Trend Micro Security

TSPY_BANKER.WAV

2013年11月25日
 更新者 : Alvin Bacani
 プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: スパイウェア
  • 破壊活動の有無: なし
  • 暗号化: はい
  • 感染報告の有無: はい

  概要

感染経路 インターネットからのダウンロード

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。 スパイウェアは、リモートサイトから他の不正プログラムにダウンロードされ、コンピュータに侵入します。

スパイウェアは、自身のSMTPエンジンを用いて特定のメールアドレスに収集した情報を送信します。

  詳細

ファイルサイズ 2,276,352 bytes
タイプ EXE
メモリ常駐 はい
発見日 2013年10月14日
ペイロード URLまたはIPアドレスに接続, 情報収集, ファイルのダウンロード

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェアは、リモートサイトから以下の不正プログラムによりダウンロードされ、コンピュータに侵入します。

  • TROJ_BANLOAD.KMZ

インストール

スパイウェアは、以下のコンポーネントファイルを作成します。

  • %SystemRoot%\DVD MakerShow\Sony\Enterprise\Modal\OUT\connect.cpl - also detected as TSPY_BANKER.WAV
  • %SystemRoot%\DVD MakerShow\Sony\Enterprise\Modal\OUT\connect.my - encrypted dll

スパイウェアは、以下のフォルダを作成します。

  • %SystemRoot%\DVD MakerShow\Sony\Enterprise\Modal\OUT
  • %SystemRoot%\Intel Core\Extreme\Graphics\Sample\Music\Basebrd\Bloqs
  • %SystemRoot%\Intel Core\Extreme\Graphics\Sample\Music\Basebrd\ShellBrd

自動実行方法

スパイウェアは、作成されたコンポーネントがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
hkcmds = "%SystemRoot%\Intel Core\Extreme\Graphics\Sample\Music\Basebrd\ShellBrd\hkcmds.exe"

