解析者: Janus Agcaoili   
 別名:

PWS:Win32/Fareit (Microsoft), Troj/Fareit-ACR (Sophos),

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    スパイウェア

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。 スパイウェアは、他のマルウェアに作成され、コンピュータに侵入します。

スパイウェアは、ワーム活動の機能を備えていません。

スパイウェアは、バックドア活動の機能を備えていません。

ただし、情報公開日現在、このWebサイトにはアクセスできません。 スパイウェアは、ダウンロードする機能を備えていません。

スパイウェアは、実行後、自身を削除します。

  詳細

ファイルサイズ 165,888 bytes
タイプ EXE
メモリ常駐 なし
発見日 2016年2月10日
ペイロード ファイルのダウンロード, URLまたはIPアドレスに接続

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェアは、以下のマルウェアに作成され、コンピュータに侵入します。

  • W2KM_FAREIT.YYSKE

インストール

スパイウェアは、以下のファイルを作成し実行します。

  • %User Temp%\{random numbers}.bat

(註:%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.)

他のシステム変更

スパイウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\WinRAR
HWID = "{hex values}"

感染活動

スパイウェアは、ワーム活動の機能を備えていません。

バックドア活動

スパイウェアは、バックドア活動の機能を備えていません。

ダウンロード活動

スパイウェアは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。

  • http://www.{BLOCKED}gart.com/components/com_contact/web.exe
  • http://www.{BLOCKED}ub.tw/wp-includes/web.exe
  • http://www.{BLOCKED}gpaperroll.co.id/components/com_contact/web.exe

ただし、情報公開日現在、このWebサイトにはアクセスできません。

スパイウェアは、ダウンロードする機能を備えていません。

情報漏えい

スパイウェアは、コンピュータ内に以下のFTPクライアントまたはファイルマネージャのアカウント情報が保存されている場合、これらのアカウント情報を収集します。

  • 32BitFtp
  • 3D-FTP
  • AceBIT
  • Adobe
  • BitKinex
  • Bullet Proof FTP
  • CoffeeCup Software
  • Core FTP
  • Cryer WebSitePublisher
  • Cyberduck
  • DeluxeFTP
  • EasyFTP
  • Estsoft ALFTP
  • ExpanDrive
  • FTP Commander
  • FTP Control
  • FTP Explorer
  • FTP Navigator
  • FTP Now
  • FTPGetter
  • FTPRush
  • FTPShell
  • Far Manager
  • FastTrackFTP
  • FileZilla
  • FlashFXP 3
  • FlashFXP 4
  • FlashPeak BlazeFtp
  • FreshFTP
  • Frigate3
  • GPSoftware Directory Opus
  • Ghisler Total Commander
  • Global Downloader
  • GlobalSCAPE CuteFTP 6 Home
  • GlobalSCAPE CuteFTP 6 Professional
  • GlobalSCAPE CuteFTP 7 Home
  • GlobalSCAPE CuteFTP 7 Professional
  • GlobalSCAPE CuteFTP 8 Home
  • GlobalSCAPE CuteFTP 8 Professional
  • GlobalSCAPE CuteFTP 9
  • GlobalSCAPE CuteFTP Lite
  • GlobalSCAPE CuteFTP Pro
  • GoFTP
  • INSoftware NovaFTP
  • Ipswitch WS_FTP
  • LeapWare LeapFTP
  • LeechFTP
  • LinasFTP
  • MAS-Soft FTPInfo
  • MS IE FTP
  • Martin Prikryl
  • Maxprog FTP Disk
  • My FTP
  • NCH Software ClassicFTP
  • NCH Software Fling
  • NetDrive
  • NetSarang
  • NexusFile
  • Nico Mak Computing WinZip
  • Notepad++
  • NppFTP
  • RhinoSoft FTPVoyager
  • Robo-FTP 3.7
  • SimonTatham PuTTY
  • SmartFTP
  • SoftX FTP Client
  • Sota FFFTP
  • South River Technologies WebDrive
  • Staff-FTP
  • TurboFTP
  • UltraFXP
  • VanDyke SecureFX
  • Visicom Media

スパイウェアは、上述のFTPクライアントおよびファイルマネージャのいずれかから、以下のアカウント情報を収集します。

  • Username
  • Password
  • User ID
  • Host Address
  • Directory List
  • Port Number
  • Terminal Type
  • Server Name
  • Server Type

スパイウェアは、保存されている以下のEメール認証情報を収集します。

  • IncrediMail
  • Microsoft Outlook
  • Microsoft Windows Live Mail
  • Microsoft Windows Mail
  • Poco Systems Pocomail
  • RimArts Becky! Internet Mail
  • RIT The Bat!
  • Thunderbird

スパイウェアは、以下のブラウザから、ユーザ名、パスワードやホスト名といった保存された情報を収集します。

  • Bromium
  • Chromium
  • Comodo
  • Epic
  • FastStone Browser
  • Flock
  • Google Chrome
  • K-Meleon
  • MapleStudio ChromePlus
  • Mozilla Firefox
  • Mozilla SeaMonkey
  • Nichrome
  • Opera
  • RockMelt
  • Yandex

