キヤノンITソリューションズ株式会社 閉じる

ウイルス情報  
最新ウイルス定義ファイルバージョン : 12381
(2015/10/09 17:02)

最新ウイルス情報 : Win32/Spy.Banker.QEP
公開日:2012年11月30日
このウイルスに関する危険度 :■■■□□

定義名称 Win32/Spy.Banker.QEP
シグネチャ検査による結果だった場合 Win32/Spy.Banker.QEP
種別 トロイの木馬
アドバンスドヒューリスティック検査による結果だった場合 このオリジナルのトロイを利用した新種、亜種が検出された場合は、「NewHeur_PE」もしくは「Win32/Spy.Banker.QEP トロイの木馬の亜種」という名称で警告が出ます。
対応時期 バージョン3775(20090118)以降
影響を受けるプラットフォーム Microsoft Windows
概要 このトロイの木馬は、個人情報を盗み出してリモートのコンピューターに送信しようとします。UPXを使用して実行ファイルが圧縮されています。詳しい活動内容については、解説欄をご参照ください。

検出した場合の対処方法

常駐監視を行っている各検査プログラムによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windowsのシステムの復元により修復しなければならない可能性があります。

対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。

解説での表記(用語)について

以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir%と表記しており、インストール時の設定により異なる場合があります。%windir%のサブディレクトリである"System"や"System32"は%system%と表記しています。

解説


■侵入(インストレーション)について
このトロイの木馬は、実行時に自身を次の場所にコピーします。

%localappdata%\ctfmow.exe


システムが起動するたびに実行されるよう、次のレジストリーエントリーを登録します。

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]


次のレジストリーエントリーを作成します。

[HKEY_CURRENT_USER\EnganarAVG]
[HKEY_CURRENT_USER\Virusinicializar]


次のレジストリーエントリーを登録します。

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
[HKEY_CURRENT_USER\Software\Sysinternals\PsKill]
[HKEY_CURRENT_USER\Software\Sysinternals\PsExec]


次のファイルを作成します。

C:\windows\Key_RevoltadoNova


次のファイルを作成する場合があります。

C:\Morre.exe (187184 B)
C:\System.exe (303616 B)
C:\Permissao.exe (234536 B)
C:\registros.reg (8944 B)
C:\setreg.cmd (527 B)


■情報の取得
このトロイの木馬は個人情報を盗み出します。

特定のサイトへのアクセスに使用された情報を収集します。

次のアプリケーションの動作に影響を及ぼします。

Internet Explorer
Mozilla Firefox
Google Chrome


タイトルに次の文字列のいずれかが含まれているウィンドウを探します。

Banco Itau - Feito Para Voce - Google Chrome
Banco Itau - Feito Para Voce - Microsoft Internet Explorer
Banco Itau - Feito Para Voce - Mozilla Firefox
Banco Itau - Feito Para Voce - Windows Internet Explorer
Bradesco - Google Chrome
Bradesco - Microsoft Internet Explorer
Bradesco - Mozilla Firefox
Bradesco - Windows Internet Explorer
Bradesco Pessoa Juridica - Microsoft Internet Explorer
Bradesco Pessoa Juridica - Windows Internet Explorer
Credicard - Google Chrome
Credicard - Mozilla Firefox
Entrar - Google Chrome
Entrar - Microsoft Internet Explorer
Entrar - Mozilla Firefox
Entrar - PayPal - Google Chrome
Entrar - PayPal - Microsoft Internet Explorer
Entrar - PayPal - Mozilla Firefox
Entrar - PayPal - Windows Internet Explorer
Entrar - Windows Internet Explorer
HSBC Bank Brasil S.A. - Banco Multiplo - Google Chrome
HSBC Bank Brasil S.A. - Banco Multiplo - Mozilla Firefox
Hotmail
SICREDI Total Internet - Windows Internet Explorer
Sicredi Total Internet - Microsoft Internet Explorer
Sicredi Total Internet - Windows Internet Explorer
Uniclass - Itau Uniclass - Google Chrome
Uniclass - Itau Uniclass - Internet Explorer
Uniclass - Itau Uniclass - Microsoft Internet Explorer
Uniclass - Itau Uniclass - Mozilla Firefox
Uniclass - Itau Uniclass - Windows Internet Explorer
[bb.com.br] - Mozilla Firefox


Internet Explorerが次のサイトへのアクセスに使用されているときにさまざまな情報を収集します。

banrisul.com.br/brb/
facebook.com/
http://www.itau.com.br/index.htm
http://www.santanderempresarial.com.br/
https://accounts.google.com/ServiceLogin
https://www.credicard.com.br/BRGCB/JSO/signon/DisplayUsernameSignon.do
https://www2.bancobrasil.com.br/aapf/login.jsp?aapf.IDH=sim&perfil=1
https://wwws3.hsbc.com.br/ITE/common/html/hsbc-online.shtml
itau.com.br/itaucard/
serasaexperian.com.br
sicreditotal.com.br


