• Email
• Facebook
• Twitter
• Google+
• Linkedin

TSPY_FAREIT.GHN

---

• マルウェアタイプ: スパイウェア
• 破壊活動の有無: なし
• 暗号化: はい
• 感染報告の有無: はい

---

  概要

スパイウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。

スパイウェアは、ワーム活動の機能を備えていません。

スパイウェアは、バックドア活動の機能を備えていません。

---

  詳細

侵入方法

スパイウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。

他のシステム変更

スパイウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\WinRAR
HWID = "{random value}"

感染活動

スパイウェアは、ワーム活動の機能を備えていません。

バックドア活動

スパイウェアは、バックドア活動の機能を備えていません。

ダウンロード活動

スパイウェアは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。

• http://{BLOCKED}-cdn-node.com/6.exe
• http://{BLOCKED}-cdn-node.com/1.exe

スパイウェアは、以下のファイル名でダウンロードしたファイルを保存します。

• %User Temp%\{random digit}.exe - detected as TROJ_FAKEAV.GHN

(註：%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

情報漏えい

スパイウェアは、コンピュータ内に以下のFTPクライアントまたはファイルマネージャのアカウント情報が保存されている場合、これらのアカウント情報を収集します。

• FTPRush
• WebSitePublisher
• BitKinex
• ExpanDrive
• ClassicFTP
• Fling FTP
• Directory Opus
• CoffeeCup Software
• LeapWare
• WinSCP
• 32BitFtp
• NetDrive
• WebDrive
• AceBIT
• FTPVoyager
• RhinoSoft
• LeechFTP
• Odin Secure FTP Expert
• WinFTP
• FTPGetter
• ALFTP
• DeluxeFTP
• Staff-FTP
• AceFTP
• FreshFTP
• BlazeFtp
• EasyFTP
• NetSarang
• FTPNow
• LinasFTP
• PuTTY
• NppFTP
• FTPShell
• MAS-Soft FTPInfo
• NexusFile
• My FTP
• NovaFTP
• Robo-FTP 3.7
• Cyberduck
• FarManager
• Ghisler
• WS_FTP
• GlobalSCAPE CuteFTP 6 Home
• GlobalSCAPE CuteFTP 6 Professional
• GlobalSCAPE CuteFTP 7 Home
• GlobalSCAPE CuteFTP 7 Professional
• GlobalSCAPE CuteFTP 8 Home
• GlobalSCAPE CuteFTP 8 Professional
• GlobalSCAPE CuteFTP
• GlobalSCAPE CuteFTP Pro
• GlobalSCAPE CuteFTP Lite
• FlashFXP
• FileZilla
• FTP Navigator
• FTP Commander
• BulletProof FTP
• SmartFTP
• TurboFTP
• FFFTP
• FTPWare
• FTP Explorer
• UltraFXP
• SecureFX
• UltraFXP

スパイウェアは、上述のFTPクライアントおよびファイルマネージャのいずれかから、以下のアカウント情報を収集します。

• Password
• User ID
• Server Type
• Server Name
• Port Number
• Directory List

スパイウェアは、以下から保存されたEメールの認証情報を収集します。

• Windows Live Mail
• Windows Mail
• Pocomail
• IncrediMail
• BatMail
• Outlook
• ThunderBird

スパイウェアは、以下のブラウザから、ユーザ名、パスワードやホスト名といった保存された情報を収集します。

• Opera
• Mozilla Firefox
• SeaMonkey
• Flock
• Google Chrome
• Chromium
• ChromePlus
• Bromium
• Nichrome
• Comodo
• RockMelt
• K-Meleon
• Epic Browser
• FastStone Browser

情報収集

スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

• http://{BLOCKED}-cdn-node.com/gate.php
• http://{BLOCKED}-cdn-node.com/gate.php

その他

スパイウェアは、以下のWebサイトにアクセスしてインターネット接続を確認します。

• http://www.facebook.com
• http://www.bing.com
• http://www.google.com

スパイウェアは、上述の情報が保存されているディレクトリがパスワードで保護されている場合、以下のユーザ名およびパスワードのリストを用いてアクセスします。

• password
• phpbb
• qwerty
• jesus
• abc123
• letmein
• test
• love
• password1
• hello
• monkey
• dragon
• trustno1
• iloveyou
• shadow
• christ
• sunshine
• master
• computer
• princess
• tigger
• football
• angel
• jesus1
• whatever
• freedom
• killer
• asdf
• soccer
• superman
• michael
• cheese
• internet
• joshua
• fuckyou
• blessed
• baseball
• starwars
• purple
• jordan
• faith
• summer
• ashley
• buster
• heaven
• pepper
• hunter
• lovely
• andrew
• thomas
• angels
• charlie
• daniel
• jennifer
• single
• hannah
• qazwsx
• happy
• matrix
• pass
• aaaaaa
• amanda
• nothing
• ginger
• mother
• snoopy
• jessica
• welcome
• pokemon
• iloveyou1
• mustang
• helpme
• justin
• jasmine
• orange
• testing
• apple
• michelle
• peace
• secret
• grace
• william
• iloveyou2
• nicole
• muffin
• gateway
• fuckyou1
• asshole
• hahaha
• poop
• blessing
• blahblah
• myspace1
• matthew
• canada
• silver
• robert
• forever
• asdfgh
• rachel
• rainbow
• guitar
• peanut
• batman
• cookie
• bailey
• soccer1
• mickey
• biteme
• hello1
• eminem
• dakota
• samantha
• compaq
• diamond
• taylor
• forum
• john316
• richard
• blink182
• peaches
• cool
• flower
• scooter
• banana
• james
• asdfasdf
• victory
• london
• 123qwe
• startrek
• george
• winner
• maggie
• trinity
• online
• 123abc
• chicken
• junior
• chris
• passw0rd
• austin
• sparky
• admin
• merlin
• google
• friends
• hope
• shalom
• nintendo
• looking
• harley
• smokey
• joseph
• lucky
• digital
• thunder
• spirit
• bandit
• enter
• anthony
• corvette
• hockey
• power
• benjamin
• iloveyou!
• 1q2w3e
• viper
• genesis
• knight
• qwerty1
• creative
• foobar
• adidas
• rotimi
• slayer
• wisdom
• praise
• zxcvbnm
• samuel
• mike
• dallas
• green
• testtest
• maverick
• onelove
• david
• mylove
• church
• friend
• god
• destiny
• none
• microsoft
• bubbles
• cocacola
• jordan23
• ilovegod
• football1
• loving
• nathan
• emmanuel
• scooby
• fuckoff
• sammy
• maxwell
• jason
• john
• 1q2w3e4r
• baby
• red123
• blabla
• prince
• qwert
• chelsea
• angel1
• hardcore
• dexter
• saved
• hallo
• jasper
• danielle
• kitten
• cassie
• stella
• prayer
• hotdog
• windows
• mustdie
• gates
• billgates
• ghbdtn
• gfhjkm
• cryptimplus

スパイウェアは、ルートキット機能を備えていません。

スパイウェアは、脆弱性を利用した感染活動を行いません。

スパイウェアがダウンロードし、以下のように保存するファイルは、「TROJ_FAKEAV.GHN」として検出されます。

• %User Temp%\＜ランダムな数値＞.exe

スパイウェアが、上述のFTPクライアントおよびファイルマネージャのいずれかから収集するアカウント情報は、以下のとおりです。

• パスワード
• ユーザID
• サーバタイプ
• サーバ名
• ポート番号
• ディレクトリのリスト

---

  対応方法

ご利用はいかがでしたか？　アンケートにご協力ください