解析者: Kathleen Notario   

 プラットフォーム:

Windows 2000, XP, Server 2003

 危険度:
 感染確認数:
 システムへの影響:
 情報漏えい:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。 マルウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。

  詳細

ファイルサイズ 385,536 bytes
タイプ EXE
メモリ常駐 なし
発見日 2010年8月11日
ペイロード HOSTSファイルの改変, URLまたはIPアドレスに接続, 情報収集

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

HOSTSファイルの改変

マルウェアは、コンピュータのHOSTSファイルを改変します。これにより、ユーザは、以下のWebサイトにアクセスすると、別のWebサイトに誘導されます。

  • caixa.gov.br
  • http://www.real.com.br
  • http://www.caixa.com.br
  • caixa.com.br
  • http://www.banrisul.com.br
  • http://www.cef.com.br
  • santander.com.br
  • real.com.br
  • http://www.santander.com.br
  • http://www.bb.com.br
  • cef.com.br
  • bancoreal.com.br
  • bradesco.com.br
  • http://www.americanexpress.com.br
  • http://www.bancodobrasil.com.br
  • bb.com.br
  • http://www.bancoreal.com.br
  • banrisul.com.br
  • americanexpress.com.br
  • bancodobrasil.com.br
  • http://www.itau.com.br
  • itau.com.br
  • http://www.caixa.gov.br
  • http://www.bradesco.com.br
  • banespa.com.br
  • http://www.banespa.com.br

情報漏えい

マルウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。

マルウェアは、以下の銀行もしくは金融機関で利用される個人情報を収集します。

  • American Express
  • Banco Real
  • Banco do Brasil
  • Banespa
  • Banrisul
  • Bradesco
  • Caixa
  • Itau
  • Santander

その他

このマルウェアのコードから、マルウェアは、以下の機能を備えています。

  • Redirects users to {BLOCKED}.{BLOCKED}.97.162 because of modifications made to the HOSTS file
  • Modifies the HOSTS file in the following locations:
    • %System%\drivers\etc\hosts (On Windows NT, 2000, XP, and Server 2003)
    • %Windows%\host.sam (on Windows 98 and ME)

ハッシュ値情報

マルウェアは、以下のMD5ハッシュ値を含んでいます。

  • 9bfd9e8681280b7594324dd449693b49

マルウェアは、以下のSHA1ハッシュ値を含んでいます

  • 3f3cb2bb65299d53f8bbdea81a94e4aa271be089

  対応方法

対応検索エンジン: 8.900
VSAPI OPR パターンバージョン 7.378.11
VSAPI OPR パターンリリース日 2010年8月12日

手順 1

Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

不正プログラム/グレイウェア/スパイウェアがHOSTSファイルに追加した文字列を削除します。

[ 詳細 ]
    • {BLOCKED}.{BLOCKED}.97.162 caixa.gov.br 
    • {BLOCKED}.{BLOCKED}.97.162 http://www.{BLOCKED}al.com.br 
    • {BLOCKED}.{BLOCKED}.97.162 http://www.{BLOCKED}ixa.com.br  
    • {BLOCKED}.{BLOCKED}.97.162 caixa.com.br
    • {BLOCKED}.{BLOCKED}.97.162 http://www.{BLOCKED}nrisul.com.br 
    • {BLOCKED}.{BLOCKED}.97.162 http://www.{BLOCKED}f.com.br 
    • {BLOCKED}.{BLOCKED}.97.162 santander.com.br
    • {BLOCKED}.{BLOCKED}.97.162 real.com.br  
    • {BLOCKED}.{BLOCKED}.97.162 http://www.{BLOCKED}ntander.com.br 
    • {BLOCKED}.{BLOCKED}.97.162 http://www.{BLOCKED}.com.br
    • {BLOCKED}.{BLOCKED}.97.162 cef.com.br  
    • {BLOCKED}.{BLOCKED}.97.162 bancoreal.com.br  
    • {BLOCKED}.{BLOCKED}.97.162 bradesco.com.br  
    • {BLOCKED}.{BLOCKED}.97.162 http://www.{BLOCKED}ericanexpress.com.br 
    • {BLOCKED}.{BLOCKED}.97.162 http://www.{BLOCKED}ncodobrasil.com.br 
    • {BLOCKED}.{BLOCKED}.97.162 bb.com.br 
    • {BLOCKED}.{BLOCKED}.97.162 http://www.{BLOCKED}ncoreal.com.br 
    • {BLOCKED}.{BLOCKED}.97.162 banrisul.com.br 
    • {BLOCKED}.{BLOCKED}.97.162 americanexpress.com.br
    • {BLOCKED}.{BLOCKED}.97.162 bancodobrasil.com.br
    • {BLOCKED}.{BLOCKED}.97.162 http://www.{BLOCKED}au.com.br  
    • {BLOCKED}.{BLOCKED}.97.162 itau.com.br
    • {BLOCKED}.{BLOCKED}.97.162 http://www.{BLOCKED}ixa.gov.br  
    • {BLOCKED}.{BLOCKED}.97.162 http://www.{BLOCKED}adesco.com.br 
    • {BLOCKED}.{BLOCKED}.97.162 banespa.com.br 
    • {BLOCKED}.{BLOCKED}.97.162 http://www.banespa.com.br 

手順 3

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TSPY_QHOST.VP」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください