TSPY_PASSVIEW.BM
a variant of Win32/PSWTool.MailPassView.E application (NOD32)
Windows
マルウェアタイプ:
スパイウェア
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
スパイウェアは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。 スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
スパイウェアは、ワーム活動の機能を備えていません。
スパイウェアは、バックドア活動の機能を備えていません。
スパイウェアは、ダウンロードする機能を備えていません。
詳細
侵入方法
スパイウェアは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
感染活動
スパイウェアは、ワーム活動の機能を備えていません。
バックドア活動
スパイウェアは、バックドア活動の機能を備えていません。
ダウンロード活動
スパイウェアは、ダウンロードする機能を備えていません。
情報漏えい
スパイウェアは、以下のパラメータを受け取ります。
- /stext → saves gathered information with text file format
- /shtml → saves gathered information with HTML file format with horizontal view
- /sverhtml → saves gathered information with HTML file format with vertical view
- /sxml → saves gathered information with XML file format
- /stab → saves gathered information with tab delimited text file format
- /scomma → saves gathered information with comma delimited text file format
- /stabular → saves gathered information with tabular text file format
- /skeepass → saves gathered information with csv file format
- /savelangfile → save its configuration file as {malware path and filename}_lng.ini
- /deleteregkey → deletes registry key
- /noloadsettings → no settings
- /nosort → not sorted
- /sort → sort via specified data
スパイウェアは、以下の情報を収集します。
- Name
- Application
- Server
- Server Port
- Secured
- Type
- User
- Password
- Profile
- Password Strength
- SMTP Server
- SMTP Server Port
スパイウェアは、保存されている以下のEメール認証情報を収集します。
- Outlook Express
- IncrediMail
- Eudora
- Group Mail Free
- MS Outlook
- MS Outlook 2002/2003/2007/2010
- Gmail
- Hotmail/MSN
- Yahoo! Mail
- Netscape Mail
- Thunderbird
- Google Desktop
- Windows Mail
- Windows Live Mail
- Outlook 2013
情報収集
スパイウェアは、以下のファイル内に収集した情報を保存します。
- {specified path and filename} → specified path and filename by the user or attacker through parameter
その他
スパイウェアが受け取るパラメータは、以下のとおりです。
- /stext → テキストファイル形式で収集された情報を保存
- /shtml → HTMLファイル形式で収集された情報を保存(情報は横方向に整列)
- /sverhtml → HTMLファイル形式で収集された情報を保存(情報は縦方向に整列)
- /sxml → XMLファイル形式で収集された情報を保存
- /stab → タブ区切りテキストファイル形式で収集された情報を保存
- /scomma → コンマ区切りテキストファイル形式で収集された情報を保存
- /stabular → 表形式テキストファイル形式で収集された情報を保存
- /skeepass → csvファイル形式で収集された情報を保存
- /savelangfile → "{malware path and filename}_lng.ini"として環境設定ファイルを保存
- /deleteregkey → レジストリキーの削除
- /noloadsettings → 設定なし
- /nosort → 分類なし
- /sort → 特定されたデータを介して分類
スパイウェアが収集する情報は、以下のとおりです。
- Name(クライアントソフトで利用される名前)
- Application (クライアントアプリケーションの名前)
- Email(クライアントソフトで登録されたEメールアドレス)
- Server (クライアントソフトで特定されるサーバ名)
- Server Port(クライアントソフトで特定されるサーバのポート)
- Secured(セキュリティで保護されたパスワード認証(SPA)の利用可否)
- Type(利用するプロトコルのタイプ)
- User(ユーザ名)
- Password(クライアントソフトに登録されたパスワード)
- Profile(ユーザのプロフィール)
- Password Strength(パスワード長およびフォーマットの複雑度)
- SMTP Server(クライアントソフトで特定されるSMTPサーバ)
- SMTP Server Port(クライアントソフトで特定されるSMTPサーバポート)
スパイウェアが情報を保存するファイルは、以下のとおりです。
- {specified path and filename} → パスおよびファイル名は、ユーザまたはパラメータを介して攻撃者によって特定される
スパイウェアは、以下のプロトコルで利用される保存された情報を収集します。
- POP3
- IMAP
- HTTP
- SMTP
- NNTP
スパイウェアは、ルートキット機能を備えていません。
スパイウェアは、脆弱性を利用した感染活動を行いません。
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
以下のファイルを検索し削除します。
- {malware path and filename}_lng.ini
手順 4
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TSPY_PASSVIEW.BM」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください