TSPY_ODDJOB.SMA

トレンドマイクロは、このマルウェアをNoteworthy（要注意）に分類しました。その理由として、このマルウェアは、ユーザがターゲットとするWebサイトにログインしている間、ユーザセッションを乗っ取る機能を備えているからです。マルウェアは、収集した情報を即時にサーバへ送信します。これによりユーザがログアウトしたとしても、攻撃者はトランザクションを行うことが可能となります。またこの手口により、攻撃者は、ネットバンキングの認証方法を回避することが可能となります。

環境設定ファイルの内容は変化します。

マルウェアは、特定のプロセスに組み込まれます。

いずれかのインターネットブラウザが実行されると、特定のAPIをフックし、ユーザのインターネット活動を監視したりHTTPトラフィックを遮断したりします。

スパイウェアは、他のマルウェアに作成され、コンピュータに侵入します。

侵入方法

スパイウェアは、他のマルウェアに作成され、コンピュータに侵入します。

情報漏えい

スパイウェアは、以下のWebサイトにアクセスし、自身の環境設定ファイルをダウンロードします。

• http://{BLOCKED}ns.ir/desire/startup.php?id={value based on volume serial number}&ver={version}&btype=0

スパイウェアは、Webサイトにアクセスしてファイルをダウンロードします。ダウンロードされたファイルには、自身のコピーの更新版ファイルのダウンロード元および収集した情報の送信先が記載されています。なお、上記でダウンロードされたファイルは、環境設定ファイルで、このスパイウェアが情報収集の際に対象とする以下の金融関連Webサイトのリストを含んでいます。

• *available*balance*
• *balance*available*
• *shared/generate/generateimage.aspx*
• *security*challenge*
• *secretword*
• *secret*word*
• *your*identity*
• *challenge*question*
• *public*computer*
• *obdesktopmultifactor.aspx*
• *securityauthentication.aspx*
• *enter*your*login*pin*
• *domestic*wire*
• *wire*transfer*
• *cash*management*
• *ebc1961.asp*
• *checking*
• *saving*
• *citizensbankmoneymanagergps.com*
• *wcmpr*
• *microsoft.com*
• *viewmorepics.myspace.com*
• *comment.myspace.com*
• *friends.myspace.com*
• *profileedit.myspace.com*
• *bulletins.myspace.com*
• *elosnok.com*
• *messaging.myspace.com*
• *musicsearch.myspace.com*
• *home.myspace.com*
• *topartists.myspace.com*
• *webbuying.net*
• *collect.myspace.com*
• *comments.myspace.com*
• *fe.bidz.com*
• *browseusers.myspace.com*
• *abcsearch.com*
• *license.hotbar.com*
• *estsc.msn.com*
• *mediaservices.myspace.com*
• *searchservice.myspace.com*
• *trafficexplorer.com*
• *kenexa.com*
• *wfrecruiter.com*
• *pcrecruiter.net*
• *recruiter.monster.com*
• *recruiter.hotjobs.yahoo.com*
• *broward.org*
• -*musicservices.myspacecdn.com*
• *massivebacklink.com*
• *theincometaxschool.net*
• *surveynetwork.com*
• http://**.js*.css*.jpg*.gif*.png
• *myspace.com*
• *thehorizonoutlet.com*
• *t-mobile.com*
• *earthlink.net*
• *verizonwireless.com*
• *symantecstore.com*
• *amazon.com*
• *lowermybills.com*
• *secure-cash.net*
• *wireless.att.com*
• *sprintpcs.com*
• *onlinecreditcenter6.com*
• *ameriprise.com*
• *vzw.com*
• *yahoo.com*
• *adultfriendfinder.com*
• *taxactonline.com*
• *intuit.com*
• *facebook.com*
• *ebay.com*
• *hotmatch.com*
• *comcast.net*
• *monash.edu.au*
• *shaw.ca*
• *mail.google.com*
• *ebc_ebc1961*signout*
• *wachovia.com*signoff*
• *web-cashplus.com*logout*
• *usbank*logout.do*
• *citibank.citigroup.com/cbusol/quit.do*
• *53.com/webaccess/cgi-bin/logoutconfirm.cgi*
• *53.com/express/logoff.action*
• *invalidate-session.jsp*
• *hsbcnet.com/uims/portal/logoff*
• *hsbc*logoff**/logon/cpexit*
• *passmark/signin.do*
• *sk=*sce=*
• *pm_fpua*mozilla*
• *.53.com*
• *.comerica.com*
• *hsbc*launching*
• *tmcb.calbanktrust.com*dashboardview*
• *https://sma.alaskausa.org*get-board-image**multifactor/lib/rendertext.aspx*
• *bharosa/getimage.aspx*
• *bharosa_keypad*
• *available*balance*

情報収集

スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

• http://{BLOCKED}ns.ir/desire/data.php?id={value based on volume serial number}&ver={version}&btype=0

その他

このコードを分析した結果、マルウェアは、以下の機能を備えています。

マルウェアは、以下のプロセスに組み込まれます。

• SVCHOST.EXE
• Mozilla Firefox

いずれかのインターネットブラウザが実行されると、特定のAPIをフックし、ユーザのインターネット活動を監視したりHTTPトラフィックを遮断したりします。

ユーザが新しいWebサイトを訪れるたびに、マルウェアは、自身の環境設定ファイルの新しいコピーを取得します。マルウェアは、自身の環境設定ファイルのコピーをディスク上に保存せず、メモリのみに保存します。

情報公開日現在、暗号化に上記の文字列を含む場合、サーバは、暗号化された環境設定ファイルを使用して応答します。

ユーザが、上記の文字列を含むいずれかのWebサイトを訪れると、フックされたAPIがHTTPトラフィックを遮断し、情報を記録します。またマルウェアは、フックされたAPIを利用して、HTTP GET／POSTリクエストを記録し、クッキーやセッションIDに関する情報を含んだ全データを取得します。

マルウェアが、即時にサーバへ収集した情報を送信するため、ユーザがログインしている間に、ユーザのセッションを乗っ取ります。これによりユーザがログアウトしたとしても、攻撃者はトランザクションを行うことが可能となります。またこの手口により、攻撃者は、ネットバンキングの認証方法を回避することが可能となります。

環境設定ファイルの内容は変化します。