TrojanSpy.Win32.MISPADU.THIADBO
HEUR:PSWTool.Win32.NetPass.gen (Kasperky), a variant of Win32/Spy.Mispadu.J trojan (Nod32)
Windows
マルウェアタイプ:
スパイウェア/情報窃取型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
スパイウェアは、特定のWebサイトにアクセスし、情報を送受信します。
詳細
侵入方法
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
情報漏えい
スパイウェアは、以下のパラメータを受け取ります。
- /stext WWy1 -> uses WebBrowserPassView to collect credentials from browsers
- /stext WWy0 -> uses MailPassView to collect credentials from several locations
その他
スパイウェアは、以下のWebサイトにアクセスし、情報を送受信します。
- {BLOCKED}.{BLOCKED}.{BLOCKED}.173
スパイウェアは、以下を実行します。
- Monitors if the victim will access specific banking websites then will create an overlay window on the legitimate web browser window and connect them to the C&C server.
- The malware looks for the following bank/banking related websites by:
- BMSC_BO
- BANCOUNION_BO
- BNB_BO
- BISA_BO
- BCP_BO
- FASSIL_BO
- BANCOFIE_BO
- BANCOSOL_BO
- BG_BO
- BANECO_BO
- CORPBANCA_CH
- BBCA_CH
- BANCOFALABELLA_CH
- BANCOEDWARDS_CH
- BANCORIPLEY_CH
- TBANCWLS_CH
- BANEFE_CH
- SCOTIABANK_CH
- BICE_CH
- BANCOINTER_CH
- BANCOCONSORCIO_CH
- BITCOIN
- PAYPAL
- BANKIA_ES
- SABADELL_ES
- BANKINTER_ES
- IBERCAJA_ES
- LIBERBANK_ES
- ABANCA_ES
- KUTXABANCA_ES
- UNICAJA_ES
- GERAL_PT
- BPI_PT
- NOVOBANCO_PT
- BCP_PT
- CGD_PT
- ACTIVO_PT
- MONTEPIO_PT
- CREDITOAGR_PT
- BPM_IT
- BPER_IT
- UNICRED_IT
- SAMPAOLO_IT
- BNL_IT
- BANCAMPS_IT
- SANTANDER_CH
- SANTANDER_ES
- BBVA_ES
- CAIXABANK_ES
- SANTANDER_PT
- BBVA_MX
- AZTECA_MX
- BANAMEX_MX
- BANORTE_MX
- SANTA_MX
- HSBC_MX
- SCOTIA_MX
- bbva
- xico
- 99_
- 99
- BBVA
- banco
- azteca
- Banco Azteca
- banconacional
- agrcola
- Banco Nacional de México
- banorte
- Banorte
- santander
- bancadeempresa
- mxico
- gobierno
- pyme
- Banco Santander
- caixabank
- bpi
- CaixaBank
- scotiabank
- Scotia
- hsbc
- HSBC
- solu
- advance
- investor
- Santader
- blockchain
- bitcoin
- binance
- coinbase
- kraken
- crypto
- primebit
- bitso
- paypal
- bankia
- bancosabadell
- bankinter
- ibercaja
- liberbank
- abanca
- kutxabank
- unicajabanco
- bancobpi
- novobanco
- millenniumbcp
- caixadirecta
- activobank
- montepio
- crditoagr
- bancapopolaredemilano
- bancobpm
- bper
- unicredit
- banking
- bancaintesasanpaolo
- bnl
- banca
- bancamps
- The following are samples of the overlay that the malware will create:
対応方法
手順 1
トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。
-
Troj.Win32.TRX.XXPE50FFF036
手順 2
Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 3
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 4
「TrojanSpy.Win32.MISPADU.THIADBO」で検出したファイル名を確認し、そのファイルを終了します。
- すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
- 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、こちらをご参照下さい。 - 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。
手順 5
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TrojanSpy.Win32.MISPADU.THIADBO」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください