TROJ_FRAUD.AB

マルウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。 ユーザが監視サイトのいずれかにアクセスすると、マルウェアは、キー入力操作情報を収集します。 マルウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。

マルウェアは、銀行または金融関連機関のリストから情報を収集します。

感染ポイント

マルウェアは、以下のWebサイトからダウンロードされたファイルとして、コンピュータに侵入します。

• http://{BLOCKED}reXQ4F4GG84aIiSomXt.net/panel3/ppnl3.exe

インストール

マルウェアは、以下のファイルを作成します。

• %User Profile%\Application Data\{random folder name 1}\{random file name 1}.exe
• %User Profile%\Application Data\{random folder name 2}\{random file name 2}

(註：%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞" です。)

マルウェアは、以下のフォルダを作成します。

• %User Profile%\Application Data\{random folder name 1}
• %User Profile%\Application Data\{random folder name 2}

(註：%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞" です。)

マルウェアは、以下のプロセスに自身を組み込み、システムのプロセスに常駐します。

• explorer.exe
• rdpclip.exe
• ctfmon.exe
• wscntfy.exe
• taskeng.exe
• taskhost.exe
• dwm.exe

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{4855B9F2-61AD-DBB7-4A3A-7CC94971B58F} = %User Profile%\Application Data\{random folder name 1}\{random file name 1}.exe

他のシステム変更

マルウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
{random key}

情報漏えい

マルウェアは、感染したコンピュータ上でInternet Explorer（IE）の使用状況を監視します。マルウェアは、特にIEのアドレスバーまたはタイトルバー情報を監視しますが、ユーザが銀行関連Webサイトを閲覧しそのサイトのアドレスバーまたはタイトルバーに以下の文字列が含まれていた場合、正規Webサイトを装った偽のログインページを作成します。

• *.bankinter.com/www/es-es/cgi/*home*
• *.bankinter.com/www/es-es/cgi/*integral
• *.bankinter.com/www/es-es/cgi/ebk+opr*
• *.ccm.es*
• *.ccm.es/*inicio_identificacionAAAA*
• *.deutsche-bank.es*login*
• *.ingdirect.es*Transactional/faces/views/getClientID*
• *bancopastor.es/*SrPd*
• *banesnet.banesto.es*cabeza_bk*
• *banesnet.banesto.es*dse_nextEventName=start
• *banesnet.banesto.es*s.bto
• *banesnet.banesto.es/npage/loginEmpresas*
• *caixacatalunya.com*/es/ccpublic/*
• *caixadirecta.cgd.pt*
• *caixadirecta.cgd.pt/CaixaDirecta/login*
• *cajaduero.es*
• *cajaduero.es*microsite*
• *e-pueyo.com*centro*
• *e-pueyo.com*opciones*
• *empresas.santandertotta.pt/canalempresas/finance/login*
• *empresas.santandertotta.pt/canalempresas/finance/login*
• *grupobanif.pt/xsite_be/BE/home/Autenticacao*
• *lacajaencasa.cajacanarias.es*identificacion*
• *lloydstsb.es/VirtualBank/servlet/LoadMenuOperaciones*
• *online.halifax.es/main*
• *pastornetempresas.bancopastor.es/SrPd*
• *priv.activobank7.pt/v10/PT/jsp/privado/loginHomePagePasso2.jsp*
• *ps://pastornetparticulares.bancopastor.es/*SrPd*
• *ruralvia.com/isum/Main?ISUM_ID=portlets_area*
• *s://pastornetempresas.bancopastor.es/SrPd*
• *soldirecto.cajasoldirecto.es/BEWeb/*
• *ww3.deutsche-bank.es/*
• *ww3.deutsche-bank.es/*
• https://bancae.caixapenedes.com*
• https://bancae.caixapenedes.com/mcpenedesnl/*
• https://bancae.caixapenedes.com/mcpenedesnl/*
• https://bancopostaimpresaonline.poste.it/bpiol/lastFortyMovementsBalance.do?method=loadLastFortyMovementList*
• https://banesnet.banesto.es*sugerencias*
• https://banesnet.banesto.es/*ChannelDriver*
• https://banking.postbank.de/app/finanzstatus.init.do*
• https://banking.postbank.de/app/tan.historie.input.do*viewmode=tan
• https://barclaysnet.barclays.es/servlet/com.ibm.dse.cs.servlet*
• https://be.bancogallego.es/inithome*
• https://be.cajamurcia.es/BEWeb/*ps0002m004_0*
• https://be.cajamurcia.es/BEWeb/*psINICm_0*
• https://caixagestionempresas.caixagalicia.es/*/inicio_identificacion.action*
• https://cajacanariasonline.cajacanarias.es/*/inicio_identificacion_portal*
• https://cajaelectronica.caja-granada.es*inicio_identificacion*
• https://cajaelectronica.caja-granada.es/BEWeb/*.action*
• https://ce.caixalaietana.es/BEWeb/2042/2042*_m_COMUN*
• https://interconnexio*.bibm.ad/GeneralServlet
• https://interconnexio*.bibm.ad/GeneralServlet?pageOperation=INICIO_WELCOME*
• https://linea.sanostra.es/*login_identificacion*
• https://net.kutxa.net/*/tmpl/es/loginkn*
• https://net24.montepio.pt/Net24-Web/func/login/*
• https://oficina24hores.caixagirona.es/BEWeb/2030/1030/inicio_identificacion*
• https://oie.cajamadridempresas.es/CajaMadrid/oie/pt_oie/Login/*
• https://online.halifax.es/main*
• https://online.halifax.es/main*
• https://pastornetempresas.bancopastor.es/*SrPd*
• https://pastornetempresas.bancopastor.es/EMPBEEMPA_F.jsp?*
• https://pastornetempresas.bancopastor.es/titEMPBEEMPA*
• https://pastornetparticulares.bancopastor.es/*SrPd*
• https://pastornetparticulares.bancopastor.es/BEPBEBEPA_F.jsp
• https://pastornetparticulares.bancopastor.es/SrPd;jsessionid=*
• https://pastornetparticulares.bancopastor.es/titBEPBEBEPA*
• https://seguro.cam.es*SvlHistoricoMovimientosCAM*
• https://seguro.cam.es*SvlSaldoCAM*
• https://soldirecto.cajasoldirecto.es/BEWeb/*
• https://telematic.caixamanlleu.es/ISMC/Manlleu_cat/acceso*
• https://vitalnet.cajavital.es/BEWeb/*/inicio_identificacion*
• https://ww3.deutsche-bank.es*NetiServlet*
• https://www.bancomediolanum.es/*
• https://www.banesto.es/cs/Satellite*HomeEmpresas*
• https://www.bankinter.com*
• https://www.bvi.bancodevalencia.es/inithome*
• https://www.caixatarragona.es/*/oficinacodigo*
• https://www.cajaduero.es/CajaElectronica/boxer/*
• https://www.cajaespana.net/convivencia/servlet/ServletCTRL
• https://www.empresas.santandertotta.pt/canalempresas/finance/*
• https://www.empresas.santandertotta.pt/canalempresas/finance/*
• https://www.empresas.santandertotta.pt/canalempresas/finance/patrimonio/*
• https://www.finibanco.pt/*/BemVindo.jsp*
• https://www.gruposantander.es/*
• https://www.iknet.iparkutxa.es/intro*
• https://www.lloydstsb.es/VirtualBank/*
• https://www.lloydstsb.es/VirtualBank/servlet/LoadMenuOperaciones*
• https://www.ruralvia.com/isum/Main*

マルウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。

マルウェアは、以下のWebサイトにアクセスし、自身の環境設定ファイルをダウンロードします。

• http://{BLOCKED}reXQ4F4GG84aIiSomXt.net/panel3/ppnl3.bin
• http://{BLOCKED}7iYI1KWgOevNWVJCn85.net/panel3/ppnl3.bin
• http://{BLOCKED}rUOffQzcjQUzB6LDu92.net/panel3/ppnl3.bin
• http://{BLOCKED}ncMEhQbLCCyfLrM9NKR.net/panel3/ppnl3.bin
• http://{BLOCKED}zIa6qodOo7tWHVc0pmy.net/panel3/ppnl3.bin
• http://{BLOCKED}L24AWBlp8PImtA1YuUl.net/panel3/ppnl3.bin
• http://{BLOCKED}knhafOKYsl4yLtPKutM.net/panel3/ppnl3.bin
• http://{BLOCKED}DQTGSMru8lUlZUzwwAx.net/panel3/ppnl3.bin
• http://{BLOCKED}rhRBIeb30LbflcMj7Ru.net/panel3/ppnl3.bin
• http://{BLOCKED}U1p8IbutczX1uLvsJ5L.net/panel3/ppnl3.bin
• http://{BLOCKED}marivanna.info/ppnl3.bin

ユーザが監視サイトのいずれかにアクセスすると、マルウェアは、キー入力操作情報を収集します。

ダウンロードされたファイルには、自身のコピーの更新版ファイルのダウンロード元および収集した情報の送信先が記載されています。

なお、このファイルの内容である監視Webサイトのリストは、常時変更されます。

マルウェアは、以下の銀行もしくは金融機関で利用される個人情報を収集します。

• ANZ
• Banco Pastor
• Banesto
• Banif
• Barclays
• CCM
• Caixa Geral de Depósitos
• Caixa Girona
• Caixa Laietana
• Caixa Manlleu
• Caixa Tarragona
• Caixadirecta
• Caja Canarias
• Caja España
• Caja Granada
• Caja Madrid
• Caja Murcia
• Caja Vital
• Cajasol
• Deutsche Bank
• Finibanco
• ING Direct
• Iside
• Kutxanet
• Lloyds
• Montepio
• Postbank
• PosteItaliane
• Santander
• Santander Totta

攻撃対象

マルウェアは、銀行または金融関連機関のリストから情報を収集します。

情報収集

マルウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

• http://{BLOCKED}reXQ4F4GG84aIiSomXt.net/panel3/gotobank.php

その他

解析の結果、マルウェアによるバックドア活動は確認されませんでした。

ハッシュ値情報

マルウェアは、以下のMD5ハッシュ値を含んでいます。

• 50a57c592735f67952b5126f776e3300

マルウェアは、以下のSHA1ハッシュ値を含んでいます

• 29ac7890e514623df1eabdd4b08def95a62dd6e7