TSPY_BANCOS.AIV
Windows 2000, XP, Server 2003
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。 マルウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
他のシステム変更
マルウェアは、以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\WindowsUpdate\
ServiceWinlogom
マルウェアは、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Download
RunInvalidSignatures = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallDisableNotify = 1
マルウェアは、以下のレジストリ値を変更します。
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Download
CheckExeSignatures = no
(註:変更前の上記レジストリ値は、「yes」となります。)
作成活動
マルウェアは、以下のファイルを作成します。
- %System%\NOVAINFECCAO.log
(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)
情報漏えい
マルウェアは、感染したコンピュータ上でInternet Explorer(IE)の使用状況を監視します。マルウェアは、特にIEのアドレスバーまたはタイトルバー情報を監視しますが、ユーザが銀行関連Webサイトを閲覧しそのサイトのアドレスバーまたはタイトルバーに以下の文字列が含まれていた場合、正規Webサイトを装った偽のログインページを作成します。
- BRB Banknet
- Banco Bradesco S.A.
- Banco Santander S.A.
- Banco do Brasil S.A.
- Banrisul
- Caixa Economica Federal S.A.
- HSBC BANK BRASIL S.A.
- HSBC InternetBanking
- Itau Bankline
- http://authmail.ibest.com.br/Autenticacao/autenticacao
- http://authmail.ig.com.br/Autenticacao/autenticacao
- http://webmail.globo.com/LoginWebmail/autenticarUsuario.ssp
- http://www.bancobva.com.br/areas/publico/pagp/default.asp
- http://www.bancofator.com.br/far/minhaconta.aspx
- http://www.bancopaulista.com.br/PaulistaHB/Default.asp
- http://www.bep.com.br/IBanking/principal.php?a=login
- http://www.besc.com.br
- http://www.besinvestimento.com.br/Default.aspx
- http://www.caixa.gov.br/#
- http://www.caixa.gov.br/_newredirect
- http://www.fininvest.com.br
- http://www.fininvest.com.br/hom/index.asp
- http://www.itauprivatebank.com.br/privatebank/index.htm
- http://www.mclass.com.br/scripts/mclass.dll/
- http://www.santander.com.br/
- http://www.spc.com.br/si/servlet/hlogin
- http://www2.paranabanco.com.br/Franquia/Franqueado.aspx
- https://bankline.itau.com.br/
- https://bankline.itau.com.br/GRIPNET/bklcom.dll
- https://bankline.itau.com.br/GRIPNET/gracgi.exe
- https://bankline.itau.com.br/lgnet/cartonista/bankline.htm
- https://bankline.itau.com.br/lgnet/itauf/bankline.htm
- https://banklineplus.itau.com.br/GRIPNET/bklcgi.exe
- https://banknet.brb.com.br/iBanking/
- https://bcadirecto.bca.cv/
- https://bcadirectoempresas.bca.cv/
- https://binanet.bi.cv/Login.asp
- https://binanetempresas.bi.cv/Login.asp
- https://br.credit-suisse.com/Default.aspx
- https://caixanetparticulares.caixa.cv/Login.asp
- https://carrinho.americanas.com.br/portal/acom.portal?_nfpb=true&
- https://carrinho.americanas.com.br/portal/acom.portal?_nfpb=true&portlet_payment_actionOverride=%2Fportlets%2Fpayment%2FchoosePaymentMethodAction&_windowLabel=portlet_payment
- https://carrinho.americanas.com.br/portal/meuCadastro.portal?_nfpb=true&LoginControllerPortlet_actionOverride=%2Fportlets%2Fcustomer%2Flogin%2FenderecoPesquisarPorCep&_windowLabel=LoginControllerPortlet
- https://carrinho.shoptime.com.br/portal/shoptime.portal?_nfpb=true&portlet_payment_actionOverride=%2Fportlets%2Fpayment%2FcreditCardValidateAction&_windowLabel=portlet_payment
- https://chaseonline.chase.com/online/AgentFCCServlet
- https://conexao.fininvest.com.br
- https://conexao.fininvest.com.br/index.asp
- https://consulta.equifax.com.br/menu.asp
- https://ibk.banparanet.com.br/ibban/htm/pj_acesso.htm
- https://ibpf.unibanco.com.br/unicard/
- https://internetbanking.caixa.gov.br/
- https://internetbanking.caixa.gov.br/SIIBC/siwinCtrl
- https://itaubankline.itau.com.br/
- https://itaubankline.itau.com.br/GRIPNET/bklcom.dll
- https://login.live.com/ppsecure/post.srf?
