解析者: Jed Valderama   
 別名:

TrojanSpy:Win32/Bancos.AEV (Microsoft)

 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 感染確認数:
 システムへの影響:
 情報漏えい:

  • マルウェアタイプ:
    スパイウェア

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 1,998,848 bytes
タイプ , DLL
メモリ常駐 はい
発見日 2012年8月31日

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェアは、以下のリモートサイトからダウンロードされ、コンピュータに侵入します。

  • http://{BLOCKED}2012.xpg.com.br/boa.pdf

インストール

スパイウェアは、以下のフォルダを作成します。

  • %System Root%\Documents and Settings\All Users\Application Data\TEMP

(註:%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

他のシステム変更

スパイウェアは、以下のレジストリキーを追加します。

HKEY_CLASSES_ROOT\CLSID\{83447388-F457-4723-9D09-6F486F161E1A}

HKEY_CLASSES_ROOT\CLSID\{8F577DD6-A889-B773-13C5-1FBA13C51FBA}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{8F577DD6-A889-B773-13C5-1FBA13C51FBA}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{83447388-F457-4723-9D09-6F486F161E1A}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
EXT

スパイウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_CLASSES_ROOT\CLSID\{83447388-F457-4723-9D09-6F486F161E1A}\
InprocServer32
Default = "{malware path and filename}"

HKEY_CLASSES_ROOT\CLSID\{8F577DD6-A889-B773-13C5-1FBA13C51FBA}\
InprocServer32
Default = "%System%\dxtmsft.dll"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{83447388-F457-4723-9D09-6F486F161E1A}\InprocServer32
Default = "{malware path and filename}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
EXT\CLSID
{83447388-F457-4723-9D09-6F486F161E1A} = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Main\FeatureControl\
FEATURE_ENABLE_SCRIPT_PASTE_URLACTION_IF_PROMPT
iexplore.exe = "dword:00000001"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Browser Helper Objects\{83447388-F457-4723-9D09-6F486F161E1A}
NoExplorer = "dword:00000001"