TROJ_QHOST.DMS

マルウェアは、作成されたファイルを実行します。

マルウェアは、ユーザが特定のWebサイトにアクセスできないように、感染コンピュータのHOSTSファイルを改変します。

マルウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。 マルウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。

侵入方法

マルウェアは、以下のリモートサイトからダウンロードされ、コンピュータに侵入します。

• http://w{BLOCKED}s.com.br/advogadosoab/telas/www.facebook.com

インストール

マルウェアは、以下のフォルダを作成します。

• %User Temp%\5.tmp

(註：%User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\＜ユーザー名＞\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\TEMP" です。)

作成活動

マルウェアは、以下のファイルを作成します。

• %User Temp%\5.tmp\1.18.bat - detected as BAT_HOST.FK

(註：%User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\＜ユーザー名＞\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\TEMP" です。)

マルウェアは、作成されたファイルを実行します。

HOSTSファイルの改変

マルウェアは、ユーザが以下のWebサイトにアクセスできないように、感染コンピュータのHOSTSファイルを改変します。

• {BLOCKED}.{BLOCKED}.238.100 itauuniclass.com.br
• {BLOCKED}.{BLOCKED}.238.100 www.itauuniclass.com.br
• {BLOCKED}.{BLOCKED}.238.100 www4.itau.com.br
• {BLOCKED}.{BLOCKED}.238.100 itau.com.br
• {BLOCKED}.{BLOCKED}.238.100 www.itau.com.br
• {BLOCKED}.{BLOCKED}.238.100 www.bancoitau.com.br
• {BLOCKED}.{BLOCKED}.238.100 bancoitau.com.br
• {BLOCKED}.{BLOCKED}.238.100 www.itaupersonnalite.com.br
• {BLOCKED}.{BLOCKED}.238.100 itaupersonnalite.com.br
• {BLOCKED}.{BLOCKED}.0.1 localhost
• {BLOCKED}.{BLOCKED}.238.100 bradesco.com.br
• {BLOCKED}.{BLOCKED}.238.100 www.bradesco.com.br
• {BLOCKED}.{BLOCKED}.238.100 www4.bradesco.com.br
• {BLOCKED}.{BLOCKED}.238.100 www.prime.com.br
• {BLOCKED}.{BLOCKED}.238.100 prime.com.br
• {BLOCKED}.{BLOCKED}.238.100 www.bradescoprime.com.br
• {BLOCKED}.{BLOCKED}.238.100 bradescoprime.com.br
• {BLOCKED}.{BLOCKED}.0.1 localhost
• {BLOCKED}.{BLOCKED}.238.100 bb.com.br
• {BLOCKED}.{BLOCKED}.238.100 www.bb.com.br
• {BLOCKED}.{BLOCKED}.238.100 www.bancodobrasil.com.br
• {BLOCKED}.{BLOCKED}.238.100 bancodobrasil.com.br
• {BLOCKED}.{BLOCKED}.238.100 tam.com.br
• {BLOCKED}.{BLOCKED}.238.100 www.tam.com.br
• {BLOCKED}.{BLOCKED}.0.1 localhost
• {BLOCKED}.{BLOCKED}.238.100 multiplusfidelidade.com.br
• {BLOCKED}.{BLOCKED}.238.100 www.multiplusfidelidade.com.br
• {BLOCKED}.{BLOCKED}.0.1 localhost
• {BLOCKED}.{BLOCKED}.238.100 www.sicredi.com.br
• {BLOCKED}.{BLOCKED}.0.1 localhost
• {BLOCKED}.{BLOCKED}.238.100 sicredi.com.br
• {BLOCKED}.{BLOCKED}.0.1 localhost
• {BLOCKED}.{BLOCKED}.238.100 www.santander.com.br
• {BLOCKED}.{BLOCKED}.238.100 www4.santander.com.br
• {BLOCKED}.{BLOCKED}.238.100 santander.com.br
• {BLOCKED}.{BLOCKED}.238.100 www.santandernet.com.br
• {BLOCKED}.{BLOCKED}.238.100 santandernet.com.br
• {BLOCKED}.{BLOCKED}.238.100 www.banespa.com.br
• {BLOCKED}.{BLOCKED}.238.100 santanderempresarial.com.br
• {BLOCKED}.{BLOCKED}.238.100 www.santanderempresarial.com.br
• {BLOCKED}.{BLOCKED}.0.1 localhost
• {BLOCKED}.{BLOCKED}.238.100 https://www.santandernetibe.com.br
• {BLOCKED}.{BLOCKED}.238.100 www.santandernetibe.com.br
• {BLOCKED}.{BLOCKED}.238.100 santandernetibe.com.br
• {BLOCKED}.{BLOCKED}.238.100 http://www.bb.com.br/portalbb/home23,116,116,1,1,1,1.bb

情報漏えい

マルウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。

マルウェアは、以下の銀行もしくは金融機関で利用される個人情報を収集します。

• Banco Bradesco
• Banco Itau
• Banco Santander
• Banco do Brasil
• Bradesco Prime
• Multiplus
• Prime
• Sicredi
• TAM