• Email
• Facebook
• Twitter
• Google+
• Linkedin

TROJ_QBOT.DA

---

• マルウェアタイプ: トロイの木馬型
• 破壊活動の有無: なし
• 暗号化:  
• 感染報告の有無: はい

---

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、自身のコピーがWindows起動時に自動実行されるようレジストリ値を追加します。

マルウェアは、特定の文字列を含むセキュリティ対策関連Webサイトが閲覧できないようにします。 マルウェアは、実行後、自身を削除します。

---

  詳細

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のフォルダを追加します。

• %User Profile%\Application Data\Microsoft\{Random}

(註：%User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞"、Windows NTでは、"C:\WINNT\Profiles\＜ユーザ名＞"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\＜ユーザ名＞" です。)

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %User Profile%\Application Data\Microsoft\{Random}\{Random}.exe

(註：%User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞"、Windows NTでは、"C:\WINNT\Profiles\＜ユーザ名＞"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\＜ユーザ名＞" です。)

マルウェアは、以下の不正なファイルまたはコンポーネントを追加します。

• %User Profile%\APPLICATION DATA\MICROSOFT\{Random}\{Random}.dll

(註：%User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞"、Windows NTでは、"C:\WINNT\Profiles\＜ユーザ名＞"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\＜ユーザ名＞" です。)

マルウェアは、以下のプロセスに自身を組み込み、システムのプロセスに常駐します。

• explorer.exe
• iexplore.exe

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{Random} = "%User Profile%\Application Data\Microsoft\{Random}\{Random}.exe"

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
ctfmon.exe = "%User Profile%\Application Data\Microsoft\{Random}\{Random}.exe" /c %System%\ctfmon.exe"

(註：変更前の上記レジストリ値は、「"%System%\ctfmon.exe"」となります。)

マルウェアは、＜User Startup＞フォルダ内に、自身のコピーに誘導する以下のショートカットを作成します。これにより、Windows起動時に自身のコピーが自動実行されます。

• %User Startup%\{Random}.lnk

(註： %User Startup%フォルダは、通常、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Start Menu\Programs\Startup" 、Windows NTの場合、"C:\WINNT\Profiles\＜ユーザ名＞\Start Menu\Programs\Startup"、Windows 2000、XP、Server 2003の場合、"C:\Documents and Settings\＜ユーザ名＞\Start Menu\Programs\Startup " です。)

プロセスの終了

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• msdev.exe
• dbgview.exe
• mirc.exe
• ollydbg.exe
• ctfmon.exe

情報漏えい

マルウェアは、感染したコンピュータ上でInternet Explorer（IE）の使用状況を監視します。マルウェアは、特にIEのアドレスバーまたはタイトルバー情報を監視しますが、ユーザが銀行関連Webサイトを閲覧しそのサイトのアドレスバーまたはタイトルバーに以下の文字列が含まれていた場合、正規Webサイトを装った偽のログインページを作成します。

• .webcashmgmt.com;
• /achupload
• /achupload;
• /cashman/;
• /cashplus/;
• /cmserver/
• /cmserver/;
• /corpach/
• /corpach/;
• /payments/ach
• /payments/ach;
• /stbcorp/
• /stbcorp/;
• /wcmpr/
• /wcmpr/;
• /wcmpw/
• /wcmpw/;
• /wcmtr/
• /wcmtr/;
• /wires/;
• /wiret
• /wiret;
• abnamro.nl;
• access.jpmorgan.com;
• accessonline.abnamro.com;
• achbatchlisting
• achbatchlisting;
• business-eb.ibanking-services.com;
• businessaccess.citibank.citigroup.com;
• businessbankingcenter.synovus.com;
• businessinternetbanking.synovus.com;
• businessonline.huntington.com
• businessonline.huntington.com;
• businessonline.tdbank.com
• businessonline.tdbank.com;
• cashproonline.bankofamerica.com;
• cbs.firstcitizensonline.com
• cbs.firstcitizensonline.com;
• chsec.wellsfargo.com
• chsec.wellsfargo.com;
• commercial.wachovia.com
• commercial.wachovia.com;
• commercial2.wachovia.com
• commercial2.wachovia.com;
• commercial3.wachovia.com
• commercial3.wachovia.com;
• commercial4.wachovia.com
• commercial4.wachovia.com;
• corporatebanking;
• cpw-achweb.bankofamerica.com;
• directline4biz.com;
• directpay.wellsfargo.com;
• e-facts.org;
• e-moneyger.com;
• each.bremer.com;
• ebanking-services.com;
• essaccess.citibank.citigroup.com
• express.53.com;
• firstmeritib.com/defaultcorp.aspx;
• firstmeritib.com;
• goldleafach.com
• goldleafach.com;
• iachwellsprod.wellsfargo.com
• iachwellsprod.wellsfargo.com;
• ibc.klikbca.com;
• iris.sovereignbank.com;
• itreasury.regions.com;
• itreasurypr.regions.com;
• ktt.key.com;
• moneymanagergps.com;
• netconnect.bokf.com;
• ocm.suntrust.com;
• onlineserv/CM;
• otm.suntrust.com;
• paylinks.cunet.org;
• premierview.membersunited.org;
• providentnjolb.com;
• scotiaconnect.scotiabank.com
• scotiaconnect.scotiabank.com;
• securentrycorp.amegybank.com;
• singlepoint.usbank.com;
• svbconnect.com;
• tcfexpressbusiness.com
• tcfexpressbusiness.com
• tmconnectweb;
• treas-mgt.frostbank.com;
• treasury.pncbank.com;
• trz.tranzact.org
• trz.tranzact.org;
• tssportal.jpmorgan.com;
• ub-businessonline.blilk.com
• ub-businessonline.blilk.com;
• wc.wachovia.com
• wc.wachovia.com;
• wcp.wachovia.com
• wcp.wachovia.com;
• web-cashplus.com;
• webexpress.tdbank.com
• webexpress.tdbank.com;
• wellsoffice.wellsfargo.com
• wellsoffice.wellsfargo.com;

情報収集

マルウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

• {BLOCKED}ysgtap.co.in
• {BLOCKED}istr.in
• {BLOCKED}vtkn.in.ua
• {BLOCKED}son.in
• {BLOCKED}uytdk.info
• {BLOCKED}mentis.org

その他

マルウェアは、以下の文字列を含むセキュリティ対策関連Webサイトが閲覧できないようにします。

• explabs.
• sanasecurity
• phishtank.com
• hautesecure.com
• truste.com
• clearclouddns
• webroot.
• agnitum
• ahnlab
• arcabit
• avast
• avg
• avira
• avp
• bitdefender
• bit9
• castlecops
• centralcommand
• clamav
• comodo
• computerassociates
• cpsecure
• defender
• drweb
• emsisoft
• esafe
• .eset
• etrust
• ewido
• fortinet
• f-prot
• f-secure
• gdata
• grisoft
• hacksoft
• hauri
• ikarus
• jotti
• k7computing
• kaspersky
• malware
• mcafee
• networkassociates
• nod32
• norman
• norton
• panda
• pctools
• prevx
• quickheal
• rising
• rootkit
• securecomputing
• sophos
• spamhaus
• spyware
• sunbelt
• symantec
• threatexpert
• trendmicro
• virus
• wilderssecurity
• windowsupdate
• update.microsoft.
• download.microsoft.
• download.microsoft.

マルウェアは、実行後、自身を削除します。

---

  対応方法

ご利用はいかがでしたか？　アンケートにご協力ください