TSPY_QHOST.VC

マルウェアは、他のマルウェアに作成され、コンピュータに侵入します。 マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

マルウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。 マルウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。

侵入方法

マルウェアは、他のマルウェアに作成され、コンピュータに侵入します。

マルウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

HOSTSファイルの改変

マルウェアは、ユーザが以下のWebサイトにアクセスできないように、システムのHOSTSファイルを改変します。

• www.americanexpress.com.br
• www.hsbc.com.br
• www.itau.com.br
• www.itaupersonnalite.com.br
• www.mastercard.com.br
• www.naotempreco.com.br
• www.surpreendamc.com.br
• www.visa.com.br

情報漏えい

マルウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。

マルウェアは、以下の銀行もしくは金融機関で利用される個人情報を収集します。

• Itaú Uniclass
• Itaú Personnalité
• Banco Itaú
• HSBC
• Visa do Brasil
• Promoções Visa
• MasterCard
• Não tem preço
• American Express

その他

このマルウェアのコードから、マルウェアは、以下の機能を備えています。

• It modifies HOSTS file, which results in redirecting the user to {BLOCKED}.235.29 whenever specific sites are accessed.
• It modifies the HOSTS file in the following locations:
• %System%\drivers\etc\host (On Windows NT, 2000, XP, and Server 2003)
• %Windows%\host.sam (on Windows 98 and ME)
• It sends the gathered information in the IP address {BLOCKED}.235.29.

ハッシュ値情報

マルウェアは、以下のMD5ハッシュ値を含んでいます。

• c10ba14abd412f63c534fa2268b8ea6f

マルウェアは、以下のSHA1ハッシュ値を含んでいます

• 8ff77e5a450cfcff0ccc24b3c2bba7f509e79c72