TSPY_FAREIT.ATY

2014年1月28日

解析者: Jimelle Monteser

別名:

PWS:Win32/Fareit.gen!C (Microsoft), Win32/PSW.Fareit.A trojan (NOD32), Trojan-PWS.Tepfer (Ikarus), W32/Tepfer.PXMO!tr.pws (Fortinet)

プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ: スパイウェア
破壊活動の有無: なし
暗号化: はい
感染報告の有無: はい

概要

感染経路 Eメール経由による侵入, インターネットからのダウンロード, 他のマルウェアからの作成

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

詳細

使用ポート TCP port 80 (World Wide Web HTTP)

ファイルサイズ 107,520 bytes

タイプ EXE

メモリ常駐なし

発見日 2014年1月20日

ペイロードファイルのダウンロード, URLまたはIPアドレスに接続, 情報収集

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

他のシステム変更

スパイウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\WinRAR
HWID = "{random hex values}"

ダウンロード活動

スパイウェアは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。

http://{BLOCKED}avvy.com/02sT2v.exe
http://{BLOCKED}ike.gr/Nfb9QY.exe
http://{BLOCKED}encantado.la/EKUCJS.exe
http://www.{BLOCKED}esttaking.com/wmhk3Ro.exe

スパイウェアは、以下のファイル名でダウンロードしたファイルを保存します。

%User Temp%\{random digit}.exe - detected as TSPY_ZBOT.ATY

(註：%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

情報漏えい

スパイウェアは、コンピュータ内に以下のFTPクライアントまたはファイルマネージャのアカウント情報が保存されている場合、これらのアカウント情報を収集します。

32BitFtp
3D-FTP
ALFTP
BitKinex
BlazeFtp
Bullet Proof FTP
ClassicFTP
CoffeeCup
COREFTP
CuteFTP 6/CuteFTP 7/CuteFTP 8
Cyberduck
DeluxeFTP
Directory Opus
EasyFTP
Epic
ExpanDrive
Far/Far2/Far Manager
FastTrackFTP
FFFTP
FileZilla
FlashFXP
Fling FTP
FreshFTP
FTP Commander
FTP Control
FTP Explorer
FTP Navigator
FTP Now
FTP Voyager
FTP++
FTPClient
FTPGetter
FTPRush
FTPshell
Ghisler’s Windows Commander and Total Commander
Global Downloader
GoFTP
LeapFTP
LeechFTP
LinasFTP
MAS-Soft
NetDrive
NetSarang
NexusFile
Notepad++
NovaFTP
PuTTY
Robo-FTP 3.7
SecureFX
Serv-U by Rhinosoft
SFTP
SiteDesigner
SmartFTP
Staff-FTP
TurboFTP
UltraFXP
Visicom Media’s AceFTP
WebDrive
WebSitePublisher
WinZIP FTP
Wise-FTP
WS_FTP
Yandex

スパイウェアは、保存されている以下のEメール認証情報を収集します。

Windows Live Mail
Windows Mail
Becky! by RimArts Inc.
Pocomail
IncrediMail
The Bat! by RITLabs.
Microsoft Outlook
Mozilla Thunderbird

スパイウェアは、以下のブラウザから、ユーザ名、パスワードやホスト名といった保存された情報を収集します。

Bromium
Chromeplus
Chromium
Comodo
FastStone
Google Chrome
K-Meleon
Microsoft Internet Explorer
Mozilla Firefox, SeaMonkey and Flock
Nichrome
Opera
Rockmelt

スパイウェアは、以下のユーザ名およびパスワードのリストを用いて、上述の情報が保存されているパスワード保護された場所にアクセスします。

123abc
123qwe
1q2w3e
1q2w3e4r
aaaaaa
abc123
adidas
admin
amanda
andrew
angel
angel1
angels
anthony
apple
asdf
asdfasdf
asdfgh
ashley
asshole
austin
baby
bailey
banana
bandit
baseball
batman
benjamin
billgates
biteme
blabla
blahblah
blessed
blessing
blink182
bubbles
buster
canada
cassie
charlie
cheese
chelsea
chicken
chris
christ
church
cocacola
compaq
computer
cookie
cool
corvette
creative
dakota
dallas
daniel
danielle
david
destiny
dexter
diamond
digital
dragon
eminem
emmanuel
enter
faith
flower
foobar
football
football1
forever
forum
freedom
friend
friends
fuckoff
fuckyou
fuckyou1
gates
gateway
genesis
george
gfhjkm
ghbdtn
ginger
god
google
grace
green
guitar
hahaha
hallo
hannah
happy
hardcore
harley
heaven
hello
hello1
helpme
hockey
hope
hotdog
hunter
ilovegod
iloveyou
iloveyou!
iloveyou1
iloveyou2
internet
james
jasmine
jason
jasper
jennifer
jessica
jesus
jesus1
john
john316
jordan
jordan23
joseph
joshua
junior
justin
killer
kitten
knight
letmein
london
looking
love
lovely
loving
lucky
maggie
master
matrix
matthew
maverick
maxwell
merlin
michael
michelle
mickey
microsoft
mike
monkey
mother
muffin
mustang
mustdie
mylove
myspace1
nathan
nicole
nintendo
none
nothing
onelove
online
orange
pass
passw0rd
password
password1
peace
peaches
peanut
pepper
phpbb
pokemon
poop
power
praise
prayer
prince
princess
purple
qazwsx
qwert
qwerty
qwerty1
rachel
rainbow
red123
richard
robert
rotimi
samantha
sammy
samuel
saved
scooby
scooter
secret
shadow
shalom
silver
single
slayer
smokey
snoopy
soccer
soccer1
sparky
spirit
startrek
starwars
stella
summer
sunshine
superman
taylor
test
testing
testtest
thomas
thunder
tigger
trinity
trustno1
victory
viper
welcome
whatever
william
windows
winner
wisdom
zxcvbnm

情報収集

スパイウェアは、HTTPポストを介して、収集した情報を以下のURLに送信します。

http://{BLOCKED}schamp.com/ponyb/gate.php
http://{BLOCKED}emiller.biz/ponyb/gate.php
http://{BLOCKED}emiller.co/ponyb/gate.php
http://{BLOCKED}emiller.info/ponyb/gate.php

対応方法

対応検索エンジン: 9.700

初回 VSAPI パターンバージョン 10.549.80

初回 VSAPI パターンリリース日 2014年1月20日

VSAPI OPR パターンバージョン 10.550.00

VSAPI OPR パターンリリース日 2014年1月20日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

「TSPY_FAREIT.ATY」が作成またはダウンロードした不正なファイルを削除します。

TSPY_ZBOT.ATY

手順 3

このレジストリ値を削除します。

[ 詳細 ]

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

In HKEY_CURRENT_USER\Software\WinRAR
- HWID = "{random hex values}"

手順 4

最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TSPY_FAREIT.ATY」と検出したファイルはすべて削除してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

ご利用はいかがでしたか？　アンケートにご協力ください