情報収集

スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

  • http://{BLOCKED}enaning.ru/gate.php
  • http://{BLOCKED}dintoft.ru/gate.php
  • http://{BLOCKED}hiscal.ru/gate.php

その他

スパイウェアは、実行後、自身を削除します。

スパイウェアが上述のFTPクライアントおよびファイルマネージャのいずれかから収集する情報は以下のとおりです。

  • ユーザ名
  • パスワード
  • ユーザID
  • ホストアドレス
  • ディレクトリのリスト
  • ポート番号
  • ターミナルタイプ
  • サーバ名
  • サーバタイプ

スパイウェアは、以下を実行します。

  • スパイウェアは、以下のユーザ名およびパスワードのリストを用いて、上述の情報が保存されているパスワード保護された場所にアクセスします。
    • samantha
    • michelle
    • david
    • eminem
    • scooter
    • asdfasdf
    • sammy
    • diamond
    • maxwell
    • justin
    • james
    • chicken
    • danielle
    • iloveyou2
    • fuckoff
    • prince
    • junior
    • rainbow
    • fuckyou1
    • nintendo
    • peanut
    • church
    • bubbles
    • robert
    • destiny
    • loving
    • gfhjkm
    • mylove
    • jasper
    • hallo
    • cocacola
    • helpme
    • nicole
    • guitar
    • billgates
    • looking
    • scooby
    • joseph
    • genesis
    • forum
    • emmanuel
    • cassie
    • victory
    • passw0rd
    • foobar
    • ilovegod
    • nathan
    • blabla
    • digital
    • peaches
    • football1
    • power
    • thunder
    • gateway
    • iloveyou!
    • football
    • tigger
    • corvette
    • angel
    • killer
    • creative
    • google
    • zxcvbnm
    • startrek
    • ashley
    • cheese
    • sunshine
    • christ
    • soccer
    • qwerty1
    • friend
    • summer
    • merlin
    • phpbb
    • jordan
    • saved
    • dexter
    • viper
    • winner
    • sparky
    • windows
    • 123abc
    • lucky
    • anthony
    • jesus
    • ghbdtn
    • admin
    • hotdog
    • baseball
    • password1
    • dragon
    • trustno1
    • jason
    • internet
    • mustdie
    • letmein
    • knight
    • jordan23
    • abc123
    • red123
    • praise
    • freedom
    • jesus1
    • london
    • computer
    • microsoft
    • muffin
    • qwert
    • mother
    • master
    • qazwsx
    • samuel
    • canada
    • slayer
    • rachel
    • onelove
    • qwerty
    • prayer
    • iloveyou1
    • whatever
    • password
    • blessing
    • snoopy
    • 1q2w3e4r
    • cookie
    • chelsea
    • pokemon
    • hahaha
    • aaaaaa
    • hardcore
    • shadow
    • welcome
    • mustang
    • bailey
    • blahblah
    • matrix
    • jessica
    • stella
    • benjamin
    • testing
    • secret
    • trinity
    • richard
    • peace
    • shalom
    • monkey
    • iloveyou
    • thomas
    • blink182
    • jasmine
    • purple
    • angels
    • grace
    • hello
    • blessed
    • heaven
    • hunter
    • pepper
    • john316
    • buster
    • andrew
    • faith
    • ginger
    • hockey
    • hello1
    • angel1
    • superman
    • enter
    • daniel
    • forever
    • nothing
    • dakota
    • kitten
    • banana
    • gates
    • flower
    • taylor
    • lovely
    • hannah
    • princess
    • compaq
    • jennifer
    • myspace1
    • smokey
    • matthew
    • harley
    • rotimi
    • fuckyou
    • soccer1
    • single
    • joshua
    • green
    • 123qwe
    • starwars
    • silver
    • austin
    • michael
    • amanda
    • charlie
    • bandit
    • chris
    • happy
    • maggie
    • maverick
    • onlinespirit
    • george
    • friends
    • dallas
    • adidas
    • 1q2w3e
    • orange
    • testtest
    • asshole
    • apple
    • biteme
    • william
    • mickey
    • asdfgh
    • wisdom
    • batman

マルウェアは、ルートキット機能を備えていません。

マルウェアは、脆弱性を利用した感染活動を行いません。

  対応方法

対応検索エンジン: 9.800
初回 VSAPI パターンバージョン 12.300.02
初回 VSAPI パターンリリース日 2016年1月27日
VSAPI OPR パターンバージョン 12.301.00
VSAPI OPR パターンリリース日 2016年1月28日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 3

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_CURRENT_USER\Software\WinRAR
    • HWID = "{hex values}"

手順 4

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。  
  • %User Temp%\{random numbers}.bat

手順 5

「TSPY_FAREIT.YYSRU」 を作成またはダウンロードする不正なファイルを削除します。(註:以下のマルウェアもしくはアドウェア等がすでに削除されている場合は、本手順は行う必要はありません。)

    • W2KM_FAREIT.YYSKE

手順 6

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TSPY_FAREIT.YYSRU」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください