TSPY_FAREIT.SMC

トレンドマイクロは、このスパイウェアをNoteworthy（要注意）に分類しました。

スパイウェアは、偽の "Adobe Flash Player" の更新プログラムとしてコンピュータに侵入します。スパイウェアは、「WebEx」や「PayPal」に言及する件名のスパムメールを送信します。

スパイウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

スパイウェアは、ダウンロードしたファイルを実行します。

侵入方法

スパイウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

ダウンロード活動

スパイウェアは、以下のWebサイトにアクセスし、ファイルをダウンロードします。

• http://{BLOCKED}up.biz/S2QsWCUk.exe - detected as TSPY_ZBOT.LAG
• http://www.{BLOCKED}yaoriente.com.co/pbe.exe - detected as TSPY_ZBOT.LAG

スパイウェアは、以下のファイル名でダウンロードしたファイルを保存します。

• %User Temp%\{random number}.exe

(註：%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

スパイウェアは、ダウンロードしたファイルを実行します。

情報収集

スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

• http://{BLOCKED}.{BLOCKED}.25.255/forum/viewtopic.php
• http://{BLOCKED}.{BLOCKED}.53.38/forum/viewtopic.php

その他

スパイウェアがダウンロードするファイルは以下のとおりです。

• http://＜省略＞up.biz/S2QsWCUk.exe - 「TSPY_ZBOT.LAG」として検出
• http://www.＜省略＞yaoriente.com.co/pbe.exe - 「TSPY_ZBOT.LAG」として検出

スパイウェアは、以下のインストールされたFTPクライアントまたはファイルマネージャのアカウント情報を収集します。

• LAceFTP
• 32BitFtp
• 3D-FTP
• BPFTP
• BlazeFtp
• BulletProof FTP Client
• DeluxeFTP
• EasyFTP
• Estsoft
• FFFTP (Sota)
• FTP CONTROL
• FTP Commander
• FTP Explorer
• FTP Navigator
• FTP Now
• FTP++
• FTPCON
• FTPClient
• FTPGetter
• FTPRush
• FTPShell
• FTPVoyager
• FTPWare
• Far Manager
• FileZilla
• FreshFTP
• Ghisler
• GlobalSCAPE CuteFTP 6 Home
• GlobalSCAPE CuteFTP 6 Professional
• GlobalSCAPE CuteFTP 7 Home
• GlobalSCAPE CuteFTP 7 Professional
• GlobalSCAPE CuteFTP 8 Home
• GlobalSCAPE CuteFTP 8 Professional
• GoFTP
• Ipswitch WS_FTP
• LeapWare LeapFTP
• LeechFTP
• LinasFTP
• MAS-Soft FTPInfo
• MS IE FTP Passwords
• NCH Software ClassicFTP
• NovaFTP
• Robo-FTP 3.7
• SmartFTP
• SoftX.org FTPClient
• Staff-FTP
• TurboFTP
• WS_FTP
• WinFTP
• Ftp Winzip (Nico Mak Computing)
• Coffee Cup Free FTP
• PuTTY
• salt-ftp

スパイウェアは、上述のFTPクライアントまたはファイルマネージャのいずれかから以下のアカウント情報を収集します。

• パスワード
• ポート番号
• サーバ名
• サーバのタイプ
• ユーザ名
• ディレクトリのリスト

また、スパイウェアは、保存されたメールの認証情報を収集します。

• Outlook
• Windows Live Mail
• Windows Mail
• Pocomail
• IncrediMail
• BatMail
• Thunderbird

スパイウェアは、以下のWebブラウザからユーザ名、パスワードおよびホスト名といった保存された情報を収集します。

• Google Chrome
• Mozilla Firefox
• Internet Explorer
• Opera Browser
• Flock Browser
• RockMelt
• K-Meleon
• FastStone Browser

スパイウェアは、以下のユーザ名およびパスワードのリストを用い、上述の情報が保存されたパスワード保護された場所にアクセスします。

• 123456
• password
• phpbb
• qwerty
• 12345
• jesus
• 12345678
• abc123
• letmein
• password1
• hello
• monkey
• dragon
• trustno1
• 111111
• iloveyou
• 1234567
• shadow
• 123456789
• christ
• sunshine
• master
• computer
• princess
• tigger
• football
• angel
• jesus1
• 123123
• whatever
• freedom
• killer
• soccer
• superman
• michael
• cheese
• internet
• joshua
• fuckyou
• blessed
• baseball
• starwars
• 000000
• purple
• jordan
• faith
• summer
• ashley
• buster
• heaven
• pepper
• 7777777
• hunter
• lovely
• andrew
• thomas
• angels
• charlie
• daniel
• jennifer
• single
• hannah
• qazwsx
• happy
• matrix
• aaaaaa
• 654321
• amanda
• nothing
• ginger
• mother
• snoopy
• jessica
• welcome
• pokemon
• iloveyou1
• 11111
• mustang
• helpme
• justin
• jasmine
• orange
• testing
• apple
• michelle
• peace
• secret
• grace
• william
• iloveyou2
• nicole
• 666666
• muffin
• gateway
• fuckyou1
• asshole
• hahaha
• blessing
• blahblah
• myspace1
• matthew
• canada
• silver
• robert
• forever
• asdfgh
• rachel
• rainbow
• guitar
• peanut
• batman
• cookie
• bailey
• soccer1
• mickey
• biteme
• hello1
• eminem
• dakota
• samantha
• compaq
• diamond
• taylor
• forum
• john316
• richard
• blink182
• peaches
• flower
• scooter
• banana
• james
• asdfasdf
• victory
• london
• 123qwe
• 123321
• startrek
• george
• winner
• maggie
• trinity
• online
• 123abc
• chicken
• junior
• chris
• passw0rd
• austin
• sparky
• admin
• merlin
• google
• friends
• shalom
• nintendo
• looking
• harley
• smokey
• joseph
• lucky
• digital
• thunder
• spirit
• bandit
• enter
• anthony
• corvette
• hockey
• power
• benjamin
• iloveyou!
• 1q2w3e
• viper
• genesis
• knight
• qwerty1
• creative
• foobar
• adidas
• rotimi
• slayer
• wisdom
• praise
• zxcvbnm
• samuel
• dallas
• green
• testtest
• maverick
• onelove
• david
• mylove
• church
• friend
• destiny
• microsoft
• 222222
• bubbles
• 11111111
• cocacola
• jordan23
• ilovegod
• football1
• loving
• nathan
• emmanuel
• scooby
• fuckoff
• sammy
• maxwell
• jason
• 1q2w3e4r
• red123
• blabla prince
• qwert
• chelsea
• 55555
• angel1
• hardcore
• dexter
• saved
• 112233
• hallo
• jasper
• danielle
• kitten
• cassie
• stella
• prayer
• hotdog
• windows
• mustdie
• gates
• billgates
• ghbdtn
• gfhjkm
• 1234567890