TROJ_BANKER
2012年10月9日
プラットフォーム:
Windows 2000, Windows XP, Windows Server 2003
危険度:
ダメージ度:
感染力:
感染確認数:
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
詳細
メモリ常駐 はい
ペイロード 情報収集
インストール
マルウェアは、以下のファイルを作成します。
- %Windows%\wnetsock08.dll
- %Windows%\Media\AuxImgDll.dll
- %Current%\AuxImgDll.dll
- %Current%\Emails.dat
- %Current%\upset1.dat
(註:%Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。)
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %Windows%\Media\HPMedia.exe
- %Current%\{malware filename}_OLD.jmp
(註:%Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。)
自動実行方法
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{malware filename}.exe = "{malware path and filename}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
DrvStart = "%Windows%\Media\HPMedia.exe"
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- www.{BLOCKED}opliquidation.co.za
- www. {BLOCKED}ventos.com.br
- {BLOCKED}ncaprivativa.com.br
- http:// {BLOCKED}-10. {BLOCKED}d.com/CurrVer.txt
- http:// {BLOCKED}-10. {BLOCKED}i.com/config.txt
- http:// {BLOCKED}9-10{BLOCKED}d.com/CurrVer.txt
- http:// {BLOCKED}6. {BLOCKED}1.238.89/upd/AuxImgDll.dll
- http://www. {BLOCKED}nsurf.com.ar/n/upd/AuxImgDll.dll
- http:// {BLOCKED}-10. {BLOCKED}d.com/CurrVer.txt
- htt :// {BLOCKED}6. {BLOCKED}1.238.89/upd/crss7_V855.exe
- http://www. {BLOCKED}nsurf.com.ar/n/upd/crss7_V855.exe
- http:// {BLOCKED}-10. {BLOCKED}d.com/CurrVer.txt
- http:// {BLOCKED}6. {BLOCKED}1.238.89/upd/AuxImgDll.dll
- http://www. {BLOCKED}nsurf.com.ar/n/upd/AuxImgDll.dll
- http:// {BLOCKED}10. {BLOCKED}e.com/config.txt
- http:// {BLOCKED}teinformatica1. {BLOCKED}ecity.com/configs.jpg
- {BLOCKED}toneagles.net
- {BLOCKED}br.teliumhosting.com.br
- {BLOCKED}iadopovo.inf.br
- {BLOCKED}s-order.ru
- {BLOCKED}orldgames.com.br
- {BLOCKED}77. {BLOCKED}-oficial.ws
- {BLOCKED}s.net
- {BLOCKED}tphp.com
- {BLOCKED}fyuz.net
- {BLOCKED}logische-praxis-schuler.de
- {BLOCKED}emas.com
- {BLOCKED}ncaprivativa.com.br
- {BLOCKED}wopen.sitepessoal.com
- {BLOCKED}i.lycos.it
- {BLOCKED}unicaobr.com
- www. {BLOCKED}b. {BLOCKED}s.it
- www. {BLOCKED}ergy.com
- www. {BLOCKED}-book.ru
- www. {BLOCKED}fredericosp.com
- www. {BLOCKED}uca.net
- www. {BLOCKED}juridicovivo.adv.br
- www. {BLOCKED}a.com
- www. {BLOCKED}u.hu
- www. {BLOCKED}ventos.com.br
- www. {BLOCKED}l.com.br
- www. {BLOCKED}goforex.com
- www. {BLOCKED}video.nl
- www. {BLOCKED}taanet.com.br
- www. {BLOCKED}set.com
- www. {BLOCKED}t.fr
- www. {BLOCKED}-pictures.ch
- www. {BLOCKED}arwebmotorsltda.com
- www. {BLOCKED}ly.com
- www. {BLOCKED}decidadania.org
- www. {BLOCKED}i.com.br
- www. {BLOCKED}ndo.info
- www. {BLOCKED}obirindelli.com.br
- www. {BLOCKED}ferre.pessoal.ws
- www. {BLOCKED}design.co.kr
- www. {BLOCKED}ejomusicas.com
- www. {BLOCKED}x.com.br
- www. {BLOCKED}zz.com
- www. {BLOCKED}k.com
- www. {BLOCKED}wushu.at
- www. {BLOCKED}floralameda.com
- www. {BLOCKED}cartao766.web.br.com
- www. {BLOCKED}fdance.msk.ru
- www. {BLOCKED}e.com