TrojanSpy.Win32.QAKBOT.TIGOCDP
Windows
マルウェアタイプ:
スパイウェア/情報窃取型
破壊活動の有無:
なし
暗号化:
はい
感染報告の有無 :
はい
概要
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
スパイウェアは、特定のWebサイトにアクセスし、情報を送受信します。
スパイウェアは、特定の文字列を含むセキュリティ対策関連Webサイトが閲覧できないようにします。
詳細
侵入方法
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
スパイウェアは、以下のファイルを作成します。
- %Application Data%\Microsoft\{random folder}\{random name}.dat - encrypted component
- %Application Data%\Microsoft\{random folder}\{random name}32.dll - encrypted configuration file
- %User Profile%\{random name}.wpl - dropped JavaScript file
- %System%\Tasks\{random ID}.job
(註:%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。. %User Profile%フォルダは、現在ログオンしているユーザのプロファイルフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>" です。. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)
スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %Application Data%\Microsoft\{random folder}\{random file name}.exe
(註:%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)
スパイウェアは、以下のプロセスを追加します。
- %Windows%\explorer.exe
- {Malware FilePath}\{Malware FileName}.exe /C ← for checking if being analyzed or running in Virtual Environment
(註:%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)
自動実行方法
スパイウェアは、作成されたコンポーネントがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random} = "%Application Data%\Microsoft\{random folder}\{random name}.exe"
バックドア活動
スパイウェアは、以下のWebサイトにアクセスし、情報を送受信します。
- {generated domain}.(com|net|org|info|biz|org)
プロセスの終了
スパイウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。
- ChromeUpdate.exe
- msdev.exe
- dbgview.exe
- ollydbg.exe
- ctfmon.exe
- Proxifier.exe
- nav.exe
- Microsoft.Notes.exe
- ShellExperienceHost.exe
- SecHealthUI.exe
- windbg.exe
情報漏えい
スパイウェアは、感染したコンピュータ上でInternet Explorer(IE)の使用状況を監視します。スパイウェアは、特にIEのアドレスバーまたはタイトルバー情報を監視しますが、ユーザが銀行関連Webサイトを閲覧しそのサイトのアドレスバーまたはタイトルバーに以下の文字列が含まれていた場合、正規Webサイトを装った偽のログインページを作成します。
- .hsbcnet.com
- .ntrs.com
- .web-access.com
- .webcashmgmt.com
- /achupload
- /cashman/
- /cashplus/
- /clkccm/
- /cmserver/
- /corpach/
- /ibws/
- /payments/ach
- /payments/ach
- /stbcorp/
- /wcmpr/
- /wcmpw/
- /wcmtr/
- /wires/
- /wiret
- access.jpmorgan.com
- accessmoneymanager.com
- accessonline.abnamro.com
- achbatchlisting
- avgthreatlabs.com
- bankeft.com
- blilk.com
- businessaccess.citibank.citigroup.com
- businessbankingcenter.synovus.com
- business-eb.ibanking-services.com
- business-eb.ibanking-services.com
- businessinternetbanking.synovus.com
- businessonline.huntington.com
- businessonline.tdbank.com
- cashmanageronline.bbt.com
- cashproonline.bankofamerica.com
- cashproonline.bankofamerica.com
- cbs.firstcitizensonline.com
- chsec.wellsfargo.com
- cmol.bbt.com
- cmoltp.bbt.com
- commerceconnections.commercebank.com
- commercial.bnc.ca
- commercial.wachovia.com
- commercial2.wachovia.com
- commercial3.wachovia.com
- commercial4.wachovia.com
- corporatebanking
- cpw-achweb.bankofamerica.com
- ctm.53.com
- directline4biz.com
