解析者: Neljorn Nathaniel Aguas   
 別名:

Other:SNH-gen [Phish] (AVAST)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
    なし

  • 感染報告の有無 :
    はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、ワーム活動の機能を備えていません。

マルウェアは、バックドア活動の機能を備えていません。

  詳細

ファイルサイズ 15,237 bytes
タイプ HTML, HTM
メモリ常駐 なし
発見日 2025年5月30日
ペイロード URLまたはIPアドレスに接続, ウインドウの表示, 情報収集

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

感染活動

マルウェアは、ワーム活動の機能を備えていません。

バックドア活動

マルウェアは、バックドア活動の機能を備えていません。

ルートキット機能

マルウェアは、ルートキット機能を備えていません。

情報収集

マルウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

  • https://{BLOCKED}z.lk/script.php
    • which sends the following information using the "data" parameter:
      • username → victim's email address
      • password → input password
      • to → {BLOCKED}onway404@gmail.com (attacker's email address}
      • subject → "{Empty string}" (on 1st submission) | " - Second Try" (on 2nd submission)
  • However, as of this writing, the said site is inaccessible.

その他

マルウェアは、以下を実行します。

  • It disguises itself as a login page to deceive the user into providing their password:
  • It connects to the following URLs to display images and load resources inside the webpage:
    • https://{BLOCKED}oogleapis.com/css?family=Roboto:100,400,500,700
    • https://{BLOCKED}uery.com/jquery-3.5.1.min.js
    • https://{BLOCKED}ckspace.com/favicon.ico
    • https://{BLOCKED}n.msauth.net/shared/1.0/content/images/microsoft_logo_564db913a7fa0ca42727161c6d031bef.svg
    • https://{BLOCKED}eraccess.com/full/3309609.jpg
      hyperlink that contains the following legitimate URL:
      • https://{BLOCKED}elp.rackspace.com/l/identify-suspicious-email
  • After the initial load, the current URL in the address bar is replaced with a spoofed URL that includes the parameters scriptID, cookies, and token, formatted as follows:
    • {Current URL}?scriptID={ScriptId}&cookies={Cookies}&token={Token}
      where:
      • ScriptId → random number between 0 and 999,999,999,999,998
      • Cookies → Base64-encoded random number
      • Token → random number
  • It changes the page title into the following:
    • Rackspace Webmail: Hosted Email for Business
  • After the 1st login attempt, it displays the following fake error message:
    • 入力したパスワードが正しくありません → translates to: "The password you entered is incorrect."
      then reloads the page with the following URL:
      • {Spoofed URL}&sec_p=09304 → indicating the page is in 2nd login attempt
  • After the 2nd login attempt, it redirects to the following legitimate URL:
    • http://google.jp

マルウェアは、脆弱性を利用した感染活動を行いません。

情報漏えい

マルウェアは、以下の情報を収集します。

  • 特定の電子メールアドレス
  • 入力されたパスワード

<補足>
情報収集

マルウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

  • https://{BLOCKED}z.lk/script.php
    • 上記は、「data」パラメータを使って以下の情報を送信します。
      • username → 被害者の電子メールアドレス
      • password → 入力されたパスワード
      • to → {BLOCKED}onway404@gmail.com (攻撃者が用いる電子メールアドレス)
      • subject → "{空文字列}" (一回目の送信時) | " - Second Try" (二回目の送信時)
  • ただし、情報公開日現在、このWebサイトにはアクセスできません。

その他

マルウェアは、以下を実行します。

  • IT企業「Microsoft」を偽装した以下のログインページを表示して、パスワードを入力するようユーザを誘導します。
  • 対象のURLに接続して画像を表示し、Webサイト内のリソースを読み込みます。
    • https://{BLOCKED}oogleapis.com/css?family=Roboto:100,400,500,700
    • https://{BLOCKED}uery.com/jquery-3.5.1.min.js
    • https://{BLOCKED}ckspace.com/favicon.ico
    • https://{BLOCKED}n.msauth.net/shared/1.0/content/images/microsoft_logo_564db913a7fa0ca42727161c6d031bef.svg
    • https://{BLOCKED}eraccess.com/full/3309609.jpg
      ハイパーリンクは、以下の正規URLを含んでいます。
      • https://{BLOCKED}elp.rackspace.com/l/identify-suspicious-email
  • 初期ロード後、アドレスバーの現在のURLは、以下の形式の偽装 URL(パラメータ「scriptID」、「cookies」、 「token 」を含む)に置き換えられます。
    • {現在表示されているウインドウのURL}?scriptID={ScriptId}&cookies={Cookies}&token={Token}
      上記には、以下のいずれかが該当します。
      • ScriptId → ランダムな数字(0 ~ 999,999,999,999,998)
      • Cookies → Base64でエンコードされたランダムな数字
      • Token → ランダムな数字
  • ページタイトルを以下に変更します。
    • Rackspace Webmail: Hosted Email for Business
  • 一回目のログイン試行後、以下の偽のエラーメッセージを表示します。
    • 入力したパスワードが正しくありません → 英訳「The password you entered is incorrect.」
      その後、以下のURLを使ってWebページを再度読み込みます。
      • {偽装したURL}&sec_p=09304 → ページが2回目のログイン試行中であることを示す
  • 2回目のログイン試行後、以下の正規URLに誘導されます。
    • http://google.jp

  対応方法

対応検索エンジン: 9.800
初回 VSAPI パターンバージョン 19.428.05
初回 VSAPI パターンリリース日 2024年6月26日
VSAPI OPR パターンバージョン 19.429.00
VSAPI OPR パターンリリース日 2024年6月27日

手順 1

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Trojan.HTML.PHISH.SMTPTCVBB」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください