TSPY_QBOT.L
Windows 2000, XP, Server 2003
- マルウェアタイプ: スパイウェア
- 破壊活動の有無: なし
- 暗号化: はい
- 感染報告の有無: はい
概要
スパイウェアは、他のマルウェアに作成され、コンピュータに侵入します。 スパイウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。
スパイウェアは、ルートキット機能を備えており、自身に関連したプロセスおよびファイルを隠匿し、ユーザによる検出および削除を避けます。
スパイウェアは、Webサイトにアクセスし、ファイルをダウンロードします。これにより、感染コンピュータ上に他のマルウェアがダウンロードまたは作成されます。 スパイウェアは、ダウンロードしたファイルを実行します。 スパイウェアは、上記で作成されたフォルダ内にダウンロードしたファイルを保存します。
スパイウェアは、感染コンピュータ上の特定の情報を収集します。 スパイウェアは、収集した情報をリモートサイトに送信します。
詳細
侵入方法
スパイウェアは、他のマルウェアに作成され、コンピュータに侵入します。
スパイウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。
インストール
スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %System Root%\Documents and Settings\All Users\Application Data\Microsoft\qgewcjtlz\q1.{random number}
(註:%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)
スパイウェアは、以下のフォルダを作成します。
- %System Root%\Documents and Settings\All Users\Application Data\Microsoft\qgewcjtlz
(註:%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)
ルートキット機能
スパイウェアは、ルートキット機能を備えており、自身に関連したプロセスおよびファイルを隠匿し、ユーザによる検出および削除を避けます。
プロセスの終了
スパイウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。
- ccApp.exe
- cmd.exe
- ctfmon.exe
- dbgview.exe
- far.exe
- mirc.exe
- mmc.exe
- msdev.exe
- nc.exe
- ollydbg.exe
- outlook.exe
- photoed
- R&Q.exe
- skype
ダウンロード活動
スパイウェアは、Webサイトにアクセスし、以下のファイルをダウンロードします。
- aaveimi - detected as TROJ_BAMITAL.AQ
- qgewcjtlz.exe - detected as TROJ_BAMITAL.AQ
- qgewcjtl.dll - contains encrypted data
- qgewcjtlz.dl - detected as TSPY_QBOT.N
- qgewcjtlzyw.dll - detected as TSPY_QBOT.N
- qgewcjtlzxn.exe - detected as TROJ_BAMITAL.AQ
- xujqa2y - contains encrypted data
スパイウェアは、以下のWebサイトにアクセスして自身のコンポーネントファイルをダウンロードします。
- http://{BLOCKED}rver.com.ua/cgi-bin/ss.pl
- http://{BLOCKED}rver.com.ua/cgi-bin/exhandler4.pl
- http://{BLOCKED}owthewhistle.com/cgi-bin/clientinfo3.pl
- http://{BLOCKED}6.in/cgi-bin/jl/jloader.pl
- http://{BLOCKED}2.cn/cgi-bin/jl/jloader.pl
スパイウェアは、以下のファイル名でダウンロードしたファイルを保存します。
- alias__qbotnti.exe
- alias__qbotinj.exe
- alias__qbot.cb
- _qbotinj.exe
- _qbotnti.exe
- q3.dll
- _qbot.dll
- alias__qbot.dll
- crontab.cb
- /u/updates98.cb
- alias_updates.cb
- /u/updates.cb
- updates1.cb
- updates*_new.cb
スパイウェアは、ダウンロードしたファイルを実行します。
スパイウェアは、上記で作成されたフォルダ内にダウンロードしたファイルを保存します。
情報漏えい
スパイウェアは、感染したコンピュータ上でInternet Explorer(IE)の使用状況を監視します。スパイウェアは、特にIEのアドレスバーまたはタイトルバー情報を監視しますが、ユーザが銀行関連Webサイトを閲覧しそのサイトのアドレスバーまたはタイトルバーに以下の文字列が含まれていた場合、正規Webサイトを装った偽のログインページを作成します。
- singlepoint.usbank.com
- netconnect.bokf.com
- business-eb.ibanking-services.com
- cashproonline.bankofamerica.com
- /cashplus/
- ebanking-services.com
- /cashman/
- web-cashplus.com
- treas-mgt.frostbank.com
- business-eb.ibanking-services.com
- treasury.pncbank.com
- access.jpmorgan.com
- ktt.key.com
- onlineserv/CM
- premierview.membersunited.org
- directline4biz.com
- onb.webcashmgmt.com
- tmconnectweb
- moneymanagergps.com
- ibc.klikbca.com
- directpay.wellsfargo.com
- express.53.com
- itreasury.regions.com
- itreasurypr.regions.com
- cpw-achweb.bankofamerica.com
- businessaccess.citibank.citigroup.com
- businessonline.huntington.com
スパイウェアは、感染コンピュータ上の以下の情報を収集します。
- ext_ip
- dnsname
- hostname
- country
- state
- city
- user
- domain
- is_admin
- os
- time
- qbot_version
スパイウェアは、収集した情報をリモートサイトに送信します。
対応方法
手順 1
Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
この「TSPY_QBOT.L」が作成、あるいは、ダウンロードした以下のファイルを検索し、検索した場合は削除してください。
- TROJ_BAMITAL.AQ
TSPY_QBOT.N
手順 3
スタートアップディスク、または、回復コンソールを用いて、「TSPY_QBOT.L」として検出されたファイルを確認し削除します。
手順 4
以下のフォルダを検索し削除します。
手順 5
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TSPY_QBOT.L」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください