Trend Micro Security

TSPY_QBOT.L

2012年10月8日
 更新者 : jasperm

 プラットフォーム:

Windows 2000, XP, Server 2003

 危険度:
 感染確認数:
 システムへの影響:
 情報漏えい:


  • マルウェアタイプ: スパイウェア
  • 破壊活動の有無: なし
  • 暗号化: はい
  • 感染報告の有無: はい

  概要


スパイウェアは、他のマルウェアに作成され、コンピュータに侵入します。 スパイウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

スパイウェアは、ルートキット機能を備えており、自身に関連したプロセスおよびファイルを隠匿し、ユーザによる検出および削除を避けます。

スパイウェアは、Webサイトにアクセスし、ファイルをダウンロードします。これにより、感染コンピュータ上に他のマルウェアがダウンロードまたは作成されます。 スパイウェアは、ダウンロードしたファイルを実行します。 スパイウェアは、上記で作成されたフォルダ内にダウンロードしたファイルを保存します。

スパイウェアは、感染コンピュータ上の特定の情報を収集します。 スパイウェアは、収集した情報をリモートサイトに送信します。


  詳細

ファイルサイズ 99,840 bytes
タイプ PE
メモリ常駐 はい
発見日 2010年11月11日
ペイロード プロセスの強制終了, ファイルのダウンロード, システムセキュリティへの感染活動

侵入方法

スパイウェアは、他のマルウェアに作成され、コンピュータに侵入します。

スパイウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

インストール

スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %System Root%\Documents and Settings\All Users\Application Data\Microsoft\qgewcjtlz\q1.{random number}

(註:%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

スパイウェアは、以下のフォルダを作成します。

  • %System Root%\Documents and Settings\All Users\Application Data\Microsoft\qgewcjtlz

(註:%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

ルートキット機能

スパイウェアは、ルートキット機能を備えており、自身に関連したプロセスおよびファイルを隠匿し、ユーザによる検出および削除を避けます。

プロセスの終了

スパイウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

  • ccApp.exe
  • cmd.exe
  • ctfmon.exe
  • dbgview.exe
  • far.exe
  • mirc.exe
  • mmc.exe
  • msdev.exe
  • nc.exe
  • ollydbg.exe
  • outlook.exe
  • photoed
  • R&Q.exe
  • skype

ダウンロード活動

スパイウェアは、Webサイトにアクセスし、以下のファイルをダウンロードします。

  • aaveimi - detected as TROJ_BAMITAL.AQ
  • qgewcjtlz.exe - detected as TROJ_BAMITAL.AQ
  • qgewcjtl.dll - contains encrypted data
  • qgewcjtlz.dl - detected as TSPY_QBOT.N
  • qgewcjtlzyw.dll - detected as TSPY_QBOT.N
  • qgewcjtlzxn.exe - detected as TROJ_BAMITAL.AQ
  • xujqa2y - contains encrypted data

スパイウェアは、以下のWebサイトにアクセスして自身のコンポーネントファイルをダウンロードします。

  • http://{BLOCKED}rver.com.ua/cgi-bin/ss.pl
  • http://{BLOCKED}rver.com.ua/cgi-bin/exhandler4.pl
  • http://{BLOCKED}owthewhistle.com/cgi-bin/clientinfo3.pl
  • http://{BLOCKED}6.in/cgi-bin/jl/jloader.pl
  • http://{BLOCKED}2.cn/cgi-bin/jl/jloader.pl

スパイウェアは、以下のファイル名でダウンロードしたファイルを保存します。

  • alias__qbotnti.exe
  • alias__qbotinj.exe
  • alias__qbot.cb
  • _qbotinj.exe
  • _qbotnti.exe
  • q3.dll
  • _qbot.dll
  • alias__qbot.dll
  • crontab.cb
  • /u/updates98.cb
  • alias_updates.cb
  • /u/updates.cb
  • updates1.cb
  • updates*_new.cb

スパイウェアは、ダウンロードしたファイルを実行します。

スパイウェアは、上記で作成されたフォルダ内にダウンロードしたファイルを保存します。

情報漏えい

スパイウェアは、感染したコンピュータ上でInternet Explorer(IE)の使用状況を監視します。スパイウェアは、特にIEのアドレスバーまたはタイトルバー情報を監視しますが、ユーザが銀行関連Webサイトを閲覧しそのサイトのアドレスバーまたはタイトルバーに以下の文字列が含まれていた場合、正規Webサイトを装った偽のログインページを作成します。

  • singlepoint.usbank.com
  • netconnect.bokf.com
  • business-eb.ibanking-services.com
  • cashproonline.bankofamerica.com
  • /cashplus/
  • ebanking-services.com
  • /cashman/
  • web-cashplus.com
  • treas-mgt.frostbank.com
  • business-eb.ibanking-services.com
  • treasury.pncbank.com
  • access.jpmorgan.com
  • ktt.key.com
  • onlineserv/CM
  • premierview.membersunited.org
  • directline4biz.com
  • onb.webcashmgmt.com
  • tmconnectweb
  • moneymanagergps.com
  • ibc.klikbca.com
  • directpay.wellsfargo.com
  • express.53.com
  • itreasury.regions.com
  • itreasurypr.regions.com
  • cpw-achweb.bankofamerica.com
  • businessaccess.citibank.citigroup.com
  • businessonline.huntington.com

スパイウェアは、感染コンピュータ上の以下の情報を収集します。

  • ext_ip
  • dnsname
  • hostname
  • country
  • state
  • city
  • user
  • domain
  • is_admin
  • os
  • time
  • qbot_version

スパイウェアは、収集した情報をリモートサイトに送信します。


  対応方法

対応検索エンジン: 8.900
初回 VSAPI パターンバージョン 7.612.01
初回 VSAPI パターンリリース日 2010年11月11日
VSAPI OPR パターンバージョン 7.611.00
VSAPI OPR パターンリリース日 2010年11月10日

手順 1

Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

この「TSPY_QBOT.L」が作成、あるいは、ダウンロードした以下のファイルを検索し、検索した場合は削除してください。

    TROJ_BAMITAL.AQ
    TSPY_QBOT.N

手順 3

スタートアップディスク、または、回復コンソールを用いて、「TSPY_QBOT.L」として検出されたファイルを確認し削除します。

[ 詳細 ]

手順 4

以下のフォルダを検索し削除します。

[ 詳細 ]
註:このフォルダは、隠しフォルダとして設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。 %System Root%\Documents and Settings\All Users\Application Data\Microsoft\qgewcjtlz

手順 5

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TSPY_QBOT.L」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください

関連マルウェア