
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID = <コンピュータ名_%ランダム%>
・以下のプロセスに悪性コードを挿入します。
・以下のサイトに接続して、盗み出したデータを送信し、動作を記録し、命令を受信します。
-- 2008年7月21日更新 --
・UPSからのメールを装う偽のメールの添付ファイルとして届くSpy-Agent.bwの新しい亜種が確認されました。
・以下のサイトに接続して、盗み出したデータを送信し、動作を記録し、命令を受信します。
-- 2008年5月13日更新 --
・実行時、以下の隠しファイルと隠しフォルダを作成します。
- %Windir%\System32\wsnpoem\ (フォルダ)
- %Windir%\System32\wsnpoem\audio.dll (データファイル)
- %Windir%\System32\wsnpoem\video.dll (データファイル)
- %Windir%\System32\ntos.exe (Spy-Agent.bw)
(%Windir%はWindowsフォルダ。例:C:\Windows)
・以下のレジストリキーが改変/追加されます。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = %Windir%\System32\userinit %Windir%\System32\ntos.exe
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID = <コンピュータ名_%ランダム%>
・以下のプロセスに悪性コードを挿入します。
・以下のサイトに接続して、盗み出したデータを送信し、動作を記録し、命令を受信します。
-- 2007年8月20日更新 --
・以下のWebサイトで注目されたため、危険度を[低(要注意)]に変更しました。
http://www.techworld.com/security/news/index.cfm?newsID=9833&pagtype=samechan
・ユーザが感染すると、就職サイトからデータを盗み出す亜種が発見されました。ヒューリスティックスキャンを有効に設定したGroupShield、Secure Internet Gateway (SIG)、Secure Mail Gateway (SMG)、Secure Web Gateway (SWG)、TOPS Email、VirusScan Enterprise Email、VirusScan Emailでは、New Win32.g2という名前でプロアクティブに検出されます。
・実行時、以下のファイルとフォルダを作成します。
- %Windir%\System32\wsnpoem\ (フォルダ)
- %Windir%\System32\wsnpoem\audio.dll (データファイル)
- %Windir%\System32\wsnpoem\video.dll (データファイル)
- %Windir%\System32\ntos.exe (Spy-Agent.bw)
(%Windir%はWindowsフォルダ。例:C:\Windows)
・以下のレジストリキーが改変/追加されます。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\pathx =
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = %Windir%\System32\userinit %Windir%\System32\ntos.exe
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID = <コンピュータ名_%ランダム%>
・以下のプロセスに悪性コードを挿入します。
・履歴などの個人方法を検索するため、以下の就職サイトにログオンして投稿します。
- recruiter.monster.com
- hiring.monster.com
・Spy-Agent.bwは以下のサイトに接続して、盗み出したデータを送信し、動作を記録し、命令を受信します。
- http://195.189.{非表示}/mnstr/grabv2.php?getid=1
- http://195.189.{非表示}/spmv3.php?sendlog=
- http://195.189.{非表示}/mnstr/grabv2.php
- http://195.189.{非表示}/pmv3.php?sentmailz=
・以下のSMTPサーバを介して、スパムメールを送信します。
