解析者: Carl Maverick Pascual   

 別名:

Trojan.Win32.Mansabo.boq (Kaspersky) ; Trojan:Win32/MereTam.A (Microsoft)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 システムへの影響:
 情報漏えい:

  • マルウェアタイプ:
    スパイウェア/情報窃取型

  • 破壊活動の有無:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

  概要

感染経路 すべての論理ドライブ内に自身のコピーを作成, 共有ドライブを介した感染活動

トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。

マルウェアは、バンキングトロジャン(オンライン銀行詐欺ツール)「TrickBot」の亜種です。この亜種には、アプリケーションやブラウザから認証情報を窃取する、パスワード窃取モジュール「pwgrab32」、および「販売時点情報管理(Point of Sales、POS)」システムを狙うモジュールが追加されています。

スパイウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。 スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェアは、感染コンピュータや感染ユーザから特定の情報を収集します。

スパイウェアは、特定のWebサイトにアクセスし、情報を送受信します。

  詳細

ファイルサイズ 544,768 bytes
タイプ EXE
メモリ常駐 はい
発見日 2018年11月13日
ペイロード URLまたはIPアドレスに接続, 情報収集

侵入方法

スパイウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %Application Data%\WINYS\{malware file name}.exe
  • %System Root%\mswvc.exe
  • %System%\mswvc.exe

(註:%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。. %System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

スパイウェアは、以下のファイルを作成します。

  • %Application Data%\WINYS\settings.ini -> Contains Encrypted Victim Key
  • %Application Data%\WINYS\Data\importDll32 -> Encrypted module that steals information from Internet Applications
  • %Application Data%\WINYS\Data\injectDll32 -> Encrypted module that monitors banking-related URLs and/or websites
  • %Application Data%\WINYS\Data\mailsearcher32 -> Encrypted module that steals email from files in the infected machine
  • %Application Data%\WINYS\Data\networkDll32 -> Encrypted module that steals network information
  • %Application Data%\WINYS\Data\pwgrab32 -> Encrypted module that steals information from Internet Browser Applications, WinSCP, FileZilla, and Microsoft Outlook
  • %Application Data%\WINYS\Data\systeminfo32 -> -> Encrypted module that steals information regarding the infected machine
  • %Application Data%\WINYS\Data\tabDll32 -> Encrypted module that provides the propagation of the malware
  • %Application Data%\WINYS\Data\shareDll32 -> Encrypted module that provides propagation via SMB
  • %Application Data%\WINYS\Data\wormDll32 -> Encrypted module that provides propagation via SMB
  • %Application Data%\WINYS\Data\injectDll32_configs\dinj -> Encrypted list of banking-related URLs and/or websites to monitor
  • %Application Data%\WINYS\Data\injectDll32_configs\dpost -> Encrypted list of C&C servers that will receive the HTTP response to and from the monitored URLs and/or websites
  • %Application Data%\WINYS\Data\injectDll32_configs\sinj -> Encrypted list of banking-related URLs and/or websites to phish
  • %Application Data%\WINYS\Data\mailsearcher32_configs\mailconf -> Encrypted list of C&C servers that will receive the stolen email addresses
  • %Application Data%\WINYS\Data\networkDll32_configs\dpost -> Encrypted list of C&C servers that will receive the stolen network information
  • %Application Data%\WINYS\Data\pwgrab32_configs\dpost -> Encrypted list of C&C servers that will receive the credentials
  • %Application Data%\WINYS\Data\psfin32 -> Encrypted module that identifies Point-Of-Sale systems within the network

(註:%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)

スパイウェアは、以下のフォルダを作成します。

  • %Application Data%\WINYS
  • %Application Data%\WINYS\Data

(註:%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)

自動実行方法

スパイウェアは、以下のサービスを追加し、実行します。

  • Service Name: {random letters}
    • ImagePath: %System Root%\mswvc.exe or %System%\mswvc.exe
    • DisplayName: Can be either of the following:
      • ServiceTechno4
      • Service_Techno4
      • Technics-service3
      • TechnoServices3
      • Advanced-TechnicService0
      • ServiceTechno6
      • NewServiceTech3
      • Techserver6

(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

情報漏えい

スパイウェアは、以下の情報を収集します。

  • Information regarding Point-Of-Sale (POS) systems in the network, by querying accounts or user name containing the following string:
    • *POS*
    • *REG*
    • *CASH*
    • *LANE*
    • *STORE*
    • *RETAIL*
    • *BOH*
    • *ALOHA*
    • *MICROS*
    • *TERM*
  • OS information (Architecture, Caption, CSDVersion)
  • CPU Information (Name)
  • Memory Information
  • User Accounts
  • Installed Programs
  • Installed Services
  • IP Configuration
  • Network Information (Configuration, Users, Domain Settings)
  • Email addresses
  • Credentials in the following Applications:
    • Microsoft Outlook
    • Filezilla
    • WinSCP
  • Internet Credentials (Internet Explorer, Microsoft Edge, Google Chrome, Mozilla Firefox):
    • Usernames and Passwords
    • Internet Cookies
    • Browsing History
    • Autofills
    • HTTP Posts responses

その他

スパイウェアは、以下のWebサイトにアクセスし、情報を送受信します。

  • https://{BLOCKED}.{BLOCKED}.85.215:446
  • http://{BLOCKED}.{BLOCKED}.181.125:8082
  • http://{BLOCKED}.{BLOCKED}.167.72:8082
  • http://{BLOCKED}.{BLOCKED}.252.178:8082
  • http://{BLOCKED}.{BLOCKED}.100.152:8082
  • http://{BLOCKED}.{BLOCKED}.87.38:8082
  • http://{BLOCKED}.{BLOCKED}.128.34:80
  • http://{BLOCKED}.{BLOCKED}.69.68:80
  • http://{BLOCKED}.{BLOCKED}.181.1:80
  • http://{BLOCKED}.{BLOCKED}.184.101:80
  • http://{BLOCKED}.{BLOCKED}.103.74:80
  • http://{BLOCKED}.{BLOCKED}.138.220:443
  • http://{BLOCKED}.{BLOCKED}.252.204:443
  • http://{BLOCKED}.{BLOCKED}.250.156:443
  • http://{BLOCKED}.{BLOCKED}.65.26:443
  • http://{BLOCKED}.{BLOCKED}.135.241:443
  • {BLOCKED}.{BLOCKED}.149.175:443
  • {BLOCKED}.{BLOCKED}.186.151
  • {BLOCKED}.{BLOCKED}.138.170:443

<補足>
インストール

スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %Application Data%\WINYS\{スパイウェアのファイル名}.exe
  • %System Root%\mswvc.exe
  • %System%\mswvc.exe

スパイウェアは、以下のファイルを作成します。

  • %Application Data%\WINYS\settings.ini →暗号化された被害者キーが含まれるファイル
  • %Application Data%\WINYS\Data\importDll32 →インターネットアプリケーションから情報を窃取する暗号化されたモジュール
  • %Application Data%\WINYS\Data\injectDll32 →オンラインバンキング関連のWebサイト(URL)を監視する暗号化されたモジュール
  • %Application Data%\WINYS\Data\mailsearcher32 → 感染PCのEメールアドレスを検索する暗号化されたモジュール
  • %Application Data%\WINYS\Data\networkDll32 → ネットワーク情報を窃取する暗号化されたモジュール
  • %Application Data%\WINYS\Data\pwgrab32 → Internet Browser Applications、WinSCP、Microsoft Outlookから情報を窃取する暗号化されたモジュール
  • %Application Data%\WINYS\Data\systeminfo32 → 感染PCの情報を窃取する暗号化されたモジュール
  • %Application Data%\WINYS\Data\tabDll32 → 拡散活動に使用される暗号化されたモジュール
  • %Application Data%\WINYS\Data\shareDll32 → SMBを介した拡散活動に使用される暗号化されたモジュール
  • %Application Data%\WINYS\Data\wormDll32 → SMBを介した拡散活動に使用される暗号化されたモジュール
  • %Application Data%\WINYS\Data\injectDll32_configs\dinj → →監視対象のオンラインバンキング関連Webサイトの暗号化された一覧
  • %Application Data%\WINYS\Data\injectDll32_configs\dpost → 監視対象のWebサイト(URL)との間で送受信されるHTTP応答を受信するC&Cサーバの暗号化された一覧
  • %Application Data%\WINYS\Data\injectDll32_configs\sinj → なりすますためのオンラインバンキング関連Webサイトの暗号化された一覧
  • %Application Data%\WINYS\Data\mailsearcher32_configs\mailconf →窃取したEメールアドレスを受信するC&Cサーバの暗号化された一覧
  • %Application Data%\WINYS\Data\networkDll32_configs\dpost → 窃取したネットワーク情報を受信するC&Cサーバの暗号化された一覧
  • %Application Data%\WINYS\Data\pwgrab32_configs\dpost → 窃取した認証情報を受信するC&Cサーバの暗号化された一覧
  • %Application Data%\WINYS\Data\psfin32 → ネットワーク内の「販売時点情報管理(Point of Sales、POS)」システムを特定する、暗号化されたモジュール

