TROJ_FRAUD.AB
Windows 2000, XP, Server 2003
![](/vinfo/imgFiles/JPlegend.jpg)
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
はい
感染報告の有無 :
はい
概要
マルウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。 ユーザが監視サイトのいずれかにアクセスすると、マルウェアは、キー入力操作情報を収集します。 マルウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。
マルウェアは、銀行または金融関連機関のリストから情報を収集します。
詳細
感染ポイント
マルウェアは、以下のWebサイトからダウンロードされたファイルとして、コンピュータに侵入します。
- http://{BLOCKED}reXQ4F4GG84aIiSomXt.net/panel3/ppnl3.exe
インストール
マルウェアは、以下のファイルを作成します。
- %User Profile%\Application Data\{random folder name 1}\{random file name 1}.exe
- %User Profile%\Application Data\{random folder name 2}\{random file name 2}
(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>" です。)
マルウェアは、以下のフォルダを作成します。
- %User Profile%\Application Data\{random folder name 1}
- %User Profile%\Application Data\{random folder name 2}
(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>" です。)
マルウェアは、以下のプロセスに自身を組み込み、システムのプロセスに常駐します。
- explorer.exe
- rdpclip.exe
- ctfmon.exe
- wscntfy.exe
- taskeng.exe
- taskhost.exe
- dwm.exe
自動実行方法
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{4855B9F2-61AD-DBB7-4A3A-7CC94971B58F} = %User Profile%\Application Data\{random folder name 1}\{random file name 1}.exe
他のシステム変更
マルウェアは、インストールの過程で、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
{random key}
情報漏えい
マルウェアは、感染したコンピュータ上でInternet Explorer(IE)の使用状況を監視します。マルウェアは、特にIEのアドレスバーまたはタイトルバー情報を監視しますが、ユーザが銀行関連Webサイトを閲覧しそのサイトのアドレスバーまたはタイトルバーに以下の文字列が含まれていた場合、正規Webサイトを装った偽のログインページを作成します。
- *.bankinter.com/www/es-es/cgi/*home*
- *.bankinter.com/www/es-es/cgi/*integral
- *.bankinter.com/www/es-es/cgi/ebk+opr*
- *.ccm.es*
- *.ccm.es/*inicio_identificacionAAAA*
- *.deutsche-bank.es*login*
- *.ingdirect.es*Transactional/faces/views/getClientID*
- *bancopastor.es/*SrPd*
- *banesnet.banesto.es*cabeza_bk*
- *banesnet.banesto.es*dse_nextEventName=start
- *banesnet.banesto.es*s.bto
- *banesnet.banesto.es/npage/loginEmpresas*
- *caixacatalunya.com*/es/ccpublic/*
- *caixadirecta.cgd.pt*
- *caixadirecta.cgd.pt/CaixaDirecta/login*
- *cajaduero.es*
- *cajaduero.es*microsite*
- *e-pueyo.com*centro*
- *e-pueyo.com*opciones*
- *empresas.santandertotta.pt/canalempresas/finance/login*
- *empresas.santandertotta.pt/canalempresas/finance/login*
- *grupobanif.pt/xsite_be/BE/home/Autenticacao*
- *lacajaencasa.cajacanarias.es*identificacion*
- *lloydstsb.es/VirtualBank/servlet/LoadMenuOperaciones*
- *online.halifax.es/main*
- *pastornetempresas.bancopastor.es/SrPd*
- *priv.activobank7.pt/v10/PT/jsp/privado/loginHomePagePasso2.jsp*
- *ps://pastornetparticulares.bancopastor.es/*SrPd*
- *ruralvia.com/isum/Main?ISUM_ID=portlets_area*
- *s://pastornetempresas.bancopastor.es/SrPd*
- *soldirecto.cajasoldirecto.es/BEWeb/*
- *ww3.deutsche-bank.es/*
- *ww3.deutsche-bank.es/*
- https://bancae.caixapenedes.com*
- https://bancae.caixapenedes.com/mcpenedesnl/*
- https://bancae.caixapenedes.com/mcpenedesnl/*
- https://bancopostaimpresaonline.poste.it/bpiol/lastFortyMovementsBalance.do?method=loadLastFortyMovementList*
- https://banesnet.banesto.es*sugerencias*
- https://banesnet.banesto.es/*ChannelDriver*
- https://banking.postbank.de/app/finanzstatus.init.do*
- https://banking.postbank.de/app/tan.historie.input.do*viewmode=tan
- https://barclaysnet.barclays.es/servlet/com.ibm.dse.cs.servlet*
- https://be.bancogallego.es/inithome*
- https://be.cajamurcia.es/BEWeb/*ps0002m004_0*
- https://be.cajamurcia.es/BEWeb/*psINICm_0*
- https://caixagestionempresas.caixagalicia.es/*/inicio_identificacion.action*
- https://cajacanariasonline.cajacanarias.es/*/inicio_identificacion_portal*
- https://cajaelectronica.caja-granada.es*inicio_identificacion*
- https://cajaelectronica.caja-granada.es/BEWeb/*.action*
- https://ce.caixalaietana.es/BEWeb/2042/2042*_m_COMUN*
- https://interconnexio*.bibm.ad/GeneralServlet
- https://interconnexio*.bibm.ad/GeneralServlet?pageOperation=INICIO_WELCOME*
- https://linea.sanostra.es/*login_identificacion*
- https://net.kutxa.net/*/tmpl/es/loginkn*
- https://net24.montepio.pt/Net24-Web/func/login/*
- https://oficina24hores.caixagirona.es/BEWeb/2030/1030/inicio_identificacion*
