TROJ_CRYPTR.SMAM

マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

マルウェアは、ルートキット機能を備えており、自身に関連したプロセスおよびファイルを隠匿し、ユーザによる検出および削除を避けます。

侵入方法

マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• %System Root%\recyclebin\config.bin

(註：%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %System Root%\recyclebin\recyclebin.exe

(註：%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

マルウェアは、以下のフォルダの属性をシステムフォルダおよび隠しフォルダに設定します。これにより、自身のコンポーネントの検出および削除を避けます。

• %System Root%\recyclebin

(註：%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• scandisking

マルウェアは、以下のプロセスに自身を組み込み、システムのプロセスに常駐します。

• explorer.exe

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\PhishingFilter
EnabledV8 = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\PhishingFilter
ShownServiceDownBalloon = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Recovery
ClearBrowsingHistoryOnExit = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
GlobalUserOffline = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
ProxyHttp1.1 = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
WarnOnPostRedirect = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
WarnOnIntranet = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\0
1409 = "3"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\1
1409 = "3"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\2
1409 = "3"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\3
1409 = "3"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\4
1409 = "3"

ルートキット機能

マルウェアは、ルートキット機能を備えており、自身に関連したプロセスおよびファイルを隠匿し、ユーザによる検出および削除を避けます。

情報漏えい

マルウェアは、感染したコンピュータ上でInternet Explorer（IE）の使用状況を監視します。マルウェアは、特にIEのアドレスバーまたはタイトルバー情報を監視しますが、ユーザが銀行関連Webサイトを閲覧しそのサイトのアドレスバーまたはタイトルバーに以下の文字列が含まれていた場合、正規Webサイトを装った偽のログインページを作成します。

• https://*sparkasse*/
• https://*ksk-*/
• https://*spk-*/
• https://*ssk-*/
• https://*sparkasse*de
• https://*ksk-*de
• https://*spk-*de
• https://*ssk-*de
• https://*portal*/portal/login
• https://*portal*/portal/
• https://*portal*/portal
• https://*portal*/portal/Starten*
• ttps://*portal*/portal/Login*
• https://banking.*/cgi/anfang.cgi*
• https://banking.*/cgi/login.cgi*
• https://*-*/pintan/index.php
• https://*/v6/banking/*
• https://*/v6/home/*
• https://banking.sparkasse.de/cgi/beenden.cgi
• http://*/homepage/banking/1.html
• http://*/privatkunden/0.html
• http://raiba-nu-wh.net/banking.html
• https://www.vrb-ismaning.de/index.php?id=*
• http://*.de/ebanking.cfm?CFID=*&CFTOKEN=*
• http://*/online_banking/anmeldung.html
• http://*/banking___services/anmeldung.html
• https://*/entry?bankid=*&appid=*
• https://*/entry?appid=*&bankid=*
• https://*/entry?rzid=XC&rzbk=*
• https://*bank*.de/entry?bankid=*& ppid=*
• https://*bank*.de/*/entry?rzid=XC&rzbk=*
• https://internetbanking.gad.de/ptlweb/WebPortal?bankid=*
• https://internetbanking.gad.de/banking/portal?bankid=*
• https://internetbanking.gad.de/wrs/ptlweb/WebPortal?bankidTimeout=hilfesicher&applId=ib_hilfe&frame=newwin
• https://www.brokerage.vr-networld.de/*bankid=*
• https://internetbanking.gad.de/*/csshover.htc
• https://banking.postbank.de/app/welcome.do
• https://banking.postbank.de/app/mobile/35345365.sisx
• https://banking.postbank.de/app/login.do
• https://banking.postbank.de/app/
• http://sparkasse.de/images/zumfinanzstatus.gif
• http://www.postbank.de/csmedia/
• http://www.postbank.de/*mtan/so_gehts.html*
• https://banking.postba k.de/app/mtan.listen.input.do/*.