自動実行方法

スパイウェアは、以下のサービスを追加し、実行します。

  • サービス名: {ランダムな文字列}
    • ImagePath: %System Root%\mswvc.exe or %System%\mswvc.exe
    • 表示名: 以下のいずれか
      • ServiceTechno4
      • Service_Techno4
      • Technics-service3
      • TechnoServices3
      • Advanced-TechnicService0
      • ServiceTechno6
      • NewServiceTech3
      • Techserver6

情報漏えい

スパイウェアは、以下の情報を収集します。

  • オペレーティングシステム(OS)情報(アーキテクチャ、キャプション、CSDバージョン)
  • CPU情報(名前)
  • メモリ情報
  • ユーザアカウント
  • インストールされているプログラム
  • インストールされているサービス
  • IP環境設定
  • ネットワーク情報(環境設定、ユーザ、ドメイン設定)
  • Eメールアドレス
  • 以下のアプリケーションの認証情報
    • Microsoft Outlook
    • Filezilla
    • WinSCP
  • インターネット認証情報(Internet Explorer, Microsoft Edge, Google Chrome, Mozilla Firefox)
    • ユーザ名とパスワード
    • Internet Cookies
    • 閲覧履歴
    • オートフィル
    • HTTP Postの応答
  • 以下の文字列を含むアカウントまたはユーザ名を照会することにより、ネットワーク内のPOSシステムに関する情報を収集する
    • *POS*
    • *REG*
    • *CASH*
    • *LANE*
    • *STORE*
    • *RETAIL*
    • *BOH*
    • *ALOHA*
    • *MICROS*
    • *TERM*