- https://oie.cajamadridempresas.es/CajaMadrid/oie/pt_oie/Login/*
- https://online.halifax.es/main*
- https://online.halifax.es/main*
- https://pastornetempresas.bancopastor.es/*SrPd*
- https://pastornetempresas.bancopastor.es/EMPBEEMPA_F.jsp?*
- https://pastornetempresas.bancopastor.es/titEMPBEEMPA*
- https://pastornetparticulares.bancopastor.es/*SrPd*
- https://pastornetparticulares.bancopastor.es/BEPBEBEPA_F.jsp
- https://pastornetparticulares.bancopastor.es/SrPd;jsessionid=*
- https://pastornetparticulares.bancopastor.es/titBEPBEBEPA*
- https://seguro.cam.es*SvlHistoricoMovimientosCAM*
- https://seguro.cam.es*SvlSaldoCAM*
- https://soldirecto.cajasoldirecto.es/BEWeb/*
- https://telematic.caixamanlleu.es/ISMC/Manlleu_cat/acceso*
- https://vitalnet.cajavital.es/BEWeb/*/inicio_identificacion*
- https://ww3.deutsche-bank.es*NetiServlet*
- https://www.bancomediolanum.es/*
- https://www.banesto.es/cs/Satellite*HomeEmpresas*
- https://www.bankinter.com*
- https://www.bvi.bancodevalencia.es/inithome*
- https://www.caixatarragona.es/*/oficinacodigo*
- https://www.cajaduero.es/CajaElectronica/boxer/*
- https://www.cajaespana.net/convivencia/servlet/ServletCTRL
- https://www.empresas.santandertotta.pt/canalempresas/finance/*
- https://www.empresas.santandertotta.pt/canalempresas/finance/*
- https://www.empresas.santandertotta.pt/canalempresas/finance/patrimonio/*
- https://www.finibanco.pt/*/BemVindo.jsp*
- https://www.gruposantander.es/*
- https://www.iknet.iparkutxa.es/intro*
- https://www.lloydstsb.es/VirtualBank/*
- https://www.lloydstsb.es/VirtualBank/servlet/LoadMenuOperaciones*
- https://www.ruralvia.com/isum/Main*
マルウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。
マルウェアは、以下のWebサイトにアクセスし、自身の環境設定ファイルをダウンロードします。
- http://{BLOCKED}reXQ4F4GG84aIiSomXt.net/panel3/ppnl3.bin
- http://{BLOCKED}7iYI1KWgOevNWVJCn85.net/panel3/ppnl3.bin
- http://{BLOCKED}rUOffQzcjQUzB6LDu92.net/panel3/ppnl3.bin
- http://{BLOCKED}ncMEhQbLCCyfLrM9NKR.net/panel3/ppnl3.bin
- http://{BLOCKED}zIa6qodOo7tWHVc0pmy.net/panel3/ppnl3.bin
- http://{BLOCKED}L24AWBlp8PImtA1YuUl.net/panel3/ppnl3.bin
- http://{BLOCKED}knhafOKYsl4yLtPKutM.net/panel3/ppnl3.bin
- http://{BLOCKED}DQTGSMru8lUlZUzwwAx.net/panel3/ppnl3.bin
- http://{BLOCKED}rhRBIeb30LbflcMj7Ru.net/panel3/ppnl3.bin
- http://{BLOCKED}U1p8IbutczX1uLvsJ5L.net/panel3/ppnl3.bin
- http://{BLOCKED}marivanna.info/ppnl3.bin
ユーザが監視サイトのいずれかにアクセスすると、マルウェアは、キー入力操作情報を収集します。
ダウンロードされたファイルには、自身のコピーの更新版ファイルのダウンロード元および収集した情報の送信先が記載されています。
なお、このファイルの内容である監視Webサイトのリストは、常時変更されます。
マルウェアは、以下の銀行もしくは金融機関で利用される個人情報を収集します。
- ANZ
- Banco Pastor
- Banesto
- Banif
- Barclays
- CCM
- Caixa Geral de Depósitos
- Caixa Girona
- Caixa Laietana
- Caixa Manlleu
- Caixa Tarragona
- Caixadirecta
- Caja Canarias
- Caja España
- Caja Granada
- Caja Madrid
- Caja Murcia
- Caja Vital
- Cajasol
- Deutsche Bank
- Finibanco
- ING Direct
- Iside
- Kutxanet
- Lloyds
- Montepio
- Postbank
- PosteItaliane
- Santander
- Santander Totta
攻撃対象
マルウェアは、銀行または金融関連機関のリストから情報を収集します。
情報収集
マルウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。
- http://{BLOCKED}reXQ4F4GG84aIiSomXt.net/panel3/gotobank.php
その他
解析の結果、マルウェアによるバックドア活動は確認されませんでした。
ハッシュ値情報
マルウェアは、以下のMD5ハッシュ値を含んでいます。
- 50a57c592735f67952b5126f776e3300
マルウェアは、以下のSHA1ハッシュ値を含んでいます
- 29ac7890e514623df1eabdd4b08def95a62dd6e7
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
スタートアップディスク、または、回復コンソールを用いて、「TROJ_FRAUD.AB」として検出されたファイルを確認し削除します。
手順 3
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- {4855B9F2-61AD-DBB7-4A3A-7CC94971B58F}=%User Profile%\Application Data\{random folder name 1}\{random file name 1}.exe
- {4855B9F2-61AD-DBB7-4A3A-7CC94971B58F}=%User Profile%\Application Data\{random folder name 1}\{random file name 1}.exe
手順 4
このレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft
- {random key}
- {random key}
手順 5
以下のフォルダを検索し削除します。
- %User Profile%\Application Data\{random folder name 1}
- %User Profile%\Application Data\{random folder name 2}
手順 6
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TROJ_FRAUD.AB」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください