TSPY_FAREIT.EV

2012年11月19日

解析者: Nikko Tamana

別名:

Trojan-PWS.Win32.Fareit (Ikarus), PWS:Win32/Fareit (Microsoft)

プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

危険度:

感染確認数:

システムへの影響:

情報漏えい:

マルウェアタイプ: スパイウェア
破壊活動の有無: なし
暗号化:
感染報告の有無: はい

概要

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェアは、実行後、自身を削除します。

ただし、情報公開日現在、このWebサイトにはアクセスできません。

詳細

ファイルサイズ 120,912 bytes

タイプ EXE

発見日 2012年11月16日

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、以下のファイルを作成します。

%User Temp%\abcd.bat

(註：%User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\＜ユーザー名＞\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\TEMP" です。)

スパイウェアは、実行後、自身を削除します。

他のシステム変更

スパイウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\WinRAR
HWID = "{FCC499B8-BBF2-49EA-8BDC-A17125BE18FA}"

その他

スパイウェアは、以下の不正なWebサイトにアクセスします。

http://{BLOCKED}.{BLOCKED}.106.99/vbulletin/profile.php

ただし、情報公開日現在、このWebサイトにはアクセスできません。