解析者: Jaime Benigno Reyes   
 別名:

PWS:Win32/Fareit.gen!E (Microsoft); Trojan-PSW.Win32.Tepfer.gen (Kaspersky); Downloader.Ponik (Symantec)

 プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    スパイウェア

  • 破壊活動の有無:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。 スパイウェアは、リモートサイトから他のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。

スパイウェアは、実行後、自身を削除します。

スパイウェアは、ワーム活動の機能を備えていません。

スパイウェアは、バックドア活動の機能を備えていません。

スパイウェアは、ダウンロードする機能を備えていません。

  詳細

ファイルサイズ 99,840 bytes
タイプ DLL
メモリ常駐 なし
発見日 2014年8月29日
ペイロード 情報収集

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェアは、リモートサイトから以下のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。

  • BKDR_ANDROM.WEY

スパイウェアは、以下のリモートサイトからダウンロードされコンピュータに侵入します。

  • http://{BLOCKED}.{BLOCKED}.137.91/images/0/0.dll

インストール

スパイウェアは、以下のコンポーネントファイルを作成します。

  • %User Temp%\{random number}.bat - used to delete the malware TSPY_FAREIT.WEY and itself

(註:%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。)

スパイウェアは、実行後、自身を削除します。

他のシステム変更

スパイウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\WinRAR
Client Hash = "{random value}"

HKEY_CURRENT_USER\Software\WinRAR
HWID = "{random value}"

感染活動

スパイウェアは、ワーム活動の機能を備えていません。

バックドア活動

スパイウェアは、バックドア活動の機能を備えていません。

ダウンロード活動

スパイウェアは、ダウンロードする機能を備えていません。

情報漏えい

スパイウェアは、コンピュータ内に以下のFTPクライアントまたはファイルマネージャのアカウント情報が保存されている場合、これらのアカウント情報を収集します。

  • 32Bit Ftp
  • 3D-FTP
  • AceBIT Wise-FTP
  • BitKinex
  • BulletProof FTP
  • CoffeeCup FTP
  • CyberDuck
  • Deluxe FTP
  • EasyFTP
  • Estsoft ALFTP
  • ExpanDrive
  • Far
  • Far Manager
  • Far2
  • FileZilla
  • FireFTP
  • FlashFXP
  • FlashPeak BlazeFtp
  • FreshFTP
  • Frigate3
  • FTP Commander
  • FTP Explorer
  • FTP Navigator
  • FTP++
  • FTPCON
  • FTPGetter
  • FTPNow
  • FTPRush
  • FTPShell
  • FTPWare COREFTP
  • Ghisler Total Commander
  • Ghisler Windows Commander
  • Global Downloader
  • GlobalSCAPE CuteFTP
  • GlobalSCAPE CuteFTP 6 Home
  • GlobalSCAPE CuteFTP 6 Professional
  • GlobalSCAPE CuteFTP 7 Home
  • GlobalSCAPE CuteFTP 7 Professional
  • GlobalSCAPE CuteFTP 8 Home
  • GlobalSCAPE CuteFTP 8 Professional
  • GlobalSCAPE CuteFTP 9
  • GlobalSCAPE CuteFTP Lite
  • GlobalSCAPE CuteFTP Pro
  • GoFTP
  • GPSoftware Directory Opus
  • INSoftware NovaFTP
  • Ipswitch
  • LeapWare LeapFTP
  • LeechFTP
  • LinasFTP Site Manager
  • Martin Prikryl
  • MAS-Soft FTP
  • Maxprog FTP Disk
  • My FTP
  • NCH Software ClassicFTP
  • NetDrive
  • NetSarang
  • Nico Mak Computing WinZip FTP
  • RhinoSoft FTP Voyager
  • Robo-FTP 3.7
  • Simon Tatham PuTTY
  • SiteDesigner
  • SmartFTP
  • SoftX.org FTPClient
  • Sota FFFTP
  • South River Technologies WebDrive
  • Staff-FTP
  • TurboFTP
  • UltraFXP
  • VanDyke
  • Visicom Media AceFTP
  • WinFTP

スパイウェアは、保存されている以下のEメール認証情報を収集します。

  • BatMail
  • IncrediMail
  • Microsoft Outlook
  • Pocomail
  • RimArts Becky! Internet Mail
  • Thunderbird
  • Windows Live Mail
  • Windows Mail

スパイウェアは、以下のブラウザから、ユーザ名、パスワードやホスト名といった保存された情報を収集します。

  • Bromium
  • ChromePlus
  • Chromium
  • Comodo
  • Epic
  • FastStone
  • Flock
  • Google Chrome
  • K-Meleon
  • Microsoft Internet Explorer
  • Mozilla Firefox
  • Mozilla SeaMonkey
  • Nichrome
  • RockMelt

情報収集

スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

  • http://{BLOCKED}ate.pw/skysteal/skygate.php

その他

スパイウェアが作成する以下のコンポーネントファイルは、「TSPY_FAREIT.WEY」およびこのファイル自身を削除するため利用されます。

  • %User Temp%\{random number}.bat

スパイウェアは、保存されている情報を以下から収集します。

  • wallet (Armory, MultiBit)
  • electrum.dat (Electrum)
  • wallet.dat (Anoncoin, BBQcoin, Bitcoin, Bytecoin, Craftcoin, Devcoin, Digitalcoin, Fastcoin, Feathercoin, Florincoin, Franko, Freicoin, GoldCoin (GLD), I0coin, Infinitecoin, Ixcoin, Junkcoin, Litecoin, Luckycoin, Megacoin, Mincoin, Namecoin, NovaCoin, Phoenixcoin, PPCoin, Primecoin, ProtoShares, Quarkcoin, Tagcoin, Terracoin, Worldcoin, Yacoin, Zetacoin)

スパイウェアは、ルートキット機能を備えていません。

スパイウェアは、脆弱性を利用した感染活動を行いません。

  対応方法

対応検索エンジン: 9.700
初回 VSAPI パターンバージョン 11.124.04
初回 VSAPI パターンリリース日 2014年9月1日
VSAPI OPR パターンバージョン 11.125.00
VSAPI OPR パターンリリース日 2014年9月2日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 3

「TSPY_FAREIT.WEY」を作成またはダウンロードする不正なファイルを削除します。 (註:以下のマルウェアもしくはアドウェア等がすでに削除されている場合は、本手順は行う必要はありません。)

    • BKDR_ANDROM.WEY

手順 4

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_CURRENT_USER\Software\WinRAR
    • Client Hash = "{random value}"
  • In HKEY_CURRENT_USER\Software\WinRAR
    • HWID = "{random value}"

手順 5

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TSPY_FAREIT.WEY」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください