TEQUILA

「TEQUILA」は、2010年、メキシコの金融機関を狙いとし、大きな話題となったボットです。ボットネットは、特に現地の「Paypal」のWebサイトおよび国内最大の銀行である「Bancomer」を標的としていました。

このマルウェアは、コマンド＆コントロール（C&C）サーバに接続し、感染コンピュータを制御できるコマンドを受信します。これらのコマンドは、環境設定ファイルのダウンロード、ファイルの削除、MSN　メッセンジャを介したメッセージの送信、その他のファイルのダウンロードおよび実行が含まれます。マルウェアは、感染コンピュータのIPアドレス、IP位置情報、国、コンピュータ名を収集する可能性があります。

このマルウェアは、「ZBOT」や「FAKEAV」の亜種といったその他マルウェアをダウンロードすることができ、これにより感染コンピュータはその他の脅威に対してさらに脆弱になります。

インストール

スパイウェアは、以下のファイルを作成します。

• %Windows%\WinSxS\x86_svxhost.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.4148_x-ww_a57c1f53\register.bat
• %Windows%\WinSxS\x86_svxhost.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.4148_x-ww_a57c1f53\register.vbs
• %Windows%\WinSxS\x86_svxhost.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.4148_x-ww_a57c1f53\svxhost.exe

(註：%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

スパイウェアは、以下のフォルダを作成します。

• %Windows%\WinSxS\x86_svxhost.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.4148_x-ww_a57c1f53

(註：%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
svxhost = "%Windows%\WinSxS\x86_svxhost.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.4148_x-ww_a57c1f53\svxhost.exe"

他のシステム変更

スパイウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\WinRAR SFX
%Windows%WinSxS%x86_svxhost.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.4148_x-ww_a57c1f53% = "%Windows%\WinSxS\x86_svxhost.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.4148_x-ww_a57c1f53"

スパイウェアは、インストールの過程で、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\WinRAR SFX

その他

スパイウェアは、以下の不正なWebサイトにアクセスします。

• http://www.{BLOCKED}ess.com/
• http://{BLOCKED}o.{BLOCKED}php.com/
• http://{BLOCKED}i.{BLOCKED}php.com/
• http://{BLOCKED}o.{BLOCKED}php.com/