BANLOAD
Windows 2000, Windows XP, Windows Server 2003
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
「BANLOAD」の亜種は、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。実行されると、マルウェアは、複数の不正なWebサイトにアクセスし、他のマルウェアをダウンロードします。これにより、他のマルウェアの被害にも見舞われます。「BANLOAD」の亜種は、「BANKER」の亜種をダウンロードすることで知られています。
2010年、サイバー犯罪者は、ハイチ地震を利用してポルトガル語のスパムメールを送信しました。このスパムメールは、地震の写真が含まれているように装い、ユーザにリンクをクリックするように促します。その後、ユーザは、不正なWebサイトへ誘導され、「TROJ_BANLOAD.JAE」をダウンロードすることとなります。
サイバー犯罪者は、ブラジルの労働省雇用省のWebサイトをコピーし、「TROJ_BANLOAD.JMO」の感染活動を行います。実行されると、このマルウェアは、Eメールアドレスの収集および「BANKER」の亜種のダウンロードを行います。
詳細
インストール
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %System%\incognito.exe
- %Program Files%\Common Files\Files.exe
- %System%\aqlb.hjo
- %Windows%\system\{malware file name}.exe
(註:%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。. %Program Files%フォルダは、Windows 2000、Server 2003、XP (32ビット)、通常 Vista (32ビット) および 7 (32ビット) の場合、通常 "C:\Program Files"、Windows XP (64ビット)、Vista (64ビット) および 7 (64ビット) の場合、通常 "C:\Program Files (x86)" です。. %Windows%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、"C:\Windows" です。)
マルウェアは、以下のファイルを作成します。
- %Windows%\Envia.txt
- %User Profile%\fxconfig.bat
- %Current%\{malware name}-up.txt
- %Program Files%\Common Files\Microsoft Shared\Web Folders\MSONSEXT409.dll
(註:%Windows%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、"C:\Windows" です。. %User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>" です。. %Program Files%フォルダは、Windows 2000、Server 2003、XP (32ビット)、通常 Vista (32ビット) および 7 (32ビット) の場合、通常 "C:\Program Files"、Windows XP (64ビット)、Vista (64ビット) および 7 (64ビット) の場合、通常 "C:\Program Files (x86)" です。)
自動実行方法
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{random string} = "{malware path and file name}.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\ {ADEEAF15-7FE8-DEDD-3FFF-4DF56EBB1DFB}
StubPath = "{malware path and file name}.exe"
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe rundll32.exe {malware file name) lhoweid"
(註:変更前の上記レジストリ値は、「Explorer.exe」となります。)
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- http://{BLOCKED}ana-walker.com/site/msdos.exe
- http://www.{BLOCKED}rg.br/v2/env/msdos.exe
- http://www.{BLOCKED}kanan.net//espace_pro/msdos.exe
- http://www.{BLOCKED}eton.ru/por/setup64.exe
- http://{BLOCKED}chomes.in/images/images.rar
- http://{BLOCKED}olhado.com.br/js/images.rar
- http://{BLOCKED}l-levata.com/js/images.rar
- http://{BLOCKED}.com/js/images.rar
- http://{BLOCKED}x-arq.com/js/images.rar
- http://{BLOCKED}igoseamigos2010.kit.net/images.rar
- http://{BLOCKED}lacionandoamigos.kit.net/images.rar
- http://{BLOCKED}lpemacla.kit.net/images.rar
- http://{BLOCKED}nanet2006.kit.net/images.rar
- http://{BLOCKED}usamonteloavalanche.kit.net/images.rar
- http://{BLOCKED}igossysters.kit.net/images.rar
- http://{BLOCKED}perbonus.kit.net/images.rar
- http://{BLOCKED}amigos2010.kit.net/images.r
- http://www.{BLOCKED}nvirtual.com/index.php
- http://www.{BLOCKED}a.net/image/top_02.gif
- http://{BLOCKED}.{BLOCKED}.0.28/img/imag1.gif
- http://{BLOCKED}x.mogsoft.de/gallery2dir/themes/ice/compactone.exe
- http://{BLOCKED}x.mogsoft.de/gallery2dir/themes/ice/compress.exe
対応方法
トレンドマイクロのお客様:
最新のバージョン(パターンファイル and エンジン)を導入したセキュリティ対策製品を用い、ウイルス検索を実行してください。検出したファイルはすべて「削除」し、検出したウイルスはすべて「駆除」してください。削除対象となるファイルには、トロイの木馬型不正プログラムやスクリプト系、上書き感染型ウイルス(overwriting virus)、ジョーク・プログラムなど「駆除」できない不正プログラムがあげられ、これらのファイルを検出した場合は、すべて「削除」してください。
インターネットをご利用の皆様:
- トレンドマイクロの「オンラインスキャン」を使って、あなたの PC がウイルスに侵されていないかどうかを簡単にチェックすることが可能です。オンラインスキャンはあなたのコンピュータの中に不正なプログラムが存在するかどうかをチェックします。
- 今日、PCやネットワークをセキュリティ上の脅威から守り、安全なIT環境を維持するためには、セキュリティ製品を活用することが最も有効な方法となっています。トレンドマイクロは、一般の個人ユーザだけでなく、企業ユーザやインターネット・サービス・プロバイダ(ISP)向けに、ウイルス対策製品やコンテンツセキュリティ対策をご提供しています。トレンドマイクロの製品・サービスについては、こちらをご参照ください。
ご利用はいかがでしたか? アンケートにご協力ください