- https://nel.bnb.gov.br/
- https://netbanking.brp.com.br/NetBanking/c_brp.asp?acao=Logon
- https://netbanking2.banespa.com.br/
- https://portal.credicardciti.com.br/wps/ControllerBaseServlet
- https://segura.besc.com.br/cwsasp/cwsn.asp
- https://segura.besc.com.br/cwsasp/cwsn.asp/
- https://servicos.fininvest.com.br
- https://servicos.spc.org.br/pls/spc9765/spcindex.html
- https://servicos.spc.org.br/spc/controleacesso/autenticacao/passphrase.action
- https://sitenet.serasa.com.br/Logon/Logon
- https://smail-mia.terra.com.br/atmail.php?ret
- https://smail.terra.com.br/atmail.php?ret
- https://smu.jpmorgan.com/siteminderagent/forms/smu/gcp/login.fcc?
- https://wealth.goldman.com/login/login_b.cgi
- https://webid2.gs.com/cgi-bin/external/authenticate.cgi
- https://ww8.banrisul.com.br/brb/default.htm
- https://ww8.banrisul.com.br/brb/link/BrbwE0hw_MsgDialog.aspx
- https://www.bancogmac.com.br/homebank/logon.do
- https://www.bbmnetbanking.com.br/evhtml.cgi?FrmNumConta
- https://www.ccfacil.com.br/Login.asp?
- https://www.edivan.com.br/CtrlAcesso_geral.asp
- https://www.extra.com.br/Pagamento/infoComplementarFormaPagamento.aspx
- https://www.febraban.org.br/default.asp
- https://www.fs.ml.com/login/Login.asp?site=MLOL
- https://www.google.com/accounts/ServiceLoginAuth?service=
- https://www.indusval.com.br/tbib/ib_MICROSOFT.php
- https://www.intlmlol.ml.com/logon/logon.exe
- https://www.latinamerica.citibank.com/BRGCB/JSO/signon/ProcessUsernameSignon.do
- https://www.latinamerica.citibank.com/BRGCB/LATAM/common/AccountInfo.do
- https://www.latinamerica.citibank.com/BRGCB/jba/mp6/SubmitRecap.do
- https://www.magazineluiza.com.br/Seguro/caixa/ins_caixa.asp
- https://www.opportunity.com.br/Servicos/Login.aspx?
- https://www.paodeacucar.com.br/pagamento/processaFechamento.asp
- https://www.pontofrio.com.br/cgi-bin/loja_segura.pl
- https://www.prospertrade.com.br/acesso_cliente.asp
- https://www.santandernet.com.br/EfetuarLogin_Intermediaria_New.asp
- https://www.santandernet.com.br/IBPF/Home.asp
- https://www.santandernet.com.br/IBPF/LoginEscolhaUsuarios.asp
- https://www.santandernet.com.br/IBPF/transacoes/MPS/mps_WinXP.asp
- https://www.santandernet.com.br/IBPF/transacoes/MPS/mps_WinXpInf.asp
- https://www.santandernet.com.br/IBPF_Logout.asp
- https://www.santandernet.com.br/default.asp?txtAgencia=
- https://www.santandernet.com.br/logout.asp?oG=u&oA=site
- https://www.santandernet.com.br/paginas/CRM/Processa.asp
- https://www.tam.com.br/b2c/jsp/EfetuarPagamentoCCredito.jhtml
- https://www.tribancoonline.com.br/tribancoib/servlet/SvLogin
- https://www2.abcbrasil.com.br/ABCBanking/acesso/Login.aspx
- https://www2.bancobrasil.com.br/aapf/login.jsp?aapf.IDH=sim
- https://www2.bancobrasil.com.br/aapf/login.jsp?aapf.IDH=sim&perfil=1
- https://www2.bnpparibas.com.br/psso/WAgent.dll?Login0
- https://www2.extra.com.br/Usuario/Cadastro.aspx?userType=F&ReturnUrl=https://www2.extra.com.br/Pagamento/ListaEnderecos.aspx?Next=Pagamento.aspx
- https://www2.infoseg.gov.br/infoseg/do/TecladoVirtualAction
- https://www2.rural.com.br/RuralIBank/principal.jsp
- https://www2.rural.com.br/RuralIBank/validaLogin.jsp
- https://www2.rural.com.br/RuralIBank/validaSenha.jsp
- https://www2.submarino.com.br/Payment.aspx
- https://wwws.alfanet.com.br/Transacional/rdr_validacao.asp?
