TSPY_FAREIT.AJ

2013年4月12日

解析者: Anthony Joe Melgarejo

別名:

Infostealer (McAfee), TR/Kazy.105874 (Antivir)

プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

危険度:

感染確認数:

システムへの影響:

情報漏えい:

マルウェアタイプ: スパイウェア
破壊活動の有無: なし
暗号化: はい
感染報告の有無: はい

概要

感染経路インターネットからのダウンロード, 他のマルウェアからの作成

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェアは、ワーム活動の機能を備えていません。

スパイウェアは、バックドア活動の機能を備えていません。

スパイウェアは、他のファイルを作成する機能を備えていません。

スパイウェアは、ダウンロードする機能を備えていません。

詳細

ファイルサイズ 159744 bytes

タイプ EXE

メモリ常駐はい

発見日 2012年11月7日

ペイロード情報収集

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

感染活動

スパイウェアは、ワーム活動の機能を備えていません。

バックドア活動

スパイウェアは、バックドア活動の機能を備えていません。

作成活動

スパイウェアは、他のファイルを作成する機能を備えていません。

ダウンロード活動

スパイウェアは、ダウンロードする機能を備えていません。

情報収集

スパイウェアは、HTTPポストを介して、収集した情報を以下のURLに送信します。

http://{BLOCKED}0.{BLOCKED}6.23.100:8080/asp/intro.php
http://{BLOCKED}1.{BLOCKED}.235.35:8080/asp/intro.php
http://{BLOCKED}9.{BLOCKED}0.221.6:8080/asp/intro.php
http://{BLOCKED}0.{BLOCKED}9.13.84:8080/asp/intro.php
http://{BLOCKED}1.{BLOCKED}1.168.98:8080/asp/intro.php
http://{BLOCKED}0.{BLOCKED}5.150.72:8080/asp/intro.php
http://{BLOCKED}9.{BLOCKED}5.134.110:8080/asp/intro.php
http://{BLOCKED}3.{BLOCKED}8.208.55:8080/asp/intro.php
http://{BLOCKED}2.{BLOCKED}0.221.186:8080/asp/intro.php
http://{BLOCKED}2.{BLOCKED}7.17.180:8080/asp/intro.php
http://{BLOCKED}4.{BLOCKED}2.100.108:8080/asp/intro.php
http://{BLOCKED}3.{BLOCKED}2.238.18:8080/asp/intro.php
http://{BLOCKED}3.{BLOCKED}6.208.180:8080/asp/intro.php
http://{BLOCKED}0.{BLOCKED}4.58.250:8080/asp/intro.php
http://{BLOCKED}2.{BLOCKED}3.189.180:8080/asp/intro.php
http://{BLOCKED}3.{BLOCKED}3.98.131:8080/asp/intro.php
http://{BLOCKE}D2.{BLOCKED}8.49.112:8080/asp/intro.php
http://{BLOCKED}3.{BLOCKED}0.65.77:8080/asp/intro.php
http://{BLOCKED}0.{BLOCKED}8.18.158:8080/asp/intro.php
http://{BLOCKED}3.{BLOCKED}2.252.26:8080/asp/intro.php
http://{BLOCKED}1.{BLOCKED}3.171.212:8080/asp/intro.php

スパイウェアは、コンピュータ内に以下のFTPクライアントまたはファイルマネージャのアカウント情報が保存されている場合、これらのアカウント情報を収集します。

32Bit Ftp
3D-FTP
BlazeFtp
BulletProof FTP
Cute FTP
CyberDuck
Deluxe FTP
Easy FTP
Estsoft FTP
FireFTP
FTP CONTROL
FTP Commander
FTP Explorer
FTP Navigator
FTP++
FTPCON
FTPGetter
FTPNow
FTPRush
FTPShell
FTPWare COREFTP
Far FTP
FreshFTP
GlobalSCAPE CuteFTP 6 Home
GlobalSCAPE CuteFTP 6 Professional
GlobalSCAPE CuteFTP 7 Home
GlobalSCAPE CuteFTP 7 Professional
GlobalSCAPE CuteFTP 8 Home
GlobalSCAPE CuteFTP 8 Professional
GoFTP
NovaFTP
Ipswitch WS_FTP
LeapWare LeapFTP
LeechFTP
LinasFTP
MAS-Soft FTP
NCH Software ClassicFTP
Nico Mak Computing WinZip FTP
Robo-FTP 3.7
SmartFTP
SoftX.org FTPClient
Sota FFFTP
Staff-FTP
TurboFTP
WinFTP

スパイウェアは、上述の情報が保存されているディレクトリがパスワードで保護されている場合、以下のユーザ名およびパスワードのリストを用いてアクセスします。

password
phpbb
qwerty
jesus
abc123
letmein
test
love
password1
hello
monkey
dragon
trustno1
iloveyou
shadow
christ
sunshine
master
computer
princess
tigger
football
angel
jesus1
whatever
freedom
killer
asdf
soccer
superman
michael
cheese
internet
joshua
fuckyou
blessed
baseball
starwars
purple
jordan
faith
summer
ashley
buster
heaven
pepper
hunter
lovely
andrew
thomas
angels
charlie
daniel
jennifer
single
hannah
qazwsx
happy
matrix
pass
aaaaaa
amanda
nothing
ginger
mother
snoopy
jessica
welcome
pokemon
iloveyou1
mustang
helpme
justin
jasmine
orange
testing
apple
michelle
peace
secret
grace
william
iloveyou2
nicole
muffin
gateway
fuckyou1
asshole
hahaha
poop
blessing
blahblah
myspace1
matthew
canada
silver
robert
forever
asdfgh
rachel
rainbow
guitar
peanut
batman
cookie
bailey
soccer1
mickey
biteme
hello1
eminem
dakota
samantha
compaq
diamond
taylor
forum
john316
richard
blink182
peaches
cool
flower
scooter
banana
james
asdfasdf
victory
london
123qwe
startrek
george
winner
maggie
trinity
online
123abc
chicken
junior
chris
passw0rd
austin
sparky
admin
merlin
google
friends
hope
shalom
nintendo
looking
harley
smokey
joseph
lucky
digital
thunder
spirit
bandit
enter
anthony
corvette
hockey
power
benjamin
iloveyou!
1q2w3e
viper
genesis
knight
qwerty1
creative
foobar
adidas
rotimi
slayer
wisdom
praise
zxcvbnm
samuel
mike
dallas
green
testtest
maverick
onelove
david
mylove
church
friend
god
destiny
none
microsoft
bubbles
cocacola
jordan23
ilovegod
football1
loving
nathan
emmanuel
scooby
fuckoff
sammy
maxwell
jason
john
1q2w3e4r
baby
red123
blabla
prince
qwert
chelsea
angel1
hardcore
dexter
saved
hallo
jasper
danielle
kitten
cassie
stella
prayer
hotdog
windows
mustdie
gates
billgates
ghbdtn
gfhjkm

スパイウェアは、上述のFTPクライアントまたはファイルマネージャのいずれかから、以下のアカウント情報を収集します。

パスワード
ポート番号
サーバ名
ユーザ名

スパイウェアは、保存されている以下のEメール認証情報を収集します。

Outlook
Windows Live Mail
Windows Mail
Pocomail
IncrediMail
BatMail
Mozilla Thunderbird

スパイウェアは、以下のブラウザに保存されているユーザ名、パスワードおよびホスト名といった情報を読み出します。

Google Chrome
Mozilla Firefox
Internet Explorer
Opera Browser
Flock Browser
FastStone Browser

その他

スパイウェアは、ルートキット機能を備えていません。

スパイウェアは、脆弱性を利用した感染活動を行いません。

対応方法

対応検索エンジン: 9.300

初回 VSAPI パターンバージョン 9.514.04

初回 VSAPI パターンリリース日 2012年11月8日

VSAPI OPR パターンバージョン 9.515.00

VSAPI OPR パターンリリース日 2012年11月9日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアのパス名およびファイル名を確認します。
最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用いてウイルス検索を実行してください。「TSPY_FAREIT.AJ」で検出したパス名およびファイル名を確認し、メモ等をとってください。

手順 3

「TSPY_FAREIT.AJ」で検出したファイル名を確認し、そのファイルを終了します。

[ 詳細 ]

検出ファイルが、Windows のタスクマネージャに表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、こちらをご参照下さい。
検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。

手順 4

最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TSPY_FAREIT.AJ」と検出したファイルはすべて削除してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

ご利用はいかがでしたか？　アンケートにご協力ください