スパイウェアは、以下を実行します。

  • SMBおよびLDAPクエリを介してネットワーク全体に拡散します。
  • 以下のサービス/プロセスを無効化または終了します。
    • Msmpeng.exe
    • MSASCuil.exe
    • MSASCui.exe
    • Windows Defender
    • MBamService
    • SAVService
  • 以下のモジュールのいずれかがメモリに見つかった場合は、自身のプロセスをチェックして終了します。
    • pstorec.dll
    • vmcheck.dll
    • dbghelp.dll
    • wpespy.dll
    • api_log.dll
    • SbieDll.dll
    • SxIn.dll
    • dir_watch.dll
    • Sf2.dll
    • cmdvrt32.dll
    • snxhk.dll
  • 以下のオンラインバンキング関連のWebサイト/URLを監視します。
    • *netteller.com/login2008/Authentication*
    • https://*.netteller.com/favicon.ico?*
    • *favicon.ico=2dd2038048c763fc5f9174ae466cdb9c*
    • *.com/SPF/Login/Auth.aspx*
    • *.com/SPF/Login/favicon.ico?*
    • *favicon.ico=f7caf50483938302d86aa228d161e435*
    • */Authentication/Login*
    • */Accounts/AccountOverview.asp*
    • *favicon.ico=250717644273414e5c73a3c8997564da*
    • *.onlinebank.com/*/AOP/*.aspx*
    • *.onlinebank.com/*/AOP/favicon.ico?*
    • *partnersfcu.org/OnlineBanking/*aspx*
    • *partnersfcu.org/OnlineBanking/AOP/favicon.ico?*
    • *favicon.ico=ff358d7f67bc0f7e81b014655e34d0a5*
    • *.com/pub/html/login.html*
    • *.com/pub/html/favicon.ico*
    • *favicon.ico=843729ac35951a040681c469b4a89c0b*
    • */EBC_EBC1961/*
    • *favicon.ico=8735fa9cc59a7353f49756e81c2b3908*
    • *.com/fi*/bb/*
    • *.com/fi*/pb/*
    • *.com/fi*/retail/*
    • *.com/fnfg/retail/*
    • *.com/fi*/bb/favicon.ico?*
    • *.com/fi*/pb/favicon.ico?*
    • *.com/fi*/retail/favicon.ico?*
    • *.com/fnfg/retail/favicon.ico?*
    • *favicon.ico=be7cd95e4b5e89eb1f1d895abab1ee71*
    • */bbw/cmserver/welcome*
    • *favicon.ico=99f2a20d3dd8a354fbc8ed3a239f199f*
    • *pib*.secure-banking.com/*
    • *favicon.ico=f7205f82fdf9559db38d202eb9459348*
    • *.blilk.com/Core/Authentication/MFA*
    • *favicon.ico=a857aaab644de080328d45292893e479*
    • *secure.fundsxpress.com/piles/fxweb.pile/*
    • https://*secure.fundsxpress.com/*/fx?*
    • https://*secure.fundsxpress.com/*/favicon.ico?*
    • https://*secure.fundsxpress.com/start/*
    • https://*secure.fundsxpress.com/favicon.ico?
    • *favicon.ico=a6009ccf2264af7978f45f2a332eb392*
    • */onlineserv/CM*
    • *favicon.ico=5326bab1f1f827912468392860f6eb14*
    • *cey-ebanking.com/CLKCCM/*
    • *favicon.ico=70e9ac7e38a9df5092783b632c859cc7*
    • *engine/login/businesslogin*
    • *favicon.ico=01390a8c1c3cfb9918d799ad2a73dd84*
    • */business/j_security_check*
    • */business/login/Login.jsp*
    • */business/cts_security_precheck*
    • https://secure.*/LookAndFeel/Common/images/common/share.png?favicon.ico*
    • *favicon.ico=74536be4f9c2db6ca8c01a8054e1338a*
    • *corporatebankingweb/core/*
    • *favicon.ico=d73a726d92acc898bbbb175d3ab3337e*
    • *.ebanking-services.com/*.asp*
    • *.ebanking-services.com/*/*favicon.ico*
    • *favicon.ico=ce2bb103af1a10241de273caa885dbdd*
    • *secure.myvirtualbranch.com*
    • *favicon.ico=c8d027c1b29ac0def84ddfac56e682c8*
    • */wcmfd/wcmpw/CustomerLogin*
    • */wcmfd/wcmpw/favicon.ico*
    • *favicon.ico=9d0cf5e88c1fbcc637b90b76128d6bb9*
    • */rcrd/1527170714082509*
    • https://*banking.sparda.de/wps/loggedout.jsp
    • https://*banking.sparda-*
    • https://*banking.sparda.de*
    • */rcrd/1528137865954561*
    • https://bank.bbt.com/mfapp/web/myfi/home*
    • https://bank.bbt.com/auth/kba_reg_update.tb*
    • https://bank.bbt.com/mfapp/web/myfi/profile*
    • https://bank.bbt.com/auth/pwd.tb*
    • https://bank.bbt.com/auth/kba_reg_update.tb?action=ZmV0Y2g=
    • */rcrd/1530558791571849*
    • https://online.citi.com/US/JSO/signoff/*
    • https://online.citi.com/US/login*
    • https://online.citi.com/US/CBOL/ain/car*
    • https://online.citi.com/US/NCMF/csq/flow.action*
    • https://online.citi.com/US/JRS/contactinfo/initialiseContactInfo*
    • https://accountonline.citi.com/cards/svc/Login*
    • https://online.citi.com/US/banking/citi*
    • https://online.citi.com/US/JSO/loginpage/retarget*
    • https://online.citi.com/US/ag/ContactInfo*
    • https://online.citi.com/US/JSO/signon/uname/*
    • https://online.citi.com/US/ag/mrc/*
    • https://online.citi.com/US/NCMF/csq/ResetQuestions.do*
    • https://online.citi.com/US/NCAO/cli/flow*
    • https://www.citi.com/credit-cards/*
    • https://online.citi.com/US/NCAO/cli/flow*
    • https://online.citi.com/US/JPS/portal/*
    • https://online.citi.com/US/JRS/login*
    • https://online.citi.com/US/JRS/portal/*
    • https://online.citi.com/US/JSO/signon/ProcessUsernameSignon.do
    • https://online.citi.com/US/JRS/pands/*
    • */rcrd/1527171026496719*
    • https://*kunde.comdirect.de*
    • https://*comdirect.de/lp/wt/login*
    • */rcrd/1527164097084304*
    • https://www.cibc.com/??/small-business*
    • https://www.cibc.com/??/personal-banking*
    • https://www.cibconline.cibc.com/ebm-resources/public/banking/cibc/client/web/*
    • https://www.cibconline.cibc.com/olbtxn/*
    • https://*cibc.com/*
    • */rcrd/1527164294934631*
    • https://*commerzbank.de*
    • */rcrd/1527164275923785*
    • *bvi.bnc.ca*
    • */rcrd/1527162575196753*
    • https://*ebanking.bawagpsk.com/InternetBanking*
    • */rcrd/1527164985687384*
    • https://www*.scotiaonline.scotiabank.com/online/*
    • */rcrd/1536176590679564*
    • https://onlinebanking.mtb.com/Login/MTBSignOn
    • https://onlinebanking.mtb.com/
    • https://onlinebanking.mtb.com/Accounts/AccountSummary
    • https://onlinebanking.mtb.com/CustomerService/MyProfile
    • https://onlinebanking.mtb.com/CustomerService/MyProfileEdit
    • */rcrd/1534870214732286*
    • https://online.lloydsbank.co.uk/personal/primarylogin
    • https://secure.lloydsbank.co.uk/personal/a/logon/entermemorableinformation.jsp*
    • */rcrd/1538496844367198*
    • https://myapps.paychex.com/*_remote/*
    • */rcrd/1537463849851121*
    • https://www.binance.com/userCenter/balances.html
    • https://www.binance.com/login.html
    • https://www.binance.com/userCenter/myAccount.html
    • */rcrd/1527164640571442*
    • https://*.de/*/entry*
    • https://*.de/banking-*/portal?*
    • https://*.de/privatkunden/*
    • https://*.de/portal/portal*
    • https://*.de/banking-*/portal;*
    • http*://*portal/*portal*
    • */rcrd/1528138508409624*
    • https://*.usbank.com/Auth/Login/LoginWidget
    • https://onlinebanking.usbank.com/*/SCIDShieldQA/IDShieldQA
    • https://onlinebanking.usbank.com/*/CustomerDashboard/Index*
    • https://onlinebanking.usbank.com/*/IDShieldQAConfirm
    • https://onlinebanking.usbank.com/*/MyProfileDashboard/MyProfileDashboardIndex*
    • https://*.usbank.com/access/oblix/apps/webgate/bin/webgate.dll*
    • https://onlinebanking.usbank.com/*/IDShieldQAReview
    • https://onlinebanking.usbank.com/API/Auth/v1/IDShield/UpdateUserQuestions*
    • https://onlinebanking.usbank.com/*/MyProfile/AuthenticationPreferencesView*
    • */rcrd/1527171294563071*
    • https://*meine.deutsche-bank.de/trxm/db*
    • */rcrd/1527164442360306*
    • https://*ptlweb/WebPortal*
    • */rcrd/1527161983056830*
    • https://*tangerine.ca/app/*
    • */rcrd/1535723065134935*
    • https://signon.navyfederal.org/siteminderagent/forms/nfcu.fcc
    • https://myaccounts.navyfederal.org/NFCU/accounts/accountsummary
    • */rcrd/1527784817476992*
    • https://espanol.chase.com/sdchaseonline/secure/CustomerCenter*
    • https://chaseonline.chase.com/Logon.aspx*
    • https://chaseonline.chase.com/secure/CustomerCenter*
    • https://espanol.chase.com/sdchaseonline/Logon*
    • https://chaseonline.chase.com/MyAccount*
    • https://m.chase.com/*
    • https://www.chase.com/espanol
    • https://espanol.chase.com/sdchaseonline/MyAccounts*
    • https://www.chase.com/
    • https://espanol.chase.com/sdchaseonline/Logon*
    • https://espanol.chase.com/sdchaseonline/secure/CustomerCenter*
    • https://espanol.chase.com/sdchaseonline/secure/Profile/*
    • https://chaseonline.chase.com/secure/Profile/*
    • https://espanol.chase.com/sdchaseonline/MyAccounts*
    • https://espanol.chase.com/sdchaseonline/secure/Profile/*
    • https://secure*.chase.com/web/auth*
    • */rcrd/1529299416322016*
    • https://olb.bbvacompass.com/secure-auth/login*
    • https://olb.bbvacompass.com/secure/accountsummary*
    • https://olb.bbvacompass.com/secure-il/api/auth/public/signon*
    • https://www.bbvacompass.com/
    • */rcrd/1538497062765600*
    • https://*runpayroll.adp.com/*
    • */rcrd/1535730754439313*
    • *authmaint.td.com*index.html*
    • *authentication.td.com*
    • *easyweb.td.com*
    • */rcrd/1529423905024754*
    • https*wellsfargo.com*
    • */rcrd/1539874619588916*
    • https://global.americanexpress.com/login/*
    • https://www.americanexpress.com/
    • https://global.americanexpress.com/myca/logon/emea/action*
    • https://global.americanexpress.com/dashboard*
    • https://online.americanexpress.com/myca/logon/us/action/LogLogonHandler*
    • https://global.americanexpress.com/myca/logon/us/action/login*
    • https://www.americanexpress.com/??/
    • */rcrd/1533809766692683*
    • https://www.onlinebanking.pnc.com/alservlet/MyAccountsServlet
    • https://www.onlinebanking.pnc.com/alservlet/ValidateUserIdPasswordServlet
    • https://www.onlinebanking.pnc.com/alservlet/PNCOnlineBankingServlet
    • https://www.onlinebanking.pnc.com/alservlet/ModifySecurityQuestionsServlet*
    • https://www.onlinebanking.pnc.com/alservlet/ModifySecurityQuestionsConfirmationServlet
    • */rcrd/1536081411070630*
    • https://www.capitalone.com/
    • https://verified.capitalone.com/sic-ui/*
    • */rcrd/1527162060949058*
    • http*://*acc*desjardins.com*
    • https://accweb.mouv.desjardins.com/identifiantunique/identification*
    • https://accesd.mouv.desjardins.com/sommaire-perso/sommaire/detention*
    • https://accweb.mouv.desjardins.com/identifiantunique/securite*
    • https://accweb.mouv.desjardins.com/identifiantunique/authentification*
    • */rcrd/1538078076441901*
    • https://secure.halifax-online.co.uk/personal/a/logon/entermemorableinformation.jsp*
    • https://www.halifax-online.co.uk/personal/primarylogin
    • */rcrd/1527162620975004*
    • https://*targobank.de*
    • */rcrd/1527162502077171*
    • https://*raiffeisen*.at/group/club*
    • https://*raiffeisen*.at/logincenter*
    • https://*raiffeisen*.at/group/private*
    • */rcrd/1536679059633197*
    • https://*.suntrust.com*
    • https://onlinebanking.suntrust.com/UI/ajax/clientservice/changeSecurityQA
    • */rcrd/1531737415491610*
    • https://onlinebanking.tdbank.com/
    • *123tdbank.com123*
    • https://onlinebanking.tdbank.com/ngp_api/v1/security/user/session*
    • */rcrd/1527163537124692*
    • */getq/1527163537124692/qZaiUryN1C*
    • https://www.amazon.co.uk/*
    • https://www.amazon.co.uk/ap/signin
    • https://www.amazon.co.uk/gp/yourstore/home*
    • */rcrd/1530801754727167*
    • https://*lms.schwab.com/Login/*
    • https://*client.schwab.com/*
    • */rcrd/1527612058812310*
    • https://www.bankofamerica.com/homepage/overview*
    • https://secure.bankofamerica.com/transfers/*
    • https://www.bankofamerica.com/smallbusiness/
    • https://www.bankofamerica.com/smallbusiness/?*
    • https://secure.bankofamerica.com/myaccounts/brain/redirect.go?source*
    • https://secure.bankofamerica.com/myaccounts/details/deposit/information-services.go*
    • https://secure.bankofamerica.com/myaccounts/brain/redirect.go?target=acc*
    • https://www.bankofamerica.com/onlinebanking/online-banking.go
    • https://secure.bankofamerica.com/mycommunications/statements/statement.go*
    • https://secure.bankofamerica.com/myaccounts/details/deposit/account-details.go*
    • https://secure.bankofamerica.com/customer/manageContacts*
    • https://secure.bankofamerica.com/login/edit/sm/redirectSecurityCenter.go*
    • https://secure.bankofamerica.com/login/sign-in/incoming/sitekeyWidgetScript.go*
    • https://www.bankofamerica.com/?*
    • https://www.bankofamerica.com/homepage/smallbusiness*
    • https://www.bankofamerica.com/smallbusiness/online-banking.go
    • https://www.bankofamerica.com/index.jsp*
    • https://secure.bankofamerica.com/login/sitekey/skmaint.go*
    • https://www.bankofamerica.com/sitemap/hub/signin.go
    • https://www.bankofamerica.com/
    • https://secure.bankofamerica.com/myaccounts/details/deposit/account-balance-history.go*
    • https://secure.bankofamerica.com/login/sign-in/signOnV2Screen*
    • https://secure.bankofamerica.com/myaccounts/signin/signIn.go?*
    • https://secure.bankofamerica.com/login/sign-in/signOnScreen*
    • https://www.bankofamerica.com/Control.do*
    • https://secure.bankofamerica.com/login/languageToggle.go
    • https://allmyaccounts.bankofamerica.com/apps/*
    • https://finapp.allmyaccounts.bankofamerica.com/finapp/*
    • https://secure.bankofamerica.com/myaccounts/details/card*
    • */rcrd/1527171438710910*
    • https://*banking.berliner-bank.de/trxm*
    • */rcrd/1538579395193257*
    • https://*.my.commbank.com.au/netbank/PaymentHub/*
    • https://*.my.commbank.com.au/netbank/Logon/Logon.aspx*
    • */rcrd/1527173297891530*
    • https://*online.bankaustria.at/wps/*
    • https://*geb.bankaustria.at/ga-gif-war/*
    • https://*resize/resize_helper.html*
    • */rcrd/1527164139852253*
    • https://*meine.norisbank.de/trxm/noris*
    • */rcrd/1532632040841589*
    • https://www.key.com/personal/index.jsp
    • https://ibx.key.com/mbl/api/auth/v1/users/stepup/challenge/SECURITY_QUESTIONS/users.securityquestions
    • https://*.key.com/ibxolb/olb/index.html
    • https://www.key.com/123123
    • https://ibx.key.com/mbl/api/auth/v1/users/securityquestions*
    • https://ibx.key.com/mbl/api/unauth/v1/users/login/password
    • */rcrd/1527165088325262*
    • https://*.de/en/home*
    • https://*.de/de/home*
    • https://*.de*abmelden*
    • http*://*/de/home*
    • */rcrd/1527162953804588*
    • https://*royalbank.com/*
    • https://www*.royalbank.com/cgi-bin/rbaccess/*
    • https://www*.royalbank.com/wps/myportal/OLB/*
    • */rcrd/1527162392678761*
    • https://www*.bmo.com/onlinebanking/*
    • */rcrd/1527163053741552*
    • https://*.sparkasse.at/sPortal/sportal*
    • https://*login.sparkasse.at/sts/oauth*
    • https://*.sparkasse.at/*.js
  • 以下のオンラインバンキング関連のWebサイト/ URLを監視し、感染したユーザをフィッシングサイトにリダイレクトします。
    • https://www.rbsidigital.com*
    • https://www.rbsidigital.com/default.aspx*
    • https://www.bankline.rbs.com*
    • https://www.bankline.rbs.com/CWSLogon/logon.do*
    • https://lloydslink.online.lloydsbank.com*
    • https://lloydslink.online.lloydsbank.com/Logon*
    • https://www.bankline.ulsterbank.ie*
    • https://www.bankline.ulsterbank.ie/CWSLogon/logon.do*
    • https://www.business.hsbc.co.uk*
    • https://banking.bankofscotland.co.uk*
    • https://banking.bankofscotland.co.uk/Logon*
    • https://www.bankline.natwest.com*
    • https://www.bankline.natwest.com/CWSLogon/logon.do*
    • https://online-business.bankofscotland.co.uk*
    • https://online-business.bankofscotland.co.uk/business*
    • https://ebanking2.danskebank.co.uk*
    • https://ebanking2.danskebank.co.uk/pub/logon/logon.aspx*
    • https://northrimbankonline.btbanking.com*
    • https://northrimbankonline.btbanking.com/onlineserv/CM*
    • https://home2.ybonline.co.uk*
    • https://home?.ybonline.co.uk/raluV8/reglm-web/login.ctl*
    • https://corporate.metrobankonline.co.uk*
    • https://corporate.metrobankonline.co.uk/servlet/BrowserServlet*
    • https://www.natwestibanking.com*
    • https://www.natwestibanking.com/eai/IPB_EAI_Web/*
    • https://banking.cumberland.co.uk*
    • https://banking.cumberland.co.uk/internetBanking/personal*
    • https://alolb1.arbuthnotlatham.co.uk*
    • https://alolb1.arbuthnotlatham.co.uk/IB/Online*
    • https://online.hoaresbank.co.uk*
    • https://online.hoaresbank.co.uk/fi11512/bb/logon*
    • https://butterfieldonline.co.uk*
    • https://butterfieldonline.co.uk/*
    • https://ibusinessbanking.aib.ie*
    • https://ibusinessbanking.aib.ie/ibb/controller*
    • https://www.internationalpayments.co.uk*
    • https://www.internationalpayments.co.uk/*
    • https://www.asbolb.com*
    • https://www.asbolb.com/servlet/ASB.ASBServlet*
    • https://personal.co-operativebank.co.uk*
    • https://personal.co-operativebank.co.uk/CBIBSWeb/start.do*
    • https://cbfm.saas.cashfac.com*
    • https://cbfm.saas.cashfac.com/cbfm/Logon.aspx*
    • https://onlinebanking.bankleumi.co.uk*
    • https://onlinebanking.bankleumi.co.uk/corp/AuthenticationController*
    • https://www.caterallenonline.co.uk*
    • https://www.caterallenonline.co.uk/*
    • https://onlinebusiness.lloydsbank.co.uk*
    • https://onlinebusiness.lloydsbank.co.uk/business*
    • https://ibank.zenith-bank.co.uk*
    • https://ibank.zenith-bank.co.uk/internetbanking/index.jsp*
    • https://ibank.gtbankuk.com*
    • https://ibank.gtbankuk.com/Gaps_UK/Default.aspx*
    • https://online.bankofcyprus.co.uk*
    • https://online.bankofcyprus.co.uk/netteller/login.faces*
    • https://banking.ireland-bank.com*
    • https://banking.ireland-bank.com/IrelandBankOnline_303/Authentication/Login.aspx*
    • https://bankofirelandlifeonline.ie*
    • https://bankofirelandlifeonline.ie/*
    • https://www.kbinternetbanking.com:8443*
    • https://www.kbinternetbanking.com:8443/ARCIB-NEWF/index.html*
    • https://ibank.reliancebankltd.com*
    • https://ibank.reliancebankltd.com/logon.aspx*
    • https://online.duncanlawrie.com*
    • https://online.duncanlawrie.com/InternetBanking/faces/mdi/login.jsp*
    • https://bureau.bottomline.co.uk*
    • https://bureau.bottomline.co.uk/unity/index.aspx*
    • https://ibb.firsttrustbank1.co.uk*
    • https://ibb.firsttrustbank1.co.uk/ibb/controller*
    • https://netbanking.ubluk.com*
    • https://netbanking.ubluk.com/Login/Index*
    • https://my.sjpbank.co.uk*
    • https://my.sjpbank.co.uk/Security/Auth/Logon*
    • https://ebaer.juliusbaer.com*
    • https://ebaer.juliusbaer.com/*
    • https://ebanking-ch2.ubs.com*
    • https://ebanking-ch2.ubs.com/workbench/Index.do*
    • https://ebank.turkishbank.co.uk*
    • https://ebank.turkishbank.co.uk/Default2.aspx*
    • https://banking.triodos.co.uk*
    • https://banking.triodos.co.uk/ib-seam/login.seam?loginType=username*
    • https://nebasilicon.fdecs.com*
    • https://nebasilicon.fdecs.com/eCustService/*
    • https://infinity.icicibank.co.uk*
    • https://infinity.icicibank.co.uk/UKRET/BANKAWAY*
    • https://ibank.theaccessbankukltd.co.uk*
    • https://ibank.theaccessbankukltd.co.uk/entry/CorpLoginLang.html*
    • https://www.standardlife.co.uk*
    • https://www.standardlife.co.uk/c1/login.page*
    • https://www.youinvest.co.uk*
    • https://www.youinvest.co.uk/LogIn/username*
    • https://banking.lloydsbank.com*
    • https://banking.lloydsbank.com/Logon*
    • https://secure.tddirectinvesting.co.uk*
    • https://secure.tddirectinvesting.co.uk/webbroker2/login.jsp*
    • https://www.deutschebank-dbdirect.com*
    • https://www.deutschebank-dbdirect.com/cas/login*
    • https://jpmcsso-uk.jpmorgan.com*
    • https://jpmcsso-uk.jpmorgan.com/sso/action/federateLogin*
    • https://secure.aldermorebusinesssavings.co.uk*
    • https://secure.aldermorebusinesssavings.co.uk/corporate*
    • https://www.unity-online.co.uk*
    • https://www.unity-online.co.uk/*
    • https://www.barclayswealth.com*
    • https://www.barclayswealth.com/login/action/logon/unauthenticated/corporate*
    • https://uksecure.barclayswealth.com*
    • https://uksecure.barclayswealth.com/*
    • https://onlinebanking.coutts.com*
    • https://onlinebanking.coutts.com/auth/login*
    • https://www.gerrard.com*
    • https://www.gerrard.com/clientcentre/login.aspx*
    • https://uk.hkbea-cyberbanking.com*
    • https://uk.hkbea-cyberbanking.com/UCBWeb/Index.action*
    • https://uk.hkbea-cyberbanking.com/UCBCorp/Index.action*
    • https://onlinebanking.nationwide.co.uk*
    • https://www.bankline.ulsterbank.co.uk*
    • https://www.bankline.ulsterbank.co.uk/CWSLogon/logon.do*
    • https://cbonline.bankofscotland.co.uk*
    • https://cbonline.bankofscotland.co.uk/PrimaryAuth/*
    • https://www.ulsterbankanytimebanking.co.uk*
    • https://www.ulsterbankanytimebanking.co.uk/default.aspx*
    • https://cbonline.lloydsbank.com*
    • https://cbonline.lloydsbank.com/PrimaryAuth/*
    • https://ulsterbank.co.uk*
    • https://ulsterbank.co.uk/ni/business/global/login.ashx*
    • https://www.iombankibanking.com*
    • https://www.iombankibanking.com/eai/IPB_EAI_Web/Service.do*
    • https://www.rbsiibanking.com*
    • https://www.rbsiibanking.com/eai/IPB_EAI_Web/Service.do*
    • https://www.natwestibanking.com/eai/IPB_EAI_Web/Service.do*
    • https://wealthclient.closebrothers.com*
    • https://wealthclient.closebrothers.com/Login*
    • https://www.coventrybuildingsociety.co.uk*
    • https://www.coventrybuildingsociety.co.uk/onlineservices/login/ols_login.aspx*
    • https://interface.htb.co.uk*
    • https://interface.htb.co.uk/NvNGW/*
    • https://ib.lloydsbank.com*
    • https://ib.lloydsbank.com/arcib/servlet/BrowserServlet*
    • https://secure.funds.lloydsbank.com*
    • https://secure.funds.lloydsbank.com/user/logon.aspx*
    • https://www.tescobank.com*
    • https://www.tescobank.com/sss/auth*
    • https://online.tsb.co.uk*
    • https://online.tsb.co.uk/personal/logon/login.jsp*
    • https://www1.hsbcprivatebank.com*
    • https://www1.hsbcprivatebank.com/1/2/*
    • https://bankonline.sboff.com*
    • https://bankonline.sboff.com/OFS2/InternetBanking*
    • https://banking.smile.co.uk*
    • https://banking.smile.co.uk/SmileWeb/start.do*
    • https://online.alrayanbank.co.uk*
    • https://online.alrayanbank.co.uk/online/aspscripts/Logon.asp*
    • https://mybbsaccounts.bucksbs.co.uk*
    • https://mybbsaccounts.bucksbs.co.uk/mlogn01.asp*
    • https://online.ccbank.co.uk*
    • https://online.ccbank.co.uk/main.asp*
    • https://u-2-view.chorleybs.co.uk*
    • https://u-2-view.chorleybs.co.uk/mlogn01.asp*
    • https://paragonbank.com*
    • https://paragonbank.com/login/*
    • https://client.nedsecure-int.com*
    • https://client.nedsecure-int.com/*
    • https://introducer.nedsecure-int.com*
    • https://introducer.nedsecure-int.com/csp/introducer/index.csp*
    • https://www.rathbonesonline.com*
    • https://www.rathbonesonline.com/template.LOGIN/*
    • https://internetbanking.securetrustbank.com*
    • https://internetbanking.securetrustbank.com/SecureTrust/SecureTrust*
    • https://login.blockchain.com*
    • https://myaccounts.newbury.co.uk*
    • https://myaccounts.newbury.co.uk/main.asp*
    • https://online.paragonbank.co.uk*
    • https://online.paragonbank.co.uk/ofis/login.aspx*
    • https://www.onlinebanking.iombank.com*
    • https://www.onlinebanking.iombank.com/default.aspx*
    • https://www2.firstdirect.com*
    • https://www2.firstdirect.com/1/2/!ut/p/c5/04_SB8K8xLLM9MSSzPy8xBz9CP0os3gDgzAfSycDUy8LAzNDbz8vbzMDKADKR5rFO7s7epiY-wD5YZ6uBp4mTiYGpr5uhgaexmDdFibeBn7enkEuBs4ejiYeHkGGMN0FuaGKAPRSfDc!*
    • https://business.co-operativebank.co.uk*
    • https://business.co-operativebank.co.uk/corp/*
    • https://online.adambank.com*
    • https://online.adambank.com/eBankingAdamLogin/login*
    • https://www.rbsiibanking.com/ipb/IPB_Client_Web/Start.do*
    • https://business2.danskebank.co.uk*
    • https://business2.danskebank.co.uk/pub/logon/logon.aspx*
    • https://home1.cybusinessonline.co.uk*
    • https://home?.cybusinessonline.co.uk/lmgruV8/ceblm-web/login.ctl*
    • https://online.coutts.com*
    • https://online.coutts.com/eBankingCouttsLogin/login*
    • https://fdonline.co-operativebank.co.uk*
    • https://fdonline.co-operativebank.co.uk/corp*
    • https://cardonebanking.com*
    • https://cardonebanking.com/authlogin.aspx?business*
    • https://online.ybs.co.uk*
    • https://online.ybs.co.uk/public/authentication/login1.do*
    • https://cardonebanking.com/authlogin.aspx*
    • https://clients.tilneybestinvest.co.uk*
    • https://clients.tilneybestinvest.co.uk/ORM/Login.aspx*
    • https://bankinguk.secure.investec.com*
    • https://bankinguk.secure.investec.com/login.html*
    • https://online-business.tsb.co.uk*
    • https://online-business.tsb.co.uk/business/logon*
    • https://www.barclayswealth.com/login/action/logon/unauthenticated/personal*
    • https://www.nwolb.com*
    • https://www.nwolb.com/default.aspx*
    • https://www.commercial.hsbc.com.hk*
    • https://www.commercial.hsbc.com.hk/1/2/!ut/p/c5/04_SB8K8xLLM9MSSzPy8xBz9CP0os3gDd-NQv1BDg2AXA1-PEE9zPwtDAwgAykeaxTu7O3qYmPsA-WGergaeJk4mBqa-boYGnsbYdPsidBfkhioCAMGAADI!/*
    • https://www.gs.reyrey.com*
    • https://www.gs.reyrey.com/common/login/login.aspx*
    • https://www1.rbcbankusa.com*
    • https://www1.rbcbankusa.com/cgi-bin/rbaccess/rbunxcgi*
    • https://business.santander.co.uk*
    • https://business.santander.co.uk/LGSBBI_NS_ENS/BtoChannelDriver.ssobto*
    • https://retail.santander.co.uk*
    • https://retail.santander.co.uk/LOGSUK_NS_ENS/BtoChannelDriver.ssobto*
    • https://corporate.santander.co.uk*
    • https://corporate.santander.co.uk/LOGSCU_NS_ENS*
    • https://www.365online.com*
    • https://www.365online.com/online365/spring/authentication*
    • https://www.open24.ie*
    • https://www.open24.ie/online/login.aspx*
    • https://online.ebs.ie*
    • https://online.ebs.ie/internet/login/index.jsp*
    • https://www.halifax-online.co.uk*
    • https://www.halifax-online.co.uk/personal/logon/login.jsp*
    • https://secure.membersaccounts.com*
    • https://secure.membersaccounts.com/SELFSERVICE/login.aspx*
    • https://apps.virginmoney.com*
    • https://apps.virginmoney.com/vmosws/loginWait.do*
    • https://online.citi.eu*
    • https://online.citi.eu/GBIPB/JSO/signon/DisplayUsernameSignon.do*
    • https://meine.deutsche-bank.de*
    • https://meine.deutsche-bank.de/trxm/db*
    • https://online.hl.co.uk*
    • https://online.hl.co.uk/my-accounts*
    • https://my.statestreet.com*
    • https://my.statestreet.com/*
    • https://jpmcsso.jpmorgan.com*
    • https://jpmcsso.jpmorgan.com/sso/action/login*
    • https://online.lloydsbank.co.uk*
    • https://online.lloydsbank.co.uk/personal/logon/login.jsp*
    • https://online.bulbank.bg*
    • https://online.bulbank.bg/page/default.aspx*
    • https://particuliers.societegenerale.fr*
    • https://particuliers.societegenerale.fr/*
    • https://www.mymerrill.com*
    • https://www.mymerrill.com/ml/home.aspx*
    • https://www.paymentnet.jpmorgan.com*
    • https://www.paymentnet.jpmorgan.com/*
    • https://sponsor.voya.com*
    • https://sponsor.voya.com/static/sponsor/SponsorLogin.fcc*
    • https://www.secure.bnpparibas.net*
    • https://www.secure.bnpparibas.net/banque/portail/particulier/Fiche*
    • https://my.hsbcprivatebank.com*
    • https://my.hsbcprivatebank.com/1/2/*
    • https://online.bankofscotland.co.uk*
    • https://online.bankofscotland.co.uk/personal/logon/login.jsp*
    • https://mijn.ing.nl*
    • https://mijn.ing.nl/*
    • https://access.usbank.com*
    • https://access.usbank.com/cpsApp1/AxolPreAuthServlet*
    • https://www6.rbc.com*
    • https://www6.rbc.com/webapp/ukv0/signin/logon.xhtml*
    • https://businessbanking.tdcommercialbanking.com*
    • https://businessbanking.tdcommercialbanking.com/WBB/LoginDisplay*
    • https://www22.bmo.com*
    • https://www22.bmo.com/uiauth/AuthWeb/index.html*