次の偽のダイアログボックスを表示します。



このマルウェアの目的は、ユーザーに個人情報を入力させることです。

次の情報を収集します。

特定のアプリケーション/サービスのログインユーザー名
特定のアプリケーション/サービスのログインパスワード
コンピューター名
ボリュームシリアルナンバー
ネットワークアダプター情報


収集された情報は次のファイルに保存されます。

c:\%computername%.txt


収集した情報をリモートのコンピューターに送信しようとします。

7つのURLを保持しています。通信にはHTTPプロトコルとFTPプロトコルが使用されます。

■その他の情報
このトロイの木馬は、次の命令を実行します。

cmd /k del "C:\Arquivos de programas\GbPlugin\." /q
cmd /k rd "%ProgramFiles%\GbPlugin"
cmd /k del "C:\Program Files (x86)\GbPlugin\." /q
cmd /k rd "C:\Program Files (x86)\GbPlugin"


次の命令を実行する場合があります。

net.exe stop sharedaccess
netsh advfirewall set currentprofile state off
cmd /k regedit /s c:\registros.reg
cmd /k taskkill -f /im GbpSv.exe /im explorer.exe
cmd /k c:\Permissao.exe -i -s c:\setreg.cmd
cmd /k c:\Morre.exe -t winlogon.exe


次のファイルを削除する場合があります。

C:\Arquivos de programas\GbPlugin\gbiehcef.dll
C:\Program Files (x86)\GbPlugin\gbiehcef.dll
C:\Arquivos de programas\GbPlugin\gbieh.dll
C:\Program Files (x86)\GbPlugin\gbieh.dll
C:\Arquivos de programas\GbPlugin\gbiehabn.dll
C:\Program Files (x86)\GbPlugin\gbiehabn.dll
C:\Arquivos de programas\GbPlugin\gbiehuni.dll
C:\Program Files (x86)\GbPlugin\gbiehuni.dll
C:\Arquivos de programas\Scpad\scpsssh2.dll
C:\Program Files (x86)\Scpad\scpsssh2.dll
C:\Arquivos de programas\GbPlugin\gbiehscd.dll
C:\Program Files (x86)\GbPlugin\gbiehscd.dll
C:\registros.reg
C:\setreg.cmd
C:\Morre.exe
C:\Permissao.exe
C:\System.exe


次のレジストリーを削除する場合があります。

[HKEY_CLASSES_ROOT\CLSID\{2E3C3651-B19C-4DD9-A979-901EC3E930AF}]
[HKEY_CLASSES_ROOT\CLSID\{3F888695-9B41-4B29-9F44-6B560E464A16}]
[HKEY_CLASSES_ROOT\CLSID\{AF45043F-819C-47CC-9B37-94DBE50A6E63}]
[HKEY_CLASSES_ROOT\CLSID\{C41A1C0E-EA6C-11D4-B1B8-444553540000}]
[HKEY_CLASSES_ROOT\CLSID\{C41A1C0E-EA6C-11D4-B1B8-444553540003}]
[HKEY_CLASSES_ROOT\CLSID\{C41A1C0E-EA6C-11D4-B1B8-444553540007}]
[HKEY_CLASSES_ROOT\CLSID\{C41A1C0E-EA6C-11D4-B1B8-444553540008}]
[HKEY_CLASSES_ROOT\CLSID\{C41A1C0E-EA6C-11D4-B1B8-444553540011}]
[HKEY_CLASSES_ROOT\CLSID\{DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931}]
[HKEY_CLASSES_ROOT\CLSID\{E37CB5F0-51F5-4395-A808-5FA49E399003}]
[HKEY_CLASSES_ROOT\CLSID\{E37CB5F0-51F5-4395-A808-5FA49E399007}]
[HKEY_CLASSES_ROOT\CLSID\{E37CB5F0-51F5-4395-A808-5FA49E399008}]
[HKEY_CLASSES_ROOT\CLSID\{E37CB5F0-51F5-4395-A808-5FA49E399011}]
[HKEY_CLASSES_ROOT\CLSID\{E37CB5F0-51F5-4395-A808-5FA49E399F83}]
[HKEY_CLASSES_ROOT\Gbieh.GbIehObj.1]
[HKEY_CLASSES_ROOT\Gbieh.GbIehObj]
[HKEY_CLASSES_ROOT\Gbieh.GbPluginObj.1]
[HKEY_CLASSES_ROOT\Gbieh.GbPluginObj]
[HKEY_CLASSES_ROOT\GbpDist.GbpDistObj.1]
[HKEY_CLASSES_ROOT\GbpDist.GbpDistObj]
[HKEY_CLASSES_ROOT\Interface\{7827CCC3-0DEB-4CFB-911C-AA777C8826EA}]
[HKEY_CLASSES_ROOT\Interface\{C41A1C0D-EA6C-11D4-B1B8-444553540000}]
[HKEY_CLASSES_ROOT\TypeLib\{04978612-A774-406D-AF1B-F44E2838D72A}]
[HKEY_CLASSES_ROOT\TypeLib\{6B71634C-5867-4D85-BFFE-DF1C322F8B96}]
[HKEY_CLASSES_ROOT\TypeLib\{9CA261C7-D518-4987-B434-10A1B243C8B8}]
[HKEY_CLASSES_ROOT\TypeLib\{AD764BE6-87A7-46A1-8C55-A712D079E749}]
[HKEY_CLASSES_ROOT\TypeLib\{C41A1C01-EA6C-11D4-B1B8-444553540000}]
[HKEY_CLASSES_ROOT\TypeLib\{C41A1C01-EA6C-11D4-B1B8-444553540003}]
[HKEY_CLASSES_ROOT\TypeLib\{C41A1C01-EA6C-11D4-B1B8-444553540007}]
[HKEY_CLASSES_ROOT\TypeLib\{C41A1C01-EA6C-11D4-B1B8-444553540008}]
[HKEY_CLASSES_ROOT\TypeLib\{C41A1C01-EA6C-11D4-B1B8-444553540011}]
[HKEY_CURRENT_CONFIG\System\CurrentControlSet\Enum\ROOT\LEGACY_GBPSV]
[HKEY_CURRENT_USER\Software\GbPlugin]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2E3C3651-B19C-4DD9-A979-901EC3E930AF}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3F888695-9B41-4B29-9F44-6B560E464A16}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A3717295-941D-416F-9384-ED1736729F1C}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AF45043F-819C-47CC-9B37-94DBE50A6E63}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C41A1C0E-EA6C-11D4-B1B8-444553540000}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C41A1C0E-EA6C-11D4-B1B8-444553540003}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C41A1C0E-EA6C-11D4-B1B8-444553540007}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C41A1C0E-EA6C-11D4-B1B8-444553540008}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C41A1C0E-EA6C-11D4-B1B8-444553540011}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E37CB5F0-51F5-4395-A808-5FA49E399003}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E37CB5F0-51F5-4395-A808-5FA49E399007}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E37CB5F0-51F5-4395-A808-5FA49E399008}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E37CB5F0-51F5-4395-A808-5FA49E399011}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E37CB5F0-51F5-4395-A808-5FA49E399F83}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Gbieh.GbIehObj.1]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Gbieh.GbIehObj]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Gbieh.GbPluginObj.1]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Gbieh.GbPluginObj]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\GbpDist.GbpDistObj.1]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\GbpDist.GbpDistObj]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{7827CCC3-0DEB-4CFB-911C-AA777C8826EA}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{C41A1C0D-EA6C-11D4-B1B8-444553540000}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{04978612-A774-406D-AF1B-F44E2838D72A}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{6B71634C-5867-4D85-BFFE-DF1C322F8B96}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{9CA261C7-D518-4987-B434-10A1B243C8B8}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{AD764BE6-87A7-46A1-8C55-A712D079E749}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C41A1C01-EA6C-11D4-B1B8-444553540000}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C41A1C01-EA6C-11D4-B1B8-444553540003}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C41A1C01-EA6C-11D4-B1B8-444553540007}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C41A1C01-EA6C-11D4-B1B8-444553540008}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C41A1C01-EA6C-11D4-B1B8-444553540011}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\GbPluginAbn]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\GbPluginBb]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\GbPluginCef]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\GbPluginScd]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\GbPluginUni]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\\indows NT\CurrentVersion\Winlogon\Notify\GbPluginBb]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\GbPluginCef]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C41A1C0E-EA6C-11D4-B1B8-444553540000}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{E37CB5F0-51F5-4395-A808-5FA49E399F83}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls\C:\WINDOWS\system32\scpLIB.dll]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls\C:\WINDOWS\system32\scpMIB.dll]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls\C:\WINDOWS\system32\scpsssh2.dll]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{E37CB5F0-51F5-4395-A808-5FA49E399F83}]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_GBPKM]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_GBPSV]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_GBPSV]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Hardware Profiles\Current\System\CurrentControlSet\Enum\ROOT\LEGACY_GBPSV]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GbpKm]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GbpSv]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_GBPSV]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_GBPSV]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\GbpKm]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\GbpSv]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GBPKM]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GBPSV]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_GBPSV]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\Current\System\CurrentControlSet\Enum\ROOT\LEGACY_GBPSV]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GbpKm]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GbpSv]
[HKEY_USERS\S-1-5-21-854245398-1708537768-2147221027-1003\Software\GbPlugin]


オペレーティングシステムを再起動させる場合があります。


このページのトップへ

(C)Canon IT Solutions Inc.