TrojanSpy.MSIL.CLIPBANKER.AO

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、以下のフォルダを追加します。

• %AppDataLocal%\Get_Cliboard_Address
• %AppDataLocal%\Get_Cliboard_Address\{Malware Filename}_Url_{32 Random Alphanumeric Characters}
• %AppDataLocal%\Get_Cliboard_Address\{Malware Filename}_Url_{32 Random Alphanumeric Characters}\1.0.0.0

(註：%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local" です。)

スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %User Temp%\{Malware Filename}.exe

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

スパイウェアは、以下のファイルを作成します。

• %AppDataLocal%\Get_Cliboard_Address\{Malware Filename}_Url_{32 Random Alphanumeric Characters}\1.0.0.0\{Random Characters}.tmp -> Deleted afterwards
• %AppDataLocal%\Get_Cliboard_Address\{Malware Filename}_Url_{32 Random Alphanumeric Characters}\1.0.0.0\user.config -> configuration file
  • originally %AppDataLocal%\Get_Cliboard_Address\{Malware Filename}_Url_{32 Random Alphanumeric Characters}\1.0.0.0\{Random Characters}.newcfg
• %System Root%\log.txt -> log file where activities are stored

(註：%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local" です。. %System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)

スパイウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• Global\{Malware Path}//{Malware Filename}.exe

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
WindowsUpdater = %User Temp%\{Malware Filename}.exe

情報漏えい

スパイウェアは、以下の情報を収集します。

• Clipboard Data
• Key Logs

その他

スパイウェアは、以下を実行します。

• It modifies its file attributes to Hidden and System
• If another instance of the malware is running, it drops %System Root%\log.txt with the following contents:
  • "instance is already running"
• Stolen data are saved when the current date is later than the date the malware was executed

(註：%System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)