    • https://uas1.cams.scotiabank.com*
    • https://uas1.cams.scotiabank.com/aos/*
    • https://www1.scotiaconnect.scotiabank.com*
    • https://scotiaconnect.scotiabank.com*
    • https://accesd.affaires.desjardins.com*
    • https://accesd.affaires.desjardins.com/fr/ada*
    • https://accesd.affaires.desjardins.com/en/ada*
    • https://www21.bmo.com*
    • https://www23.bmo.com*
    • https://www23.bmo.com/ctpauth/CTPEAILogin*
    • https://cmo.cibc.com*
    • https://blockchain.info*
    • https://blockchain.info/wallet*
    • https://bittrex.com*
    • https://bittrex.com/account/login*
    • https://poloniex.com*
    • https://poloniex.com/login*
    • https://www.coinbase.com*
    • https://www.coinbase.com/oauth/authorize/oauth_signin*
    • https://www.coinbase.com/signin*
    • https://www.binance.com*
    • https://www.binance.com/login.html*
    • https://www.bitfinex.com*
    • https://www.bitfinex.com/*
    • https://www.bitstamp.net*
    • https://www.bitstamp.net/account/login/*
    • https://www.huobi.pro*
    • https://www.huobi.pro/login/*
    • https://www.huobipro.com*
    • https://www.huobipro.com/login/*
    • https://www.bithumb.com*
    • https://www.bithumb.com/u1/US101*
    • https://auth.hitbtc.com*
    • https://auth.hitbtc.com/module.php/hauth/loginform.php*
    • https://zaif.jp*
    • https://zaif.jp/login*
    • https://www.iombankibanking.com/eai/IPB_EAI_Web/eai*
    • https://live.barcap.com*
    • https://live.barcap.com/UAB/S/ecom/logon/1/barxcorporate*
    • https://personal.metrobankonline.co.uk*
    • https://personal.metrobankonline.co.uk/MetroBankRetail/*
    • https://login.secure.investec.com*
    • https://login.secure.investec.com/sso/login.html*
    • https://www.onlinebanking.natwestoffshore.com*
    • https://www.onlinebanking.natwestoffshore.com/default.aspx*
    • https://www.hsbc.co.uk*
    • https://www.hsbc.co.uk/1/2/!ut/p/c5/04_SB8K8xLLM9MSSzPy8xBz9CP0os3gDgzAfSycDUy8LAzNDbz8vbzMDKADKR5rFO7s7epiY-wD5YZ6uBp4mTiYGpr5uhgaexmDdFibeBn7enkEuBs4ejiYeRiHGMN1-Hvm5qfoFuRHlABOr0sE!*
    • https://cashmanagement.barclays.net*
    • https://cashmanagement.barclays.net/bnetservices/login.aspx*
    • https://www.rbsdigital.com*
    • https://www.rbsdigital.com/default.aspx*
    • https://www.ulsterbankanytimebanking.ie*
    • https://www.ulsterbankanytimebanking.ie/default.aspx*
    • https://aibinternetbanking.aib.ie*
    • https://aibinternetbanking.aib.ie/inet/roi/login.htm*
    • https://www.gemyaccounts.com*
    • https://www.gemyaccounts.com/myaccounts/Index.html*
    • https://my.statestreet.com/secid-smpwservices.fcc*
    • https://www.bitmex.com*
    • https://www.bitmex.com/login*
    • https://www.bitflyer.jp*
    • https://www.bitflyer.jp/en-jp/login*
    • https://bank.barclays.co.uk*
    • https://bank.barclays.co.uk/olb/auth/LoginLink.action*
    • https://esavings.shawbrook.co.uk*
    • https://esavings.shawbrook.co.uk/BankFast/Shawbrook*
    • https://banking.triodos.co.uk/ib-seam/login.seam?loginType=dp550*
    • https://wholesale.flagstar.com*
    • https://wholesale.flagstar.com/Lending/public/home.jsp*
    • https://commercial.metrobankonline.co.uk*
    • https://commercial.metrobankonline.co.uk/portalserver/business-login*
    • https://ibscassbank.btbanking.com*
    • https://ibscassbank.btbanking.com/onlineserv/CM*
    • https://myinvestorsbank.btbanking.com*
    • https://myinvestorsbank.btbanking.com/onlineserv/CM*
    • https://intellix.capitalonebank.com*
    • https://intellix.capitalonebank.com/treasury-management-portal-web/appmanager/TresMgmtPortal/TreasuryManagement#*
    • https://www.bankunitedbusinessonlinebanking.com*
    • https://www.bankunitedbusinessonlinebanking.com/bbw/cmserver/welcome/default/verify.cfm*
    • https://securentrycorp.amegybank.com*
    • https://securentrycorp.amegybank.com/*
    • https://securentrycorp.calbanktrust.com*
    • https://securentrycorp.calbanktrust.com/*
    • https://securentrycorp.zionsbank.com*
    • https://securentrycorp.zionsbank.com/*
    • https://www.gecapitalbank.com*
    • https://www.gecapitalbank.com/gecb/app/login*
    • https://wellsoffice.wellsfargo.com*
    • https://wellsoffice.wellsfargo.com/*
    • https://access.jpmorgan.com*
    • https://access.jpmorgan.com/jpmalogon*
    • https://gateway.citizenscommercialbanking.com*
    • https://gateway.citizenscommercialbanking.com/ccp/accessmoneymanager.jsp*
    • https://ktt.key.com*
    • https://ktt.key.com/ktt/cmd/logon*
    • https://www.treasury.pncbank.com*
    • https://www.treasury.pncbank.com/idp/esec/login.ht*
    • https://cityntl.webcashmgmt.com*
    • https://cityntl.webcashmgmt.com/wcmfd/wcmpw/CustomerLogin*
    • https://www.fultonbank.com*
    • https://www.fultonbank.com/onlinebnk/*
    • https://cm.netteller.com*
    • https://cm.netteller.com/login2008/Authentication/Views/Login.aspx*
    • https://businesscenter.mysynchrony.com*
    • https://businesscenter.mysynchrony.com/BusinessCenterPortal*
    • https://webcmpr.bancopopular.com*
    • https://webcmpr.bancopopular.com/K1*
    • https://www.svbconnect.com*
    • https://www.svbconnect.com/auth*
    • https://santander.hpdsc.com*
    • https://santander.hpdsc.com/main*
    • https://auth.globalpay.westernunion.com*
    • https://auth.globalpay.westernunion.com/Sso/Login.aspx*
    • https://globalpay.westernunion.com*
    • https://globalpay.westernunion.com/GlobalPay/Login.aspx*
    • https://commerceconnections.commercebank.com*
    • https://commerceconnections.commercebank.com/cb/cb/html/user-login.html*
    • https://pfo.us.hsbc.com*
    • https://pfo.us.hsbc.com/*
    • https://cashmanager.mizuhoe-treasurer.com*
    • https://cashmanager.mizuhoe-treasurer.com/mz/servlet/SLogin*
    • https://business-eb.ibanking-services.com*
    • https://business-eb.ibanking-services.com/K1/index.jsp*
    • https://tdetreasury.tdbank.com*
    • https://tdetreasury.tdbank.com/s1gcb/logon/sbuser*
    • https://express.53.com*
    • https://express.53.com/portal/auth/login/Login*
    • https://ht.businessonlinepayroll.com*
    • https://ht.businessonlinepayroll.com/SPF/login/ee_auth.aspx*
    • https://onlinebusinessplus.vancity.com*
    • https://onlinebusinessplus.vancity.com/business/default.jsp*
    • https://admin.epymtservice.com*
    • https://admin.epymtservice.com/admin/index.jhtml*
    • https://clientpoint.fisglobal.com*
    • https://clientpoint.fisglobal.com/tdcb/main/UserLogon*
    • https://www.bhiusa.com*
    • https://www.bhiusa.com/bhi-connect-login/*
    • https://workbench.bnymellon.com*
    • https://workbench.bnymellon.com/login.jsp*
    • https://www.cambridgefxonline.com*
    • https://www.cambridgefxonline.com/Home/LogIn*
    • https://fxpayments.americanexpress.com*
    • https://fxpayments.americanexpress.com/*
    • https://www.cashanalyzer.com*
    • https://www.cashanalyzer.com/*
    • https://business.firstcitizens.com*
    • https://business.firstcitizens.com/cb/pages/jsp-ns/loginfcbnc.jsp*
    • https://businessonline.huntington.com*
    • https://businessonline.huntington.com/BOLHome/BusinessOnlineLogin.aspx*
    • https://clientlogin.ibb.ubs.com*
    • https://clientlogin.ibb.ubs.com/login*
    • https://connect-ch2.ubs.com*
    • https://connect-ch2.ubs.com/workbench/Index.do*
    • https://www.tranzact.org*
    • https://www.tranzact.org/*
    • https://www.chase.com*
    • https://www.chase.com/commercial-bank/chase-commercial-online*
    • https://www.vancity.com*
    • https://www.vancity.com/BusinessBanking/OnlineBanking/MyAccounts*
    • https://transactgateway.svb.com*
    • https://transactgateway.svb.com/siliconvalley/customerlogin.aspx*
    • https://secure.alpha.gr*
    • https://secure.alpha.gr/e-services/login.aspx[?]*SignOnType=3*
    • https://www.bancorpsouthinview.web-cashplus.com*
    • https://www.bancorpsouthinview.web-cashplus.com/Cashplus/*
    • https://fx.regions.com*
    • https://fx.regions.com/*
    • https://businessonline.mutualofomahabank.com*
    • https://businessonline.mutualofomahabank.com/cb/pages/jsp-ns/login.jsp*
    • https://www.bostonprivatebank.com*
    • https://www.bostonprivatebank.com/index.cfm/pid/10540*
    • https://connect.bnymellon.com*
    • https://connect.bnymellon.com/ConnectLogin/login/LoginPage.jsp*
    • https://www.bostonprivate.com*
    • https://www.bostonprivate.com/index.cfm/page/Online-Banking/pid/10540*
    • https://www.macquarieresearch.com*
    • https://www.macquarieresearch.com/rp/web/guest/home*
    • https://www.winbank.gr*
    • https://www.winbank.gr/en/Pages/Home.aspx*
    • https://e-access.compassbank.com*
    • https://e-access.compassbank.com/bbw/cmserver/welcome/default/verify.cfm*
    • https://treasuryconnect.mercantilcb.com*
    • https://treasuryconnect.mercantilcb.com/ui*
    • https://www.winbank.gr/el/Pages/Home.aspx*
    • https://securentrycorp.nsbank.com*
    • https://securentrycorp.nsbank.com/*
    • https://www.frostcashmanager.com*
    • https://www.frostcashmanager.com/CASHplus*
    • https://an.rbcnetbank.com*
    • https://an.rbcnetbank.com/*
    • https://personal.mercantilcbonline.com*