- directpay.wellsfargo.com
- each.bremer.com
- ebanking-services.com
- ecash.arvest.com
- e-facts.org
- e-moneyger.com
- express.53.com
- firstmeritib.com
- firstmeritib.com/defaultcorp.aspx
- goldleafach.com
- iachwellsprod.wellsfargo.com
- ibc.klikbca.com
- intellix.capitalonebank.com
- iris.sovereignbank.com
- itreasury.regions.com
- itreasurypr.regions.com
- jsp/mainWeb.jsp
- ktt.key.com
- moneymanagergps.com
- netconnect.bokf.com
- nj00-wcm
- ocm.suntrust.com
- olb-ebanking.com
- onlineserv/CM
- otm.suntrust.com
- paylinks.cunet.org
- paylinks.cunet.org
- premierview.membersunited.org
- premierview.membersunited.org
- providentnjolb.com
- safeweb.norton.com
- schwabinstitutional.com
- scotiaconnect.scotiabank.com
- securentrycorp.amegybank.com
- securentrycorp.zionsbank.com
- singlepoint.usbank.com
- siteadvisor.com
- svbconnect.com
- tcfexpressbusiness.com
- tdcommercialbanking.com
- tdetreasury.tdbank.com
- tmcb.amegybank.com
- tmcb.zionsbank.com
- tmconnectweb
- treas-mgt.frostbank.com
- treasury.pncbank.com
- treasurygateway
- trz.tranzact.org
- trz.tranzact.org
- tssportal.jpmorgan.com
- wc.wachovia.com
- wcp.wachovia.com
- web-cashplus.com
- webexpress.tdbank.com
- webinfoplus.mandtbank.com
- wellsoffice.wellsfargo.com
スパイウェアは、以下の情報を収集します。
- Windows Cookies
- Macromedia Flash Cookies
- Browser Cookies
- System Information
- Network Information
- GeoIP Locations
- Digital Certificates
情報収集
スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。
- 100.{BLOCKED}.{BLOCKED}.8:443
- 104.{BLOCKED}.{BLOCKED}.45:995
- 104.{BLOCKED}.{BLOCKED}.20:995
- 104.{BLOCKED}.{BLOCKED}.213:2222
- 104.{BLOCKED}.{BLOCKED}.18:443
- 105.{BLOCKED}.{BLOCKED}.97:995
- 107.{BLOCKED}.{BLOCKED}.181:443
- 108.{BLOCKED}.{BLOCKED}.244:443
- 108.{BLOCKED}.{BLOCKED}.213:8443
- 108.{BLOCKED}.{BLOCKED}.59:443
- 108.{BLOCKED}.{BLOCKED}.66:443
- 108.{BLOCKED}.{BLOCKED}.221:443
- 110.{BLOCKED}.{BLOCKED}.117:443
- 111.{BLOCKED}.{BLOCKED}.30:2222
- 116.{BLOCKED}.{BLOCKED}.130:443
- 117.{BLOCKED}.{BLOCKED}.149:995
- 12.{BLOCKED}.{BLOCKED}.146:443
- 12.{BLOCKED}.{BLOCKED}.3:443
- 123.{BLOCKED}.{BLOCKED}.47:443
- 137.{BLOCKED}.{BLOCKED}.25:443
- 138.{BLOCKED}.{BLOCKED}.214:443
- 159.{BLOCKED}.{BLOCKED}.115:995
- 162.{BLOCKED}.{BLOCKED}.166:443
- 162.{BLOCKED}.{BLOCKED}.30:443
- 166.{BLOCKED}.{BLOCKED}.194:2078
- 168.{BLOCKED}.{BLOCKED}.71:443
- 172.{BLOCKED}.{BLOCKED}.246:443
- 172.{BLOCKED}.{BLOCKED}.176:443
- 172.{BLOCKED}.{BLOCKED}.13:995
- 173.{BLOCKED}.{BLOCKED}.169:995
- 173.{BLOCKED}.{BLOCKED}.216:443
- 173.{BLOCKED}.{BLOCKED}.3:443
- 173.{BLOCKED}.{BLOCKED}.11:2222
- 173.{BLOCKED}.{BLOCKED}.249:443
- 173.{BLOCKED}.{BLOCKED}.90:22
- 173.{BLOCKED}.{BLOCKED}.90:990
- 173.{BLOCKED}.{BLOCKED}.90:995
- 174.{BLOCKED}.{BLOCKED}.120:995
- 174.{BLOCKED}.{BLOCKED}.160:443
- 174.{BLOCKED}.{BLOCKED}.155:995
- 179.{BLOCKED}.{BLOCKED}.31:443
- 181.{BLOCKED}.{BLOCKED}.118:443
- 181.{BLOCKED}.{BLOCKED}.138:995
- 181.{BLOCKED}.{BLOCKED}.162:443
