TSPY_QHOST.VP
Windows 2000, XP, Server 2003
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。 マルウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
HOSTSファイルの改変
マルウェアは、コンピュータのHOSTSファイルを改変します。これにより、ユーザは、以下のWebサイトにアクセスすると、別のWebサイトに誘導されます。
- caixa.gov.br
- http://www.real.com.br
- http://www.caixa.com.br
- caixa.com.br
- http://www.banrisul.com.br
- http://www.cef.com.br
- santander.com.br
- real.com.br
- http://www.santander.com.br
- http://www.bb.com.br
- cef.com.br
- bancoreal.com.br
- bradesco.com.br
- http://www.americanexpress.com.br
- http://www.bancodobrasil.com.br
- bb.com.br
- http://www.bancoreal.com.br
- banrisul.com.br
- americanexpress.com.br
- bancodobrasil.com.br
- http://www.itau.com.br
- itau.com.br
- http://www.caixa.gov.br
- http://www.bradesco.com.br
- banespa.com.br
- http://www.banespa.com.br
情報漏えい
マルウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。
マルウェアは、以下の銀行もしくは金融機関で利用される個人情報を収集します。
- American Express
- Banco Real
- Banco do Brasil
- Banespa
- Banrisul
- Bradesco
- Caixa
- Itau
- Santander
その他
このマルウェアのコードから、マルウェアは、以下の機能を備えています。
- Redirects users to {BLOCKED}.{BLOCKED}.97.162 because of modifications made to the HOSTS file
- Modifies the HOSTS file in the following locations:
- %System%\drivers\etc\hosts (On Windows NT, 2000, XP, and Server 2003)
- %Windows%\host.sam (on Windows 98 and ME)
ハッシュ値情報
マルウェアは、以下のMD5ハッシュ値を含んでいます。
- 9bfd9e8681280b7594324dd449693b49
マルウェアは、以下のSHA1ハッシュ値を含んでいます
- 3f3cb2bb65299d53f8bbdea81a94e4aa271be089
対応方法
手順 1
Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
不正プログラム/グレイウェア/スパイウェアがHOSTSファイルに追加した文字列を削除します。
- {BLOCKED}.{BLOCKED}.97.162 caixa.gov.br
- {BLOCKED}.{BLOCKED}.97.162 http://www.{BLOCKED}al.com.br
- {BLOCKED}.{BLOCKED}.97.162 http://www.{BLOCKED}ixa.com.br
- {BLOCKED}.{BLOCKED}.97.162 caixa.com.br
- {BLOCKED}.{BLOCKED}.97.162 http://www.{BLOCKED}nrisul.com.br
- {BLOCKED}.{BLOCKED}.97.162 http://www.{BLOCKED}f.com.br
- {BLOCKED}.{BLOCKED}.97.162 santander.com.br
- {BLOCKED}.{BLOCKED}.97.162 real.com.br
- {BLOCKED}.{BLOCKED}.97.162 http://www.{BLOCKED}ntander.com.br
- {BLOCKED}.{BLOCKED}.97.162 http://www.{BLOCKED}.com.br
- {BLOCKED}.{BLOCKED}.97.162 cef.com.br
- {BLOCKED}.{BLOCKED}.97.162 bancoreal.com.br
- {BLOCKED}.{BLOCKED}.97.162 bradesco.com.br
- {BLOCKED}.{BLOCKED}.97.162 http://www.{BLOCKED}ericanexpress.com.br
- {BLOCKED}.{BLOCKED}.97.162 http://www.{BLOCKED}ncodobrasil.com.br
- {BLOCKED}.{BLOCKED}.97.162 bb.com.br
- {BLOCKED}.{BLOCKED}.97.162 http://www.{BLOCKED}ncoreal.com.br
- {BLOCKED}.{BLOCKED}.97.162 banrisul.com.br
- {BLOCKED}.{BLOCKED}.97.162 americanexpress.com.br
- {BLOCKED}.{BLOCKED}.97.162 bancodobrasil.com.br
- {BLOCKED}.{BLOCKED}.97.162 http://www.{BLOCKED}au.com.br
- {BLOCKED}.{BLOCKED}.97.162 itau.com.br
- {BLOCKED}.{BLOCKED}.97.162 http://www.{BLOCKED}ixa.gov.br
- {BLOCKED}.{BLOCKED}.97.162 http://www.{BLOCKED}adesco.com.br
- {BLOCKED}.{BLOCKED}.97.162 banespa.com.br
- {BLOCKED}.{BLOCKED}.97.162 http://www.banespa.com.br
手順 3
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TSPY_QHOST.VP」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください