TSPY_FAREIT.LK

2014年9月17日

更新者 : Vincent Martin Hermosura

別名:

W32/Trojan3.KSW (Authentium), Trojan.Zbot.ILS (Bitdefender), W32/Agent.AIXF!tr (Fortinet), W32/Trojan3.KSW (exact) (Fprot), Trojan-Spy.Agent (Ikarus), Win32/PSW.Fareit.A trojan (Esset)

プラットフォーム:

Windows

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ: スパイウェア
破壊活動の有無: なし
暗号化: はい
感染報告の有無: はい

概要

感染経路インターネットからのダウンロード, 他のマルウェアからの作成

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ただし、情報公開日現在、このWebサイトにはアクセスできません。スパイウェアは、実行後、自身を削除します。

詳細

使用ポート TCP port 80 (World Wide Web HTTP)

ファイルサイズ 116,736 bytes

タイプ EXE

メモリ常駐なし

発見日 2014年9月16日

ペイロード情報収集

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、以下のファイルを作成し実行します。

%User Temp%\{random numbers}.bat

(註：%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

他のシステム変更

スパイウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\WinRAR
Client Hash = "{random hex values}"

HKEY_CURRENT_USER\Software\WinRAR
HWID = "{random hex values}"

情報漏えい

スパイウェアは、コンピュータ内に以下のFTPクライアントまたはファイルマネージャのアカウント情報が保存されている場合、これらのアカウント情報を収集します。

32BitFtp
3D-FTP
AceBIT
AceFTP
ALFTP
BitKinex
BlazeFtp
BulletProof FTP
ClassicFTP
CoffeeCup
CoffeeCup Software
COREFTP
CuteFTP 6/CuteFTP 7/CuteFTP 8
Cyberduck
DeluxeFTP
Directory Opus
EasyFTP
Epic
ExpanDrive
Far/Far2/Far Manager
FarManager
FastTrackFTP
FFFTP
FileZilla
FlashFXP
Fling FTP
FreshFTP
FTP Commander
FTP Control
FTP Explorer
FTP Navigator
FTP Now
FTP Voyager
FTP++
FTPClient
FTPGetter
FTPNow
FTPRush
FTPShell
FTPVoyager
FTPWare
Ghisler
Ghisler’s Windows Commander and Total Commander
Global Downloader
GlobalSCAPE CuteFTP
GlobalSCAPE CuteFTP 6 Home
GlobalSCAPE CuteFTP 6 Professional
GlobalSCAPE CuteFTP 7 Home
GlobalSCAPE CuteFTP 7 Professional
GlobalSCAPE CuteFTP 8 Home
GlobalSCAPE CuteFTP 8 Professional
GlobalSCAPE CuteFTP Lite
GlobalSCAPE CuteFTP Pro
GoFTP
GPSoftwareDirectory Opus
INSoftwareNovaFTP*.*
Ipswitch
LeapFTP
LeapWare
LeechFTP
LinasFTP
Martin Prikryl
MAS-Soft
MAS-Soft FTPInfo
My FTP
NCH Software Classic FTP
NetDrive
NetSarang
NexusFile
Nico Mak Computing WinZip FTP
Notepad++
NovaFTP
NppFTP
Odin Secure FTP Expert
PuTTY
RhinoSoft
Robo-FTP 3.7
SecureFX
Serv-U by Rhinosoft
SFTP
SiteDesigner
SmartFTP
Staff-FTP
TurboFTP
UltraFXP
Visicom Media’s AceFTP
WebDrive
WebSitePublisher
WinFTP
WinSCP
WinZIP FTP
Wise-FTP
WS_FTP
Yandex

スパイウェアは、上述のFTPクライアントおよびファイルマネージャのいずれかから、以下のアカウント情報を収集します。

Password
User ID
Server Type
Server Name
Port Number
Directory List

スパイウェアは、保存されている以下のEメール認証情報を収集します。

Windows Live Mail
Windows Mail
Becky! by RimArts Inc.
Pocomail
IncrediMail
The Bat! by RITLabs.
Microsoft Outlook

スパイウェアは、以下のブラウザから、ユーザ名、パスワードやホスト名といった保存された情報を収集します。

Bromium
Chromeplus
Chromium
Comodo
FastStone
Google Chrome
K-Meleon
Microsoft Internet Explorer
Mozilla Firefox, SeaMonkey,Thunderbird and Flock
Nichrome
Opera
Rockmelt
Epic Browser

スパイウェアは、以下のユーザ名およびパスワードのリストを用いて、上述の情報が保存されているパスワード保護された場所にアクセスします。

123abc
123qwe
1q2w3e
1q2w3e4r
aaaaaa
abc123
adidas
admin
amanda
andrew
angel
angel1
angels
anthony
apple
asdf
asdfasdf
asdfgh
ashley
asshole
austin
baby
bailey
banana
bandit
baseball
batman
benjamin
billgates
biteme
blabla
blahblah
blessed
blessing
blink182
bubbles
buster
canada
cassie
charlie
cheese
chelsea
chicken
chris
christ
church
cocacola
compaq
computer
cookie
cool
corvette
creative
cryptimplus
dakota
dallas
daniel
danielle
david
destiny
dexter
diamond
digital
dragon
eminem
emmanuel
enter
faith
flower
foobar
football
football1
forever
forum
freedom
friend
friends
fuckoff
fuckyou
fuckyou1
gates
gateway
genesis
george
gfhjkm
ghbdtn
ginger
god
google
grace
green
guitar
hahaha
hallo
hannah
happy
hardcore
harley
heaven
hello
hello1
helpme
hockey
hope
hotdog
hunter
ilovegod
iloveyou
iloveyou!
iloveyou1
iloveyou2
internet
james
jasmine
jason
jasper
jennifer
jessica
jesus
jesus1
john
john316
jordan
jordan23
joseph
joshua
junior
justin
killer
kitten
knight
letmein
london
looking
love
lovely
loving
lucky
maggie
master
matrix
matthew
maverick
maxwell
merlin
michael
michelle
mickey
microsoft
mike
monkey
mother
muffin
mustang
mustdie
mylove
myspace1
nathan
nicole
nintendo
none
nothing
onelove
online
orange
pass
passw0rd
password
password1
peace
peaches
peanut
pepper
phpbb
pokemon
poop
power
praise
prayer
prince
princess
purple
qazwsx
rachel
rainbow
red123
richard
robert
rotimi
samantha
sammy
samuel
saved
scooby
scooter
secret
shadow
shalom
silver
single
slayer
smokey
snoopy
soccer
soccer1
sparky
spirit
startrek
starwars
stella
summer
sunshine
superman
taylor
test
testing
testtest
thomas
thunder
tigger
trinity
trustno1
victory
viper
welcome
whatever
william
windows
winner
wisdom
zxcvbnm
qwert
qwerty
qwerty1

情報収集

スパイウェアは、HTTPポストを介して、収集した情報を以下のURLに送信します。

http://{BLOCKED}game.su/bitrix/modules.php

その他

ただし、情報公開日現在、このWebサイトにはアクセスできません。

スパイウェアは、実行後、自身を削除します。

対応方法

対応検索エンジン: 9.700

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム（OS）の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル／フォルダ／レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 3

このレジストリ値を削除します。

[ 詳細 ]

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

In HKEY_CURRENT_USER\Software\WinRAR
- HWID = "{random values}"
In HKEY_CURRENT_USER\Software\WinRAR
- Client Hash = "{random values}"

手順 4

最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TSPY_FAREIT.LK」と検出したファイルはすべて削除してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

ご利用はいかがでしたか？　アンケートにご協力ください