- 184.{BLOCKED}.{BLOCKED}.203:2222
- 184.{BLOCKED}.{BLOCKED}.78:443
- 184.{BLOCKED}.{BLOCKED}.234:995
- 187.{BLOCKED}.{BLOCKED}.188:995
- 190.{BLOCKED}.{BLOCKED}.18:443
- 190.{BLOCKED}.{BLOCKED}.18:995
- 192.{BLOCKED}.{BLOCKED}.2:2222
- 192.{BLOCKED}.{BLOCKED}.185:443
- 193.{BLOCKED}.{BLOCKED}.19:995
- 196.{BLOCKED}.{BLOCKED}.208:2222
- 197.{BLOCKED}.{BLOCKED}.191:995
- 199.{BLOCKED}.{BLOCKED}.231:995
- 2.{BLOCKED}.{BLOCKED}.198:443
- 2.{BLOCKED}.{BLOCKED}.151:443
- 2.{BLOCKED}.{BLOCKED}.236:443
- 201.{BLOCKED}.{BLOCKED}.180:995
- 203.{BLOCKED}.{BLOCKED}.72:443
- 206.{BLOCKED}.{BLOCKED}.179:443
- 206.{BLOCKED}.{BLOCKED}.106:50002
- 207.{BLOCKED}.{BLOCKED}.228:443
- 207.{BLOCKED}.{BLOCKED}.91:443
- 209.{BLOCKED}.{BLOCKED}.217:443
- 217.{BLOCKED}.{BLOCKED}.212:443
- 222.{BLOCKED}.{BLOCKED}.36:2078
- 23.{BLOCKED}.{BLOCKED}.215:443
- 24.{BLOCKED}.{BLOCKED}.155:443
- 24.{BLOCKED}.{BLOCKED}.58:2222
- 24.{BLOCKED}.{BLOCKED}.152:443
- 24.{BLOCKED}.{BLOCKED}.28:443
- 24.{BLOCKED}.{BLOCKED}.105:2078
- 24.{BLOCKED}.{BLOCKED}.105:2083
- 24.{BLOCKED}.{BLOCKED}.105:2087
- 24.{BLOCKED}.{BLOCKED}.105:2222
- 24.{BLOCKED}.{BLOCKED}.105:61201
- 24.{BLOCKED}.{BLOCKED}.9:443
- 36.{BLOCKED}.{BLOCKED}.250:443
- 47.{BLOCKED}.{BLOCKED}.85:443
- 47.{BLOCKED}.{BLOCKED}.154:443
- 47.{BLOCKED}.{BLOCKED}.154:995
- 47.{BLOCKED}.{BLOCKED}.10:995
- 47.{BLOCKED}.{BLOCKED}.230:443
- 47.{BLOCKED}.{BLOCKED}.253:443
- 47.{BLOCKED}.{BLOCKED}.26:465
- 5.{BLOCKED}.{BLOCKED}.156:443
- 50.{BLOCKED}.{BLOCKED}.220:443
- 50.{BLOCKED}.{BLOCKED}.74:995
- 62.{BLOCKED}.{BLOCKED}.217:995
- 64.{BLOCKED}.{BLOCKED}.29:995
- 64.{BLOCKED}.{BLOCKED}.172:443
- 65.{BLOCKED}.{BLOCKED}.83:443
- 65.{BLOCKED}.{BLOCKED}.240:995
- 66.{BLOCKED}.{BLOCKED}.176:443
- 67.{BLOCKED}.{BLOCKED}.98:2222
- 67.{BLOCKED}.{BLOCKED}.102:443
- 67.{BLOCKED}.{BLOCKED}.13:443
- 68.{BLOCKED}.{BLOCKED}.223:443
- 68.{BLOCKED}.{BLOCKED}.136:443
- 68.{BLOCKED}.{BLOCKED}.27:443
- 69.{BLOCKED}.{BLOCKED}.172:995
- 69.{BLOCKED}.{BLOCKED}.167:443
- 70.{BLOCKED}.{BLOCKED}.69:443
- 70.{BLOCKED}.{BLOCKED}.71:443
- 70.{BLOCKED}.{BLOCKED}.126:2222
- 71.{BLOCKED}.{BLOCKED}.250:443
- 71.{BLOCKED}.{BLOCKED}.170:443
- 71.{BLOCKED}.{BLOCKED}.251:443
- 71.{BLOCKED}.{BLOCKED}.114:443
- 71.{BLOCKED}.{BLOCKED}.90:443
- 72.{BLOCKED}.{BLOCKED}.194:995
- 72.{BLOCKED}.{BLOCKED}.198:465
- 72.{BLOCKED}.{BLOCKED}.107:995
- 72.{BLOCKED}.{BLOCKED}.233:443
- 72.{BLOCKED}.{BLOCKED}.77:2083
- 72.{BLOCKED}.{BLOCKED}.182:443
- 73.{BLOCKED}.{BLOCKED}.150:443
- 73.{BLOCKED}.{BLOCKED}.6:443
- 73.{BLOCKED}.{BLOCKED}.222:80
- 73.{BLOCKED}.{BLOCKED}.237:443
- 74.{BLOCKED}.{BLOCKED}.181:443
- 74.{BLOCKED}.{BLOCKED}.250:2222
- 75.{BLOCKED}.{BLOCKED}.106:443
- 75.{BLOCKED}.{BLOCKED}.89:443
- 75.{BLOCKED}.{BLOCKED}.82:443
- 75.{BLOCKED}.{BLOCKED}.82:995
- 75.{BLOCKED}.{BLOCKED}.69:443
- 75.{BLOCKED}.{BLOCKED}.122:443
- 75.{BLOCKED}.{BLOCKED}.155:3389
- 75.{BLOCKED}.{BLOCKED}.193:443
- 75.{BLOCKED}.{BLOCKED}.223:995
- 76.{BLOCKED}.{BLOCKED}.81:443