    • https://personal.mercantilcbonline.com/login*
    • https://www.stockplanconnect.com*
    • https://www.stockplanconnect.com/cba.html*
    • https://www.bancorpsouthonline.com*
    • https://www.bancorpsouthonline.com/BXS/Login.aspx*
    • https://jpmpb001.jpmorgan.com*
    • https://jpmpb001.jpmorgan.com/prelogin/index.jsp*
    • https://www.ml.com*
    • https://www.ml.com/*
    • https://cashproonline.bankofamerica.com*
    • https://cashproonline.bankofamerica.com/*
    • https://bmo.com/ctpauth/CTPEAILogin/CustUserPasswordAuthServlet?TAM_OP=login*
    • https://www.santanderbank.com*
    • https://www.santanderbank.com/us/business/bob-login*
    • https://cib.bankofthewest.com*
    • https://cib.bankofthewest.com/K1/servlet/com.fis.authentication.servlet.WelcomeServlet*
    • https://businessaccess.citibank.citigroup.com*
    • https://businessaccess.citibank.citigroup.com/cbusol/signon.do*
    • https://bank1440online.btbanking.com*
    • https://bank1440online.btbanking.com/onlineserv/CM*
    • https://www8.comerica.com*
    • https://www8.comerica.com/pkmslogin.form*
    • https://www.us.hsbcprivatebank.com*
    • https://www.us.hsbcprivatebank.com/1/2/*
    • https://cbforex.citizensbank.com*
    • https://cbforex.citizensbank.com/RBSWebApplication/cbforex/loginScreen*
    • https://www.efirstbank.com*
    • https://www.efirstbank.com/centralAuthICM/jsp/main/Logon.faces*
    • https://jpmcsso.jpmorgan.com/sso/action/federateLogin*
    • https://www.fcsolb.com*
    • https://www.fcsolb.com/cb/pages/jsp-ns/login.jsp*
    • https://www2.secure.hsbcnet.com*
    • https://www2.secure.hsbcnet.com/uims/portal/IDV_CAM10_AUTHENTICATION*
    • https://jpmorgan.chase.com*
    • https://jpmorgan.chase.com/Public/Logon*
    • https://eastwest.bankonline.com*
    • https://eastwest.bankonline.com/s1gcb/logon/sbuser*
    • https://fidelitytopeka.btbanking.com*
    • https://fidelitytopeka.btbanking.com/onlineserv/CM*
    • https://businessonline.tdbank.com*
    • https://businessonline.tdbank.com/corporatebankingweb/core/login.aspx*
    • https://blcweb.banquelaurentienne.ca*
    • https://blcweb.banquelaurentienne.ca/lang/en/BLCDirect*
    • https://www.goldman.com*
    • https://www.goldman.com/login/login_a.cgi*
    • https://tdwealth.netxinvestor.com*
    • https://tdwealth.netxinvestor.com/web/tdwealth/login*
    • https://singlepoint.usbank.com*
    • https://singlepoint.usbank.com/cs70_banking/logon/sbuser*
    • https://mdcommercial.jpmorgan.com*
    • https://mdcommercial.jpmorgan.com/*
    • https://www.expat.hsbc.com*
    • https://www.expat.hsbc.com/1/2/internet-banking*
    • https://onepass.regions.com*
    • https://onepass.regions.com/oaam_server/oamLoginPage.jsp*
    • https://cbforex.citizenscommercialbanking.com*
    • https://cbforex.citizenscommercialbanking.com/CitizensWebApplication/cbforex/loginScreen*
    • https://business2.danskebank.ie*
    • https://business2.danskebank.ie/pub/logon/logon.aspx*
    • https://www.bbvanetcash.com*
    • https://www.bbvanetcash.com/local_kyop/KYOPSolicitarCredenciales.html*
    • https://secure.cafbank.org*
    • https://secure.cafbank.org/Default.aspx*
    • https://portal.sutorbank.de*
    • https://portal.sutorbank.de/*
    • https://banking.martinbank.de*
    • https://banking.martinbank.de/*
    • https://login.isso.db.com*
    • https://login.isso.db.com/websso/sso_multi_auth_Logon.sso*
    • https://my.hypovereinsbank.de*
    • https://my.hypovereinsbank.de/login*
    • https://www.banking.axa.de*
    • https://www.banking.axa.de/OnlineBankingWebfrontend/banking/common/login.xhtml*
    • https://my.banklenz.de*
    • https://my.banklenz.de/web/guest/login*
    • https://www.bv-activebanking.de*
    • https://www.bv-activebanking.de/trinkaus/loginFormAction.do*
    • https://extra.unicreditbank.hu*
    • https://extra.unicreditbank.hu/eibpublic_SP/login.en.html*
    • https://extra.unicreditbank.hu/eibpublic_SP/login.hu.html*
    • https://extra.unicreditbank.hu/eibpublic_SP/login.de.html*
    • https://banking.donner-reuschel.de*
    • https://banking.donner-reuschel.de/index.jsp*
    • https://b2b.dab-bank.de*
    • https://b2b.dab-bank.de/Systeme-Tools/Login/*
    • https://www.degussa-bank.de*
    • https://www.degussa-bank.de/login*
    • https://finanzportal.fiducia.de*
    • https://finanzportal.fiducia.de/p01pebe/entry*
    • https://db-direct.db.com*
    • https://db-direct.db.com/u/eb/Login_Main.serv*
    • https://www.asl.com*
    • https://www.asl.com/asl/login/entryFrame.jsp*
    • https://banking.ing-diba.de*
    • https://banking.ing-diba.de/app/login*
    • https://kunden-mkb-bank.de*
    • https://kunden-mkb-bank.de/*
    • https://www.mkbag.de*
    • https://www.mkbag.de/banking-business/entry*
    • https://hbciweb.olb.de*
    • https://hbciweb.olb.de/financebrowser5*
    • https://banking.oyakankerbank.de*
    • https://banking.oyakankerbank.de/[?]*
    • https://ebanking.schwaebische-bank.de*
    • https://ebanking.schwaebische-bank.de/loginStart.do*
    • https://banking.steylerbank.de*
    • https://banking.steylerbank.de/ptlweb/WebPortal*
    • https://www.unionbank.de*
    • https://www.unionbank.de/banking-private/entry*
    • https://www.volkswagenbank.de*
    • https://www.volkswagenbank.de/PortalLogin/get/Error.aspx/*
    • https://banking.berenberg.de*
    • https://banking.berenberg.de/onlinebanking-berenberg/loginFormAction.do*
    • https://banking.varengold.de*
    • https://banking.varengold.de/OnlineBankingWebfrontend/banking/common/login.xhtml*
    • https://casextern.creditplus.de*
    • https://casextern.creditplus.de/casextern_prod1/login*
    • https://www.asl.com/c/portal/login*
    • https://ufo.union-investment.de*
    • https://ufo.union-investment.de/process*
    • https://www.mercedes-benz-bank.de*
    • https://www.mercedes-benz-bank.de/intrade/login/login.jsf*
    • https://wertpapier.hafnerbank.de*
    • https://wertpapier.hafnerbank.de/*
    • https://www.bankhaus-lampe.de*
    • https://www.bankhaus-lampe.de/en/client-portal*
    • https://securebanking.hanseaticbank.de*
    • https://securebanking.hanseaticbank.de/onlinebanking-hb/loginFormAction.do*
    • https://meine.sutorbank.de*
    • https://meine.sutorbank.de/*
    • https://e-bank.wuestenrot.de*
    • https://e-bank.wuestenrot.de/ebanking/eb/index.html*
    • https://online.bank-abc.com*
    • https://online.bank-abc.com/Global/login.aspx*
    • https://banking.bankofscotland.de*
    • https://banking.bankofscotland.de/*
    • https://ebank.garantibank.nl*
    • https://ebank.garantibank.nl/scripts/gbide.dll*
    • https://hypoonline.hypotirol.com*
    • https://www.hypotirol.com/at/privatkunden/hypo-online/hypo-online-banking/login.html*
    • https://banking.oberbank.de*
    • https://banking.oberbank.de/smartoffice/de/_mcologon*
    • https://www.banking-oberbank.at*
    • https://www.oberbank-banking.at/obk/tiles/start.action*
    • https://kunde.onvista-bank.de*
    • https://kunde.onvista-bank.de/login.html*
    • https://www.abnamro.nl*
    • https://www.abnamro.nl/portalserver/en/corporatebanking/login*
    • https://kso.bw-bank.de*
    • https://kso.bw-bank.de/KSOClient/bwbank/login*
    • https://www.moneyou.de*
    • https://www.moneyou.de/PersoenlicheSeite/Login*
    • https://banking.haspa.de*
    • https://banking.haspa.de/OF/banking/authenticate/login*
    • https://www.dslbank.de*
    • https://www.dslbank.de/dienste/partner/index.html*
    • https://ebanking.denizbank.at*
    • https://ebanking.denizbank.at/LoginIB.aspx*
    • https://meine.postbank.de*
    • https://meine.postbank.de/#/login*
    • https://webzr.aktivbank.de*
    • https://webzr.aktivbank.de/webzr/login/ShowLogin.do*
    • https://akp.aab.de*
    • https://akp.aab.de/akp/vermoegensstatus/uebersicht.do*
    • https://portal.baaderbank.de*
    • https://portal.baaderbank.de/onlinebanking-baader/loginFormAction.do*
    • https://portal4.sydbank.dk*
    • https://portal4.sydbank.dk/wps/bankdata/jsp/html/da/PortalFrame.jsp*
    • https://www.sydbank.de*
    • https://www.sydbank.de/Sign/DE/_mcologon*
    • https://ssl.icoio.de*
    • https://ssl.icoio.de/account*
    • https://ssl.icoio.de/cash*
    • https://ssl.icoio.de/realestate*
    • https://konto.biw-bank.de*
    • https://konto.biw-bank.de/onlinebanking-biwvp/login*
    • https://banking.bmwbank.de*
    • https://banking.bmwbank.de/*
    • https://www.hypotirol.com*
    • https://www.hypotirol.com/oesterreich/boersen-maerkte/musterdepot/login/*
    • https://firmenkarten.degussa-bank.de*
    • https://firmenkarten.degussa-bank.de/login*
    • https://apps.bhw.de*
    • https://apps.bhw.de/es600/index.jsp*
    • https://login.isso.db.com/websso/sso_custom_multi_auth_flex_Logon.sso*
    • https://konto.baaderbank.de*
    • https://konto.baaderbank.de/*
    • https://securebank.santander.de*
    • https://securebank.santander.de/IRALOG_UNILOGON_ENS/BtoChannelDriver.ssobto*
    • https://online.akbank.de*
    • https://online.akbank.de/onlinebanking/de/Login.html*
    • https://portal.berenberg.de*
    • https://portal.berenberg.de/MULTIVERSA-IFP/faces/login/login.jsf*