他のシステム変更

スパイウェアは、以下のフォルダを削除します。

  • %SystemRoot%Arquivos de programas (x64)\AVAST Software
  • %SystemRoot%Arquivos de programas (x64)\AVG
  • %SystemRoot%Arquivos de programas (x64)\AVG Secure Search
  • %SystemRoot%Arquivos de programas (x86)\AVAST Software
  • %SystemRoot%Arquivos de programas (x86)\AVG
  • %SystemRoot%Arquivos de programas (x86)\AVG Secure Search
  • %SystemRoot%Arquivos de programas\AVAST Software
  • %SystemRoot%Arquivos de programas\AVG
  • %SystemRoot%Arquivos de programas\AVG Secure Search
  • %SystemRoot%Arquivos de programas\Ad-Aware Antivirus
  • %SystemRoot%Arquivos de programas\Ad-Aware Antivirus
  • %SystemRoot%Arquivos de programas\Ask.com
  • %SystemRoot%Arquivos de programas\Avira
  • %SystemRoot%Arquivos de programas\ClamWin
  • %SystemRoot%Arquivos de programas\ESET
  • %SystemRoot%Arquivos de programas\Google\Google Toolbar
  • %SystemRoot%Arquivos de programas\Kaspersky Lab
  • %SystemRoot%Arquivos de programas\McAfee
  • %SystemRoot%Arquivos de programas\Microsoft Security Client
  • %SystemRoot%Arquivos de programas\Norton AntiVirus
  • %SystemRoot%Arquivos de programas\NortonInstaller
  • %SystemRoot%Arquivos de programas\Panda Security
  • %SystemRoot%Arquivos de programas\Trend Micro
  • %SystemRoot%Arquivos de programas\adawaretb
  • %SystemRoot%Documents and Settings\All Users\.clamwin
  • %SystemRoot%Documents and Settings\All Users\Dados de aplicativos\AVAST Software
  • %SystemRoot%Documents and Settings\All Users\Dados de aplicativos\AVG2013
  • %SystemRoot%Documents and Settings\All Users\Dados de aplicativos\Ad-Aware Antivirus
  • %SystemRoot%Documents and Settings\All Users\Dados de aplicativos\Ad-Aware Browsing Protection
  • %SystemRoot%Documents and Settings\All Users\Dados de aplicativos\Avira
  • %SystemRoot%Documents and Settings\All Users\Dados de aplicativos\ESET
  • %SystemRoot%Documents and Settings\All Users\Dados de aplicativos\Kaspersky Lab
  • %SystemRoot%Documents and Settings\All Users\Dados de aplicativos\MFAData
  • %SystemRoot%Documents and Settings\All Users\Dados de aplicativos\McAfee
  • %SystemRoot%Documents and Settings\All Users\Dados de aplicativos\Norton
  • %SystemRoot%Documents and Settings\All Users\Dados de aplicativos\NortonInstaller
  • %SystemRoot%Documents and Settings\All Users\Dados de aplicativos\Panda Security
  • %SystemRoot%Documents and Settings\All Users\Dados de aplicativos\Trend Micro
  • %SystemRoot%Documents and Settings\All Users\Dados de aplicativos\Windows Genuine Advantage
  • %SystemRoot%Documents and Settings\All Users\Dados de aplicativos\adawaretb
  • %SystemRoot%Program Files\Ad-Aware Antivirus
  • %SystemRoot%Program Files\Ask.com
  • %SystemRoot%Program Files\Avira
  • %SystemRoot%Program Files\ClamWin
  • %SystemRoot%Program Files\ESET
  • %SystemRoot%Program Files\Google\Google Toolbar
  • %SystemRoot%Program Files\Kaspersky Lab
  • %SystemRoot%Program Files\McAfee
  • %SystemRoot%Program Files\Microsoft Security Client
  • %SystemRoot%Program Files\Norton AntiVirus
  • %SystemRoot%Program Files\NortonInstaller
  • %SystemRoot%Program Files\Panda Security
  • %SystemRoot%Program Files\Trend Micro
  • %SystemRoot%Program Files\adawaretb
  • %SystemRoot%ProgramData\.clamwin
  • %SystemRoot%ProgramData\AVAST Software
  • %SystemRoot%ProgramData\AVG Secure Search
  • %SystemRoot%ProgramData\AVG2013
  • %SystemRoot%ProgramData\Ad-Aware Antivirus
  • %SystemRoot%ProgramData\Ad-Aware Browsing Protection
  • %SystemRoot%ProgramData\Avira
  • %SystemRoot%ProgramData\ESET
  • %SystemRoot%ProgramData\Kaspersky Lab
  • %SystemRoot%ProgramData\MFAData
  • %SystemRoot%ProgramData\McAfee
  • %SystemRoot%ProgramData\Norton
  • %SystemRoot%ProgramData\NortonInstaller
  • %SystemRoot%ProgramData\Panda Security
  • %SystemRoot%ProgramData\Trend Micro
  • %SystemRoot%ProgramData\Windows Genuine Advantage
  • %SystemRoot%ProgramData\adawaretb

スパイウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\full

ダウンロード活動

スパイウェアは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。

  • http://www.{BLOCKED}urquerquer.net/mdl_sst/hkcmds.my

スパイウェアは、以下のファイル名でダウンロードしたファイルを保存します。

  • %SystemRoot%\Intel Core\Extreme\Graphics\Sample\Music\Basebrd\ShellBrd\hkcmds.my

情報収集

スパイウェアは、以下のファイル内に収集した情報を保存します。

  • %SystemRoot%\Log_OUT.txt

スパイウェアは、自身のSMTPエンジンを用いて特定のメールアドレスに収集した情報を送信します。

  対応方法

対応検索エンジン: 9.700
初回 VSAPI パターンバージョン 10.342.07
初回 VSAPI パターンリリース日 2013年10月14日
VSAPI OPR パターンバージョン 10.343.00
VSAPI OPR パターンリリース日 2013年10月14日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 3

このレジストリキーを削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_CURRENT_USER
    • full

手順 4

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • hkcmds = "%SystemRoot%\Intel Core\Extreme\Graphics\Sample\Music\Basebrd\ShellBrd\hkcmds.exe"

手順 5

以下のフォルダを検索し削除します。

[ 詳細 ]
フォルダが隠しフォルダ属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。  
  • %SystemRoot%\DVD MakerShow\Sony\Enterprise\Modal\OUT
  • %SystemRoot%\Intel Core\Extreme\Graphics\Sample\Music\Basebrd\Bloqs
  • %SystemRoot%\Intel Core\Extreme\Graphics\Sample\Music\Basebrd\ShellBrd

手順 6

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TSPY_BANKER.WAV」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 7

以下のファイルをバックアップを用いて修復します。なお、マイクロソフト製品に関連したファイルのみ修復されます。このマルウェア/グレイウェア/スパイウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。


ご利用はいかがでしたか? アンケートにご協力ください