PDF_MALPHISH.AUSJEPV
Windows
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。 マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、ワーム活動の機能を備えていません。
マルウェアは、バックドア活動の機能を備えていません。
マルウェアは、感染コンピュータや感染ユーザから特定の情報を収集します。
詳細
侵入方法
マルウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
感染活動
マルウェアは、ワーム活動の機能を備えていません。
バックドア活動
マルウェアは、バックドア活動の機能を備えていません。
情報漏えい
マルウェアは、以下の情報を収集します。
- For Google Accounts
- Email Address
- Password
- Phone Number
- Recovery Email
- For Outlook Accounts
- Email Address or Phone
- Password
- For AOL Accounts
- Username or Email Address
- Password
- For Yahoo, Office 365 or other accounts:
- Email Address
- Password
情報収集
マルウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。
- http://{BLOCKED}emija.lt/maidonatello/8e624428269b1e296f49085bd6b42d28/gg1.php (Google)
- http://{BLOCKED}emija.lt/maidonatello/8e624428269b1e296f49085bd6b42d28/gg2.php (Google)
- http://{BLOCKED}emija.lt/maidonatello/8e624428269b1e296f49085bd6b42d28/LL1.php (Outlook)
- http://{BLOCKED}emija.lt/maidonatello/8e624428269b1e296f49085bd6b42d28/AA1.php (AOL)
- http://{BLOCKED}emija.lt/maidonatello/8e624428269b1e296f49085bd6b42d28/YY1.php (Yahoo)
- http://{BLOCKED}emija.lt/maidonatello/8e624428269b1e296f49085bd6b42d28/OF.php (Office 365)
- http://{BLOCKED}emija.lt/maidonatello/8e624428269b1e296f49085bd6b42d28/OT.php (Other)
その他
マルウェアは、以下の情報を収集します。
- Googleアカウントの場合
- Eメールアドレス
- パスワード
- 電話番号
- リカバリー用Eメールアドレス
- Outlookアカウントの場合
- Eメールアドレスまたは電話番号
- パスワード
- AOLアカウントの場合
- ユーザ名またはEメールアドレス
- パスワード
- Yahoo、Office365やその他のアカウントの場合
- Eメールアドレス
- パスワード
マルウェアは、以下の画面を表示してリンクをクリックするよう誘導します。
- http://{BLOCKED}w.ly/{BLOCKED}fz2vZ
リンクをクリックすると、オンラインストレージサービス「Dropbox」を装ったページを表示する以下のWebサイトへリダイレクトされます。
- http://{BLOCKED}emija.lt/maidonatello/8e624428269b1e296f49085bd6b42d28/
このページ上でEメールアドレスを提供するプロバイダーを選択すると、ログインページを装った以下のページがそれぞれ表示されます。
Googleを選択した場合
- http://{BLOCKED}emija.lt/maidonatello/8e624428269b1e296f49085bd6b42d28/GG1.htm
- http://{BLOCKED]emija.lt/maidonatello/8e624428269b1e296f49085bd6b42d28/GG2.html
Outlookを選択した場合
- http://{BLOCKED}emija.lt/maidonatello/8e624428269b1e296f49085bd6b42d28/LL1.htm
AOLを選択した場合
- http://{BLOCKED}emija.lt/maidonatello/8e624428269b1e296f49085bd6b42d28/AA1.htm
Yahooを選択した場合
- http://{BLOCKED}emija.lt/maidonatello/8e624428269b1e296f49085bd6b42d28/YY1.htm
Office 365を選択した場合
- http://{BLOCKED}emija.lt/maidonatello/8e624428269b1e296f49085bd6b42d28/OF.htm
その他を選択した場合
- http://{BLOCKED}emija.lt/maidonatello/8e624428269b1e296f49085bd6b42d28/OT.htm
そしてマルウェアは、以下のデータフォーマットを利用して窃取した情報を送信します。
- email={Eメールアドレス}&password={パスワード}&Button1=
- emailphone={電話番号}&emailphone2={リカバリー用Eメールアドレス}&Button1=
ログイン情報を入力後、マルウェアは文書を表示して、ユーザに問題なくアクセスできたと思わせます。
マルウェアは、ルートキット機能を備えていません。
マルウェアは、脆弱性を利用した感染活動を行いません。
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
「PDF_MALPHISH.AUSJEPV」で検出したファイル名を確認し、そのファイルを終了します。
- すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
- 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、こちらをご参照下さい。 - 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。
手順 3
起動中ブラウザのウインドウを全て閉じてください。
手順 4
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「PDF_MALPHISH.AUSJEPV」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください