TROJ_THINSTAL.GM

2010年10月27日

解析者:

プラットフォーム:

Windows 98, ME, NT, 2000, XP, Server 2003

危険度:

ダメージ度:

感染力:

感染確認数:

マルウェアタイプ: トロイの木馬型
破壊活動の有無: なし
暗号化:
感染報告の有無: はい

概要

マルウェアは、他の不正プログラムに作成され、コンピュータに侵入します。マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

マルウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。

詳細

ファイルサイズ 552412 bytes

メモリ常駐はい

発見日 2009年12月17日

侵入方法

マルウェアは、他の不正プログラムに作成され、コンピュータに侵入します。

マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

情報漏洩

ファイルが実行されると、以下のウィンドウが表示されます。

http://www.{BLOCKED}icro.com/vinfo/images/cet1.gif

ユーザが、「続行」ボタンをクリックすると、新しいウィンドウが表示されユーザ名およびパスワードを要求します。

ユーザが、「続行」ボタンをクリックすると、マルウェアは、カード上に表示される情報を要求します。

マルウェアは、以下の銀行もしくは金融機関で利用される個人情報を収集します。

Credito Cetelem

情報収集

マルウェアは、SMTPを用いて自身が収集した情報を以下のEメールアドレスに送信します。

cetelinorecebe@isbt.{BLOCKED}m.br
cetelinosmtp@isbt.{BLOCKED}m.br

その他

解析の結果、マルウェアによるバックドア活動は確認されませんでした。

ハッシュ値情報

マルウェアは、以下のSHA1ハッシュ値を含んでいます

915bbe9458a212528893d55bdb0900e385ec8fde

マルウェアは、以下のMD5ハッシュ値を含んでいます。

4d0ba7959ccb5615d4a735ea1aeea876

対応方法

VSAPI OPR パターンバージョン 5.997.00

VSAPI OPR パターンリリース日 2009年4月29日

手順 1

Windows ME および XPユーザは、パソコンから不正プログラムもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TROJ_THINSTAL.GM」と検出したファイルはすべて削除してください。註=検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。ただし、念のため、隔離されたファイルを削除してください。詳しくは、こちらをご確認下さい。

ご利用はいかがでしたか？　アンケートにご協力ください