TSPY_BANKER.MFD

マルウェアは、他のマルウェアに作成され、コンピュータに侵入します。 マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

マルウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。 マルウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。

侵入方法

マルウェアは、他のマルウェアに作成され、コンピュータに侵入します。

マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{malware filename}.exe = {malware path and filename}

情報漏えい

マルウェアは、感染したコンピュータ上でInternet Explorer（IE）の使用状況を監視します。マルウェアは、特にIEのアドレスバーまたはタイトルバー情報を監視しますが、ユーザが銀行関連Webサイトを閲覧しそのサイトのアドレスバーまたはタイトルバーに以下の文字列が含まれていた場合、正規Webサイトを装った偽のログインページを作成します。

• Banco Bradesco S/A
• Banco Santander
• Nossa Caixa Net Banking
• http://www.bradesco.com.br/
• http://www.bradescopessoajuridica.com.br/
• https://bradesconetempresa.com.br/ne/neFrameMaster.asp?CONTROLE=
• https://bradesconetempresa.com.br/scripts/office.dll/DISPOSITIVO2/VERIFICADISPOSITIVO
• https://netbanking2.banespa.com.br/IBPF_Home.asp
• https://netbanking2.banespa.com.br/default.asp?txtAgencia=
• https://www.santandernet.com.br/default.asp?txtAgencia=
• https://wwwss.bradesco.com.br/scripts/ib2k1.dll/LOGIN?AGN=

偽のログインページは、正規のログインページに重なり、Internet Explorer（IE）ウィンドウの一部であるように装います。偽のログインページは、正規のWebサイトにおいて決まった位置に表示されます。これにより、ユーザはアカウントに関連する個人情報を入力してしまう可能性があります。また、誤って偽ログインページにユーザ名やパスワードを入力した場合、キー入力操作情報が記録されます。

マルウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。

マルウェアは、以下の銀行もしくは金融機関で利用される個人情報を収集します。

• Banco Santander
• Banespa
• Bradesco
• Nossa Caixa

情報収集

マルウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

• http://{BLOCKED}3034.tempsite.ws/appinfo2/webstd/novo/procopspro.php

ハッシュ値情報

マルウェアは、以下のMD5ハッシュ値を含んでいます。

• 2414f27ed6ec3a489ac825517bba3ca2

マルウェアは、以下のSHA1ハッシュ値を含んでいます

• 8a5033a1bd822d7c038f601beeb1da369e2336cd