- 76.{BLOCKED}.{BLOCKED}.223:443
- 76.{BLOCKED}.{BLOCKED}.226:443
- 79.{BLOCKED}.{BLOCKED}.119:995
- 80.{BLOCKED}.{BLOCKED}.42:2222
- 86.{BLOCKED}.{BLOCKED}.248:443
- 90.{BLOCKED}.{BLOCKED}.155:2222
- 96.{BLOCKED}.{BLOCKED}.27:2222
- 96.{BLOCKED}.{BLOCKED}.86:443
- 98.{BLOCKED}.{BLOCKED}.64:443
- 98.{BLOCKED}.{BLOCKED}.8:443
- 98.{BLOCKED}.{BLOCKED}.192:995
- 99.{BLOCKED}.{BLOCKED}.183:995
その他
スパイウェアは、以下のWebサイトにアクセスしてインターネット接続を確認します。
- baidu.com
- cnn.com
- facebook.com
- linkedin.com
- mail.ru
- microsoft.com
- qq.com
- wikipedia.org
- yahoo.com
スパイウェアは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。
- http://www.ip-adress.com
スパイウェアは、以下の文字列を含むセキュリティ対策関連Webサイトが閲覧できないようにします。
- safeweb.norton.com
- siteadvisor.com
- avgthreatlabs.com
対応方法
手順 1
トレンドマイクロの機械学習型検索は、マルウェアの存在を示す兆候が確認された時点で検出し、マルウェアが実行される前にブロックします。機械学習型検索が有効になっている場合、弊社のウイルス対策製品はこのマルウェアを以下の機械学習型検出名として検出します。
- Troj.Win32.TRX.XXPE50FFF032
手順 2
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 3
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 4
Windowsをセーフモードで再起動します。
手順 5
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- {random} = "%Application Data%\Microsoft\{random folder}\{malware name}.exe"
- {random} = "%Application Data%\Microsoft\{random folder}\{malware name}.exe"
手順 6
スケジュールされたタスクを削除する
タスク削除の手順に含まれる{タスク名} - {実行するタスク}には以下が当てはまります。
- Task Name: {random ID}
- Schedule: Every 5 Hours
- Task to be run: %Application Data%\Microsoft\{random folder}\{random name}.exe
- Task Name: {random ID}
- Schedule: Weekly, Every Tuesday and Wednesday at 12:00:00
- Task to be run: "cmd.exe /C \ "start /MIN %System%\cscript.exe //E:javascript \ "%User Profile%\{random name}.wpl \"
Windows 2000、Windows XP、Windows Server 2003の場合:
- [スタート]→[プログラム]→[アクセサリ]→[システムツール]→[スケジュールされたタスク]をクリックして、スケジュールされたタスクを開きます。
- 上記の{タスク名} を、[名前]の欄に入力します。
- 入力した{タスク名} 持つファイルを右クリックします。
- [プロパティ]をクリックします。 [実行]フィールドで、表示されている{実行するタスク}を確認します。
- 上記の{実行するタスク}と文字列が一致するタスクを削除します。
Windows Vista、Windows 7、Windows Server 2008、Windows 8、Windows 8.1、およびWindows Server 2012の場合:
- Windowsタスクスケジューラを開きます。
• Windows Vista、Windows 7、Windows Server 2008の場合、[スタート]をクリックし、[検索]フィールドに「taskchd.msc」と入力してEnterキーを押します。
• Windows 8、Windows 8.1、Windows Server 2012の場合、画面の左下隅を右クリックし、[実行]をクリックし、「taskchd.msc」と入力してEnterキーを押します。 - 左側のパネルで、[タスクスケジューラライブラリ]をクリックします。
- 中央上部のパネルで、上記の{タスク名}を[名前]の欄に入力します。
- 中央下部のパネルで、[アクション]タブをクリックします。 [詳細]の欄で、{実行するタスク}を確認します。
- 文字列が一致するタスクを削除します。
手順 7
以下のファイルを検索し削除します。
- %Application Data%\Microsoft\{random folder}\{malware name}.exe
- %Application Data%\Microsoft\{random folder}\{malware name}.dat - encrypted component
- %Application Data%\Microsoft\{random folder}\{malware name}32.dll - encrypted configuration file
- %User Profile%\{malware name}.wpl - dropped JavaScript file
- %System%\Tasks\{random ID}.job
手順 8
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TrojanSpy.Win32.QAKBOT.TIGOCDP」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください