• Email
• Facebook
• Twitter
• Google+
• Linkedin

TrojanSpy.Win32.QBOT.CFH

---

• マルウェアタイプ: トロイの木馬型
• 破壊活動の有無: なし
• 暗号化: はい
• 感染報告の有無: はい

---

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。 マルウェアは、仮想環境内で実行されると、自身の活動を終了します。 マルウェアは、実行後、自身を削除します。

---

  詳細

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

• %Application Data%\Microsoft\{random folder name}\{random file name}.exe

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

マルウェアは、以下のプロセスを追加します。

• {malware path and file name} /c
• cmd.exe /c ping.exe -n 6 127.0.0.1 & type %system%\calc.exe {malware path and file name}
• %System%\PING.EXE ping.exe -n 6 127.0.0.1

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

マルウェアは、以下のフォルダを作成します。

• %Application Data%\Microsoft\{random folder name}

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random name} = %Application Data%\Microsoft\{random folder name}\{random file name}.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
{random name} = %Application Data%\Microsoft\{random folder name}\{random file name}.exe

情報漏えい

マルウェアは、感染したコンピュータ上でInternet Explorer（IE）の使用状況を監視します。マルウェアは、特にIEのアドレスバーまたはタイトルバー情報を監視しますが、ユーザが銀行関連Webサイトを閲覧しそのサイトのアドレスバーまたはタイトルバーに以下の文字列が含まれていた場合、正規Webサイトを装った偽のログインページを作成します。

• .hsbcnet.com
• .ntrs.com
• .web-access.com
• .webcashmgmt.com
• /achupload
• /cashman/
• /cashplus/
• /clkccm/
• /cmserver/
• /corpach/
• /ibws/
• /payments/ach
• /payments/ach
• /stbcorp/
• /wcmpr/
• /wcmpw/
• /wcmtr/
• /wires/
• /wiret
• access.jpmorgan.com
• accessmoneymanager.com
• accessonline.abnamro.com
• achbatchlisting
• bankeft.com
• blilk.com
• businessaccess.citibank.citigroup.com
• businessbankingcenter.synovus.com
• business-eb.ibanking-services.com
• business-eb.ibanking-services.com
• businessinternetbanking.synovus.com
• businessonline.huntington.com
• businessonline.tdbank.com
• cashmanageronline.bbt.com
• cashproonline.bankofamerica.com
• cashproonline.bankofamerica.com
• cbs.firstcitizensonline.com
• chsec.wellsfargo.com
• cmol.bbt.com
• cmoltp.bbt.com
• commerceconnections.commercebank.com
• commercial.bnc.ca
• commercial.wachovia.com
• commercial2.wachovia.com
• commercial3.wachovia.com
• commercial4.wachovia.com
• corporatebanking
• cpw-achweb.bankofamerica.com
• ctm.53.com
• directline4biz.com
• directpay.wellsfargo.com
• each.bremer.com
• ebanking-services.com
• ecash.arvest.com
• e-facts.org
• e-moneyger.com
• express.53.com
• firstmeritib.com
• firstmeritib.com/defaultcorp.aspx
• goldleafach.com
• iachwellsprod.wellsfargo.com
• ibc.klikbca.com
• intellix.capitalonebank.com
• iris.sovereignbank.com
• itreasury.regions.com
• itreasurypr.regions.com
• jsp/mainWeb.jsp
• ktt.key.com
• moneymanagergps.com
• netconnect.bokf.com
• nj00-wcm
• ocm.suntrust.com
• olb-ebanking.com
• onlineserv/CM
• otm.suntrust.com
• paylinks.cunet.org
• paylinks.cunet.org
• premierview.membersunited.org
• premierview.membersunited.org
• providentnjolb.com
• schwabinstitutional.com
• scotiaconnect.scotiabank.com
• securentrycorp.amegybank.com
• securentrycorp.zionsbank.com
• singlepoint.usbank.com
• svbconnect.com
• tcfexpressbusiness.com
• tdcommercialbanking.com
• tdetreasury.tdbank.com
• tmcb.amegybank.com
• tmcb.zionsbank.com
• tmconnectweb
• treas-mgt.frostbank.com
• treasury.pncbank.com
• trz.tranzact.org
• trz.tranzact.org
• tssportal.jpmorgan.com
• wc.wachovia.com
• wcp.wachovia.com
• web-cashplus.com
• webexpress.tdbank.com
• webinfoplus.mandtbank.com
• wellsoffice.wellsfargo.com

偽のログインページは、正規のログインページに重なり、Internet Explorer（IE）ウィンドウの一部であるように装います。偽のログインページは、正規のWebサイトにおいて決まった位置に表示されます。これにより、ユーザはアカウントに関連する個人情報を入力してしまう可能性があります。また、誤って偽ログインページにユーザ名やパスワードを入力した場合、キー入力操作情報が記録されます。

マルウェアは、以下の情報を収集します。

• Browser cookies
• Flash cookies
• FTP, POP3, IMAP, SMTP, HTTPMail, NNTP Passwords
• GeoIP locations
• Internet sessions
• Login credentials for certain websites
• Network information
• Outlook login credentials
• Private keys from system certificates
• System information
• dnsname
• domain
• exe
• ext_ip
• hostname
• install_time
• is_admin
• os
• qbot_version
• user

その他

マルウェアは、以下のWebサイトにアクセスしてインターネット接続を確認します。

• baidu.com
• cnn.com
• facebook.com
• linkedin.com
• mail.ru
• microsoft.com
• qq.com
• wikipedia.org
• yahoo.com

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• b{BLOCKED}.ci

マルウェアは、仮想環境内で実行されると、自身の活動を終了します。

マルウェアは、実行後、自身を削除します。

マルウェアは、以下のいずれかのファイルが存在している場合、自身を終了します。

• ChromeUpdate.exe
• ctfmon.exe
• dbgview.exe
• Microsoft.Notes.exe
• msdev.exe
• nav.exe
• ollydbg.exe
• Proxifier.exe
• ShellExperienceHost.exe
• windbg.exe

マルウェアは、以下の仮想環境やサンドボックスに関連したモジュールが感染コンピュータ内に存在していないかを確認します。

• aswhookx.dll
• avcuf32.dll
• CWSandbox
• dbghelp.dll
• fshook32.dll
• metsvc-server.exe
• QEMU
• RedHat
• SbieDll.dll
• SCSI
• sf2.dll (Avst)
• SVGA
• VBoxGuest
• VBoxService.exe
• VBoxTray.exe
• VirtIO
• Virtual HD
• VirtualBox
• VirtualProtect
• vm3dmp
• vmacthlp.exe
• VMaudio
• vmdebug
• vmrawdsk
• vmtoolsd.exe
• VMware
• vmx_svga
• vmxnet
• windump.exe

マルウェアは、以下のセキュリティ対策製品が存在しているかを確認します。

• AvastSvc.exe
• avgcsrva.exe
• avgcsrvx.exe
• avgsvcx.exe
• avp.exe
• bdagent.exe
• ByteFence.exe
• ccSvcHst.exe
• cmdagent.exe
• coreServiceShell.exe
• egui.exe
• ekrn.exe
• fhoster32.exe
• fmon.exe
• isesrv.exe
• MBAMService.exe
• mcshield.exe
• MsMpEng.exe
• NTRTScan.exe
• PccNTMon.exe
• SAVAdminService.exe
• SavService.exe
• vkise.exe
• vsserv.exe
• vsservppl.exe
• WRSA.exe

---

  対応方法

ご利用はいかがでしたか？　アンケートにご協力ください