以下のスケジュールされたタスクを追加します。

  • タスク名:Sysnetsf
    • タスクのアクション:%Application Data%\WINYS\{マルウェアのファイル名}.exe
    • タスクトリガー:システム起動時および初回実行の後10分毎

  対応方法

対応検索エンジン: 9.850
初回 VSAPI パターンバージョン 14.626.03
初回 VSAPI パターンリリース日 2018年11月14日
VSAPI OPR パターンバージョン 14.627.00
VSAPI OPR パターンリリース日 2018年11月15日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 3

このマルウェアが追加したランダムなサービスキーの削除を削除します。

  1. 最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用いてウイルス検索を実行してください。検出したマルウェアのパス名およびファイル名を確認し、メモ等をとってください。
  2. レジストリエディタを起動します。
    • Windows 2000、XP および Server 2003 の場合:
      [スタート]-[ファイル名を指定して実行]を選択し、regedit と入力し、Enter を押します。
    • Windows Vista、7 および Server 2008 の場合:
      [スタート]をクリックし、検索入力欄に regedit と入力し、Enter を押します。
    • Windows 8、8.1 および Server 2012 の場合:
      画面の左下隅を右クリックし、[ファイル名を指定して実行]を選択します。入力ボックスに regedit と入力し、Enter を押します。
    regedit は半角英数字で入力する必要があります(大文字/小文字は区別されません)。
  3. CTRL+Fを押し、検索ダイアログボックスを表示します。
  4. 上記で検出したマルウェアのファイル名を入力し、[次を検索]をクリックします。
    (註:ダイアログボックス内のチェックボックスは、[データ]のみがチェックされていることを確認してから[次を検索]をクリックしてください。)
  5. find.

  6. 上記で確認したマルウェアのファイル名が確認できた場合、右パネルに以下のレジストリ値が存在することを確認します。
    ImagePath = <上記で確認したマルウェアのパス名およびファイル名>
  7. このレジストリ値が確認できた場合、左側のパネルで、このレジストリ値が属するサービスキーを検索します。
  8. 左側のパネルで検索したサービスキー上で右クリックし、[削除]を選択します。
  9. [レジストリをすべて検索しました]というダイアログボックスが表示されるまで、手順2.)から6.)を繰り返してください。
  10. レジストリエディタを閉じます。

手順 4

スケジュールされたタスクを削除する

タスク削除の手順に含まれる{タスク名} - {実行するタスク}には以下が当てはまります。  

  • Sysnetsf - %Application Data%\WINYS\{malware file name}.exe

Windows 2000、Windows XP、Windows Server 2003の場合:

  1. [スタート]→[プログラム]→[アクセサリ]→[システムツール]→[スケジュールされたタスク]をクリックして、スケジュールされたタスクを開きます。
  2. 上記の{タスク名} を、[名前]の欄に入力します。
  3. 入力した{タスク名} 持つファイルを右クリックします。
  4. [プロパティ]をクリックします。 [実行]フィールドで、表示されている{実行するタスク}を確認します。
  5. 上記の{実行するタスク}と文字列が一致するタスクを削除します。

Windows Vista、Windows 7、Windows Server 2008、Windows 8、Windows 8.1、およびWindows Server 2012の場合:

  1. Windowsタスクスケジューラを開きます。
    • Windows Vista、Windows 7、Windows Server 2008の場合、[スタート]をクリックし、[検索]フィールドに「taskchd.msc」と入力してEnterキーを押します。
    • Windows 8、Windows 8.1、Windows Server 2012の場合、画面の左下隅を右クリックし、[実行]をクリックし、「taskchd.msc」と入力してEnterキーを押します。
  2. 左側のパネルで、[タスクスケジューラライブラリ]をクリックします。
  3. 中央上部のパネルで、上記の{タスク名}を[名前]の欄に入力します。
  4. 中央下部のパネルで、[アクション]タブをクリックします。 [詳細]の欄で、{実行するタスク}を確認します。
  5. 文字列が一致するタスクを削除します。

手順 5

以下のフォルダを検索し削除します。

[ 詳細 ]
註:このフォルダは、隠しフォルダとして設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %Application Data%\WINYS

手順 6

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TrojanSpy.Win32.TRICKBOT.AK」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください