Trend Micro Security

TROJ_JORIK.BRU

2011年7月29日
 解析者: Karl Dominguez   

 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 感染確認数:
 システムへの影響:
 情報漏えい:


  • マルウェアタイプ: スパイウェア
  • 破壊活動の有無: なし
  • 暗号化: はい
  • 感染報告の有無: はい

  概要


トレンドマイクロは、このスパイウェアをNoteworthy(要注意)に分類しました。

スパイウェアは、ECサイト構築システム「osCommerce」を対象にし、"iframe" の挿入による大規模な改ざんの最終ペイロードです。スパイウェアは、osCommerce を用いて作成されたWebサイトの顧客からクレジットカード情報を収集します。

スパイウェアは、特定の情報を確認し、スパイウェアが仮想マシンやサンドボックスで実行されているかを検証します。スパイウェアは、特定の条件下で実行されていることを確認すると、自身を終了し削除します。

スパイウェアは、感染コンピュータのインターネットキャッシュ、クッキーおよび履歴を検索し、特定の文字列を含むWebサイトで使用されるユーザの認証情報を収集します。スパイウェアは、特定のWebサイトにアクセスし、情報を送受信します。スパイウェアは、このWebサイトから追加のファイルをダウンロードします。

スパイウェアは、実行後、自身を削除します。


  詳細

ファイルサイズ 44,032 bytes
タイプ EXE
メモリ常駐 なし
発見日 2011年7月29日
ペイロード URLまたはIPアドレスに接続

インストール

スパイウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

  • bogestvennoe_providenie

他のシステム変更

スパイウェアは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
{malware path and file name} = "{malware path and file name}:*:Enabled:ldrsoft"

情報漏えい

スパイウェアは、感染コンピュータのインターネットキャッシュ、クッキーおよび履歴を検索し、以下の文字列を含むWebサイトで使用されるユーザの認証情報を収集します。

  • fiducia.de
  • norisbank.de
  • postbank.de
  • deutsche-bank.de
  • schwab.com
  • saab.com
  • samba.com
  • abbeyinternational.com
  • almubasher.com.sa
  • alahliecorp.com
  • alahlionline.com
  • bankalbilad.com
  • alinmaonline.com
  • anb.com.sa
  • anzdirect.co.nz
  • associatedbank.com
  • boveda.banamex.com.mx
  • bmoharrisprivatebankingonline.com
  • bnycash.bankofny.com
  • ifxmanager.bnymellon.com
  • businessmanager.com
  • banking.calbanktrust.com
  • /cmserver/
  • ibanking-services.com
  • /cashplus/
  • businessbanking.cibc.com
  • cibconline.cibc.com
  • citigroup.com
  • commbiz.commbank.com.au
  • compassbank.com
  • cashanalyzer.com
  • ebanking-services.com
  • ebc_ebc1961
  • fransiplus.com
  • /cashman/
  • .efirstbank.com
  • treas-mgt.frostbank.com
  • business.hsbc.co.uk
  • businessonline.huntington.com
  • online-business.lloydstsb.co.uk
  • businessportal.mibank.com
  • webbankingforbusiness.mandtbank.com
  • banking.mashreqbank.com
  • premierview.membersunited.org
  • cashmanager.mizuhoe-treasurer.com
  • .nabconnect.nab.com.au
  • .enternetbank.com
  • northerntrust.com
  • /Common/SignOn
  • /CLKCCM/
  • /onlineserv/CM/
  • banking.postbank.de
  • .royalbank.com
  • .rbs.com/wps/portal/cb/applications
  • access.rbsm.com/logo
  • .sandyspringbank.com
  • scotiaonline.scotiabank.com
  • scotiaconnect.scotiabank.com
  • ssl.selectpayment.com
  • .svbconnect.com
  • onlinebanking.banksterling.com
  • internetbanking.suncorpbank.com.au
  • businessonline.tdbank.com
  • easywebcpo.td.com
  • passport.texascapitalbank.com
  • .nashvillecitizensbank.com
  • securentrycorp.
  • singlepoint.usbank.com
  • sso.unionbank.com
  • commercial.wachovia.com
  • /wcmfd/wcmpw/
  • wellsoffice.wellsfargo.com
  • directpay.wellsfargo.com
  • online.corp.westpac.com.au
  • webinfocus.mandtbank.com
  • baj.com.sa
  • arabi-online.net
  • cashproonline.bankofamerica.com
  • bankofthewest.com
  • barclays.co.uk
  • /pub/html/
  • cbd.ae
  • cbdibusiness.ae
  • fgb.ae
  • fransicorp.com.sa
  • mbachexpress.com
  • nbad.com
  • sabb.com
  • shbonline.com
  • standardchartered.com
  • westernunion.
  • ecocard.com
  • neteller.com

スパイウェアは、以下のWebサイトにアクセスし、情報を送受信します。

  • http://{BLOCKED}0.{BLOCKED}7.254.18/1/1.php?q=1
  • http://{BLOCKED}6.{BLOCKED}6.240.18/2/1.php?q=1

スパイウェアは、上記のWebサイトから追加のファイルをダウンロードします。

スパイウェアは、ダウンロードしたファイルを以下のように保存します。

  • %User Profile%\Application Data\{random characters}.exe

(註:%User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>"、Windows NTでは、"C:\WINNT\Profiles\<ユーザ名>"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\<ユーザ名>" です。)

その他

スパイウェアは、感染したWebサイトにユーザがアクセスするとダウンロードされます。この改ざんされたサイトに挿入された "iframe" は、リモートスクリプトを実行し、このスパイウェアをダウンロードする以下のWebサイトに誘導します。

  • http://{BLOCKED}6.{BLOCKED}6.240.18/9VBMa76FFnB4VAYu0X5j755pMiSyVrcV?s=mdacot

スパイウェアは、以下を確認し、スパイウェアが仮想マシンおよびサンドボックスで実行されているかを検証します。

  • 以下のファイルの有無
    • %System%\drivers\prleth.sys
    • %System%\drivers\hgfs.sys
    • %System%\drivers\vmhgfs.sys
    • dbghelp.dll
    • sbiedll.dll
  • 製品IDが以下のいずれかであるかの確認
    • 55274-640-2673064-23950
    • 76487-644-3177037-23510
    • 76487-337-8429955-22614
  • ユーザ名が以下であるかの確認
    • CurrentUser
  • コンピュータ名が以下であるかの確認
    • SANDBOX
  • BIOSのバージョンに以下の文字列を含むかの確認
    • VBOX

スパイウェアは、上記のいずれかの条件下で実行されていることを確認すると、自身を終了し削除します。

スパイウェアは、実行後、自身を削除します。

(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、""C:\Windows\System""、Windows NT および 2000 の場合、""C:\WinNT\System32""、Windows XP および Server 2003 の場合、""C:\Windows\System32"" です。)


  対応方法

対応検索エンジン: 8.900
初回 VSAPI パターンバージョン 8.316.13
初回 VSAPI パターンリリース日 2011年7月29日
VSAPI OPR パターンバージョン 8.317.00
VSAPI OPR パターンリリース日 2011年7月29日

手順 1

Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアのパス名およびファイル名を確認します。
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用いてウイルス検索を実行してください。「TROJ_JORIK.BRU」で検出したパス名およびファイル名を確認し、メモ等をとってください。

手順 3

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
    • {malware path and file name} = "{malware path and file name}:*:Enabled:ldrsoft"

手順 4

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %User Profile%\Application Data\{random characters}.exe

手順 5

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TROJ_JORIK.BRU」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください