TSPY_FAREIT.ARA
2013年12月12日
別名:
Trojan-PSW.Win32.Fareit.amnk (Kaspersky)
プラットフォーム:
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
危険度:
ダメージ度:
感染力:
感染確認数:
情報漏えい:
- マルウェアタイプ: スパイウェア
- 破壊活動の有無: なし
- 暗号化: はい
- 感染報告の有無: はい
概要
感染経路 他のマルウェアからの作成, インターネットからのダウンロード
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
スパイウェアは、実行後、自身を削除します。
詳細
ファイルサイズ 75,389 bytes
タイプ EXE
メモリ常駐 はい
発見日 2013年11月25日
ペイロード URLまたはIPアドレスに接続, ファイルのダウンロード, 情報収集
侵入方法
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
他のシステム変更
スパイウェアは、インストールの過程で以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\WinRAR
HWID = "{random value}"
HKEY_CURRENT_USER\Software\WinRAR
Client Hash = {random value}
HKEY_CURRENT_USER\Software\WinRAR
{random name} = {random value}
その他
スパイウェアは、以下の不正なWebサイトにアクセスします。
- http://{BLOCKED}gdomainsfulls.us/aweb/gate.php
- http://{BLOCKED}gdomainsfulls.us/otest.php?id=1
- http://{BLOCKED}gdomainsfulls.us/otest.php?id=2
スパイウェアは、実行後、自身を削除します。