• Email
• Facebook
• Twitter
• Google+
• Linkedin

TSPY_FAREIT.ABVV

---

• マルウェアタイプ: スパイウェア
• 破壊活動の有無: なし
• 暗号化: なし
• 感染報告の有無: はい

---

  概要

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェアは、ワーム活動の機能を備えていません。

スパイウェアは、バックドア活動の機能を備えていません。

スパイウェアは、ダウンロードしたファイルを実行します。

---

  詳細

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

感染活動

スパイウェアは、ワーム活動の機能を備えていません。

バックドア活動

スパイウェアは、バックドア活動の機能を備えていません。

ダウンロード活動

スパイウェアは、以下のWebサイトにアクセスし、ファイルをダウンロードします。

• http://{BLOCKED}heband.gr/5Wjm3iV2.exe
• http://{BLOCKED}ogalurunler.com/9BMu2.exe
• http://{BLOCKED}arimurunleri.com/rRq.exe
• http://{BLOCKED}balexchange.com/19J.exe
• http://{BLOCKED}s.org/1vAWoxz3.exe
• http://www.{BLOCKED}38.{BLOCKED}arn.de/4pxp.exe
• http://{BLOCKED}ofttechnologies.com/iDm9vs.exe
• http://{BLOCKED}ution.com.br/jq5.exe
• http://{BLOCKED}inart.be/Ue7cHNm.exe
• http://{BLOCKED}oit.pl/ZBrBpBh2.exe

スパイウェアは、以下のファイル名でダウンロードしたファイルを保存します。

• %User Temp%\{random number}.exe - detected as TSPY_ZBOT.LDG

(註：%User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\＜ユーザー名＞\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\TEMP" です。)

スパイウェアは、ダウンロードしたファイルを実行します。

情報収集

スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

• http://{BLOCKED}r.{BLOCKED}rcatonly.com/forum/viewtopic.php
• http://{BLOCKED}r.{BLOCKED}etspetsitting.com/forum/viewtopic.php

ただし、情報公開日現在、このWebサイトにはアクセスできません。

その他

スパイウェアがダウンロードするファイルは以下のとおりです。

• %User Temp%\＜ランダムな数字＞.exe - 「TSPY_ZBOT.LDG」として検出

スパイウェアは、以下のインストールされたFTPクライアントまたはファイルマネージャのアカウント情報を収集します。

• 32Bit Ftp
• 3D-FTP
• BlazeFtp
• BulletProof FTP
• Cute FTP
• CyberDuck
• Deluxe FTP
• Easy FTP
• Estsoft FTP
• FireFTP
• FTP CONTROL
• FTP Commander
• FTP Explorer
• FTP Navigator
• FTP++
• FTPCON
• FTPGetter
• FTPNow
• FTPRush
• FTPShell
• FTPWare COREFTP
• Far FTP
• FreshFTP
• GlobalSCAPE CuteFTP 6 Home
• GlobalSCAPE CuteFTP 6 Professional
• GlobalSCAPE CuteFTP 7 Home
• GlobalSCAPE CuteFTP 7 Professional
• GlobalSCAPE CuteFTP 8 Home
• GlobalSCAPE CuteFTP 8 Professional
• GoFTP
• NovaFTP
• Ipswitch WS_FTP
• LeapWare LeapFTP
• LeechFTP
• LinasFTP
• MAS-Soft FTP
• NCH Software ClassicFTP
• Nico Mak Computing WinZip FTP
• Robo-FTP 3.7
• SmartFTP
• SoftX.org FTPClient
• Sota FFFTP
• Staff-FTP
• TurboFTP
• WinFTP

スパイウェアは、以下のユーザ名およびパスワードのリストを用い、上述の情報が保存されているパスワード保護された場所にアクセスします。

• 123abc
• 123qwe
• 1q2w3e
• 1q2w3e4r
• aaaaaa
• abc123
• adidas
• admin
• amanda
• andrew
• angel
• angel1
• angels
• anthony
• apple
• asdf
• asdfasdf
• asdfgh
• ashley
• asshole
• austin
• baby
• bailey
• banana
• bandit
• baseball
• batman
• benjamin
• billgates
• biteme
• blabla
• blahblah
• blessed
• blessing
• blink182
• bubbles
• buster
• canada
• cassie
• charlie
• cheese
• chelsea
• chicken
• chris
• christ
• church
• cocacola
• compaq
• computer
• cookie
• cool
• corvette
• creative
• dakota
• dallas
• daniel
• danielle
• david
• destiny
• dexter
• diamond
• digital
• dragon
• eminem
• emmanuel
• enter
• faith
• flower
• foobar
• football
• football1
• forever
• forum
• freedom
• friend
• friends
• fuckoff
• fuckyou
• fuckyou1
• gates
• gateway
• genesis
• george
• gfhjkm
• ghbdtn
• ginger
• god
• google
• grace
• green
• guitar
• hahaha
• hallo
• hannah
• happy
• hardcore
• harley
• heaven
• hello
• hello1
• helpme
• hockey
• hope
• hotdog
• hunter
• ilovegod
• iloveyou
• iloveyou!
• iloveyou1
• iloveyou2
• internet
• james
• jasmine
• jason
• jasper
• jennifer
• jessica
• jesus
• jesus1
• john
• john316
• jordan
• jordan23
• joseph
• joshua
• junior
• justin
• killer
• kitten
• knight
• letmein
• london
• looking
• love
• lovely
• loving
• lucky
• maggie
• master
• matrix
• matthew
• maverick
• maxwell
• merlin
• michael
• michelle
• mickey
• microsoft
• mike
• monkey
• mother
• muffin
• mustang
• mustdie
• mylove
• myspace1
• nathan
• nicole
• nintendo
• none
• nothing
• onelove
• online
• orange
• pass
• passw0rd
• password
• password1
• peace
• peaches
• peanut
• pepper
• phpbb
• pokemon
• poop
• power
• praise
• prayer
• prince
• princess
• purple
• qazwsx
• qwert
• qwerty
• qwerty1
• rachel
• rainbow
• red123
• richard
• robert
• rotimi
• samantha
• sammy
• samuel
• saved
• scooby
• scooter
• secret
• shadow
• shalom
• silver
• single
• slayer
• smokey
• snoopy
• soccer
• soccer1
• sparky
• spirit
• startrek
• starwars
• stella
• summer
• sunshine
• superman
• taylor
• test
• testing
• testtest
• thomas
• thunder
• tigger
• trinity
• trustno1
• victory
• viper
• welcome
• whatever
• william
• windows
• winner
• wisdom
• zxcvbnm

スパイウェアは、上述のFTPクライアントまたはファイルマネージャのいずれかから以下のアカウント情報を収集します。

• パスワード
• ポート番号
• サーバ名
• ユーザ名

また、スパイウェアは、保存されたメールの認証情報を収集します。

• Outlook
• Windows Live Mail
• Windows Mail
• Pocomail
• IncrediMail
• BatMail
• Mozilla Thunderbird

スパイウェアは、以下のWebブラウザからユーザ名、パスワードおよびホスト名といった保存された情報を収集します。

• Google Chrome
• Mozilla Firefox
• Internet Explorer
• Opera Browser
• Flock Browser
• FastStone Browser

スパイウェアは、ルートキット機能を備えていません。

スパイウェアは、脆弱性を利用した感染活動を行いません。

---

  対応方法

ご利用はいかがでしたか？　アンケートにご協力ください