- https://wwws.bancoamazonia.com.br/prelogin.asp?
- https://wwws.banese.com.br/netbanking
- https://wwws.banese.com.br/netbanking/servlet
- https://wwws.banese.com.br/netbanking/servlet/Conf
- https://wwws.banese.com.br/netbanking/servlet/ConsDocEletronico
- https://wwws.banese.com.br/netbanking/servlet/ConsPagtoConv
- https://wwws.banese.com.br/netbanking/servlet/Login
- https://wwws.banestes.com.br/cgi-bin/Login
- https://wwws.gravames.com.br/gravames/
- https://wwws.nossacaixa.com.br/CarregarConta.asp
- https://wwws.nossacaixa.com.br/bemvindo.asp
- https://wwws2.hsbc.com.br/
- https://wwws3.hsbc.com.br/
- https://wwws3.hsbc.com.br/HOB-MEUHSBC/servlets/LoginMeuHSBC
- https://wwws3.hsbc.com.br/HOB-MEUHSBC/servlets/LoginMeuHSBC?CPF=
- https://wwws3.hsbc.com.br/HOB-MEUHSBCAPP/servlets/RedirectMeuHSBC?fin=0&trans=MHERF01&ServletState=50&LinkExecucao=/HOB-CCORRENTE
- https://wwws3.hsbc.com.br/HOB-MEUHSBCAPP/servlets/ServletMeuHSBC?ServletState=0
- https://wwws3.hsbc.com.br/HOB-MEUHSBCAUX/servlets/LogoutMeuHSBC?urlRedirect=/HOB/logincrm/meuhsbc/logout.html?
- https://wwws5.hsbc.com.br/
- https://wwwss.bradesco.com.br/scripts/ib2k1.dll/LOGIN
- https://wwwss.bradesco.com.br/scripts/ib2k1.dll/TAC/ENTRADASENHA?CTL
- https://wwwss.bradesco.com.br/scripts/ib2k1.dll/TAC/VRFSENHAATUAL
偽のログインページは、正規のログインページに重なり、Internet Explorer(IE)ウィンドウの一部であるように装います。偽のログインページは、正規のWebサイトにおいて決まった位置に表示されます。これにより、ユーザはアカウントに関連する個人情報を入力してしまう可能性があります。また、誤って偽ログインページにユーザ名やパスワードを入力した場合、キー入力操作情報が記録されます。
マルウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。
マルウェアは、以下の銀行もしくは金融機関で利用される個人情報を収集します。
- Alfa Net
- BCA Directo
- BES Investimento
- BESC
- BNP Paribas
- BRB Banknet
- Banco ABC Brasil
- Banco BBM
- Banco BVA
- Banco Bradesco
- Banco Fator
- Banco GMAC
- Banco Indusval
- Banco Interatlântico
- Banco Itau
- Banco Paulista
- Banco Rural
- Banco Santander
- Banco da Amazônia
- Banco do Brasil
- Banese
- Banespa
- Banestes
- Banparanet
- Banrisul
- Caixa
- Caixa Economica Federal
- Chase
- Citibank
- Credicard Citi
- Credit Suisse
- EDIVAN
- Equifax
- Federação Brasileira de Bancos
- Fininvest
- Goldman
- HSBC
- INFOSEG
- JP Morgan
- Magazine Luiza
- Nossa Caixa
- PontoFrio
- Prosperatrade
- Pão de Açúcar
- Serasa
- Tribanco
- Unibanco
情報の送信先
マルウェアは、収集した情報を以下のEメールアドレスに送信します。
- agnaldo224@terra.com.br
- alessandre.mello@uol.com.br
- amabejo@terra.com.br
- c.cardum@terra.com.br
- ccbsa@terra.com.br
- celiamariaolive@terra.com.br
- chiquitafeira@terra.com.br
- cintiaped@terra.com.br
- cisel.diego@terra.com.br
- claudiacurzel@terra.com.br
- claudio.bwilson@terra.com.br
- cls.petfood@terra.com.br
- cpteam2010@hotmail.com
- cpteam2010@uol.com.br
- ddjferreira@terra.com.br
- dinho.fortaleza@h.com
- dsavante@terra.com.br
- eliasfae@terra.com.br
- elivaldo@utranet.com.br
- engelet@terra.com.br
- extingfogo@terra.com.br
- fisiopremium@terra.com.br
- francyella@terra.com.br
- frms1@terra.com.br
- gcontrps@terra.com.br
- gruporenatoduarte@terra.com.br
- jeanmary@terra.com.br
- jluizg@uol.com.br
- joana-frias@uol.com.br
- jsserralheria@terra.com.br
- julianaxavier.tj@terra.com.br
- juniorcdb@gmx.com
- likaua@terra.com.br
- lojadaborracha.mt@terra.com.br
- lucineimartins@terra.com.br
- luizinhosap@terra.com.br
- maria.koury@terra.com.br
- marleneg.santos@terra.com.br
- maselliveiculos@terra.com.br
- maucine@terra.com.br
- mcvjuridico@terra.com.br
- mmargaretefaria@terra.com.br
- mrcatana@terra.com.br
- msyankous@terra.com.br
- nobresmetal@terra.com.br
- osvaldo2232@terra.com.br
- patisimi@terra.com.br
- pecaslinheira@terra.com.br
- petroba039@terra.com.br
- qualibh@terra.com.br
- rinsfran@terra.com.br
- rodo8@terra.com.br
- ruthmaciels@terra.com.br
- sbcpb@terra.com.br
- sergio.ssantos@terra.com.br
- supermercadobig@terra.com.br
- theof@terra.com.br
- vrcadv@terra.com.br
- vultex@terra.com.br
- wilson.piu@terra.com.br
ハッシュ値情報
マルウェアは、以下のMD5ハッシュ値を含んでいます。
- 7e712344ed96480d833731432eeebe2a
- 10177301290e3a274c9df3120b5b524f
マルウェアは、以下のSHA1ハッシュ値を含んでいます
- 61023d754ed5fdd63789fb9c659c570229210301
- c3ea9919a8b1da50483395925f49e4f203f8ebf6
対応方法
手順 1
Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
「TSPY_BANCOS.AIV」で検出したファイル名を確認し、そのファイルを終了します。
- 検出ファイルが、Windows のタスクマネージャまたは Process Explorer に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、こちらをご参照下さい。 - 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。
手順 3
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download
- RunInvalidSignatures=1
- RunInvalidSignatures=1
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- FirewallDisableNotify=1
- FirewallDisableNotify=1
手順 4
このレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate
- ServiceWinlogom
- ServiceWinlogom
手順 5
変更されたレジストリ値を修正します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download
- From: CheckExeSignatures=no
To: yes
- From: CheckExeSignatures=no
手順 6
以下のファイルを検索し削除します。
- %System%\NOVAINFECCAO.log
手順 7
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TSPY_BANCOS.AIV」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください