TSPY_BANCOS.BVB
TrojanSpy:Win32/Bancos.AEV (Microsoft)
Windows 2000, Windows XP, Windows Server 2003
- マルウェアタイプ: スパイウェア
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
スパイウェアは、以下のリモートサイトからダウンロードされ、コンピュータに侵入します。
- http://{BLOCKED}2012.xpg.com.br/boa.pdf
インストール
スパイウェアは、以下のフォルダを作成します。
- %System Root%\Documents and Settings\All Users\Application Data\TEMP
(註:%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)
他のシステム変更
スパイウェアは、以下のレジストリキーを追加します。
HKEY_CLASSES_ROOT\CLSID\{83447388-F457-4723-9D09-6F486F161E1A}
HKEY_CLASSES_ROOT\CLSID\{8F577DD6-A889-B773-13C5-1FBA13C51FBA}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{8F577DD6-A889-B773-13C5-1FBA13C51FBA}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{83447388-F457-4723-9D09-6F486F161E1A}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
EXT
スパイウェアは、インストールの過程で、以下のレジストリ値を追加します。
HKEY_CLASSES_ROOT\CLSID\{83447388-F457-4723-9D09-6F486F161E1A}\
InprocServer32
Default = "{malware path and filename}"
HKEY_CLASSES_ROOT\CLSID\{8F577DD6-A889-B773-13C5-1FBA13C51FBA}\
InprocServer32
Default = "%System%\dxtmsft.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{83447388-F457-4723-9D09-6F486F161E1A}\InprocServer32
Default = "{malware path and filename}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
EXT\CLSID
{83447388-F457-4723-9D09-6F486F161E1A} = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Main\FeatureControl\
FEATURE_ENABLE_SCRIPT_PASTE_URLACTION_IF_PROMPT
iexplore.exe = "dword:00000001"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Browser Helper Objects\{83447388-F457-4723-9D09-6F486F161E1A}
NoExplorer = "dword:00000001"