TROJ_BANLOAD
Windows 2000, Windows XP, Windows Server 2003
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
「BANLOAD」の亜種は、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。実行されると、マルウェアは、複数の不正なWebサイトにアクセスし、他のマルウェアをダウンロードします。これにより、他のマルウェアの被害にも見舞われます。「BANLOAD」の亜種は、「BANKER」の亜種をダウンロードすることで知られています。
2010年、サイバー犯罪者は、ハイチ地震を利用してポルトガル語のスパムメールを送信しました。このスパムメールは、地震の写真が含まれているように装い、ユーザにリンクをクリックするように促します。その後、ユーザは、不正なWebサイトへ誘導され、「TROJ_BANLOAD.JAE」をダウンロードすることとなります。
サイバー犯罪者は、ブラジルの労働省雇用省のWebサイトをコピーし、「TROJ_BANLOAD.JMO」の感染活動を行います。実行されると、このマルウェアは、Eメールアドレスの収集および「BANKER」の亜種のダウンロードを行います。
詳細
インストール
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %System%\aqlb.hjo
- %Windows%\system\{malware file name}.exe
- %System%\incognito.exe
- %Program Files%\Common Files\Files.exe
(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.. %Program Files%フォルダは、プログラムファイルのフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Program Files"、64bitのOS上で32bitのアプリケーションを実行している場合、 "C:\Program Files (x86)" です。.)
マルウェアは、以下のファイルを作成します。
- %Windows%\Envia.txt
- %User Profile%\fxconfig.bat
- %Current%\{malware name}-up.txt
- %Program Files%\Common Files\Microsoft Shared\Web Folders\MSONSEXT409.dll
(註:%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.. %User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>" です。.. %Program Files%フォルダは、プログラムファイルのフォルダで、いずれのオペレーティングシステム(OS)でも通常、 "C:\Program Files"、64bitのOS上で32bitのアプリケーションを実行している場合、 "C:\Program Files (x86)" です。.)
自動実行方法
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{random string} = "{malware path and file name}.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\ {ADEEAF15-7FE8-DEDD-3FFF-4DF56EBB1DFB}
StubPath = "{malware path and file name}.exe"
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe rundll32.exe {malware file name) lhoweid"
(註:変更前の上記レジストリ値は、「Explorer.exe」となります。)
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- http://www.{BLOCKED}nvirtual.com/index.php
- http://www.{BLOCKED}a.net/image/top_02.gif
- http://{BLOCKED}.{BLOCKED}.0.28/img/imag1.gif
- http://{BLOCKED}x.mogsoft.de/gallery2dir/themes/ice/compactone.exe
- http://{BLOCKED}x.mogsoft.de/gallery2dir/themes/ice/compress.exe
- http://{BLOCKED}ana-walker.com/site/msdos.exe
- http://www.{BLOCKED}rg.br/v2/env/msdos.exe
- http://www.{BLOCKED}kanan.net//espace_pro/msdos.exe
- http://www.{BLOCKED}eton.ru/por/setup64.exe
- http://{BLOCKED}chomes.in/images/images.rar
- http://{BLOCKED}olhado.com.br/js/images.rar
- http://{BLOCKED}l-levata.com/js/images.rar
- http://{BLOCKED}.com/js/images.rar
- http://{BLOCKED}x-arq.com/js/images.rar
- http://{BLOCKED}igoseamigos2010.kit.net/images.rar
- http://{BLOCKED}lacionandoamigos.kit.net/images.rar
- http://{BLOCKED}lpemacla.kit.net/images.rar
- http://{BLOCKED}nanet2006.kit.net/images.rar
- http://{BLOCKED}usamonteloavalanche.kit.net/images.rar
- http://{BLOCKED}igossysters.kit.net/images.rar
- http://{BLOCKED}perbonus.kit.net/images.rar
- http://{BLOCKED}amigos2010.kit.net/images.r
対応方法
トレンドマイクロのお客様:
最新のバージョン(パターンファイル and エンジン)を導入したセキュリティ対策製品を用い、ウイルス検索を実行してください。検出したファイルはすべて「削除」し、検出したウイルスはすべて「駆除」してください。削除対象となるファイルには、トロイの木馬型不正プログラムやスクリプト系、上書き感染型ウイルス(overwriting virus)、ジョーク・プログラムなど「駆除」できない不正プログラムがあげられ、これらのファイルを検出した場合は、すべて「削除」してください。
インターネットをご利用の皆様:
- トレンドマイクロの「オンラインスキャン」を使って、あなたの PC がウイルスに侵されていないかどうかを簡単にチェックすることが可能です。オンラインスキャンはあなたのコンピュータの中に不正なプログラムが存在するかどうかをチェックします。
- 今日、PCやネットワークをセキュリティ上の脅威から守り、安全なIT環境を維持するためには、セキュリティ製品を活用することが最も有効な方法となっています。トレンドマイクロは、一般の個人ユーザだけでなく、企業ユーザやインターネット・サービス・プロバイダ(ISP)向けに、ウイルス対策製品やコンテンツセキュリティ対策をご提供しています。トレンドマイクロの製品・サービスについては、こちらをご参照ください。
ご利用はいかがでしたか? アンケートにご協力ください