-- 2004年6月30日更新 --
・危険度を[低(要注意)]に変更しました。
・PWS-WebMoney.genはパスワードを盗み出すトロイの木馬で、銀行詐欺が絡んでいると報告されています。複数のコンポーネントを使用して、ターゲットマシンにPWS-WebMoney.genをインストールします。
- まず、Exploit-HmtRedirを使用して、Popup Adserverを乗っ取ります。
- Exploit-HtmRedirは、CHMファイル(Keylog-Lodisとして検出)をロードします。このファイルには、Exploit-MhtRedirのもう1つのインスタンスを含むHTMLコンテンツが格納されています。
- このファイルを使用して、ダウンローダ型トロイの木馬(特定のウイルス定義ファイルでDownloader-HWとして検出)を実行し、パスワードを盗み出すPWS-WebMoney.genトロイの木馬をダウンロードしてインストールします。
・この場合、ターゲットマシンにインストールされるPWS-WebMoney.genは、Browser Helper Object(BHO)DLLになります。
- IEHOOK.DLL(49,040バイト)
・Internet Explorerが起動時にIEHOOK.DLLを(他のおそらく合法的なBHOと一緒に)ロードするよう、システムレジストリが改変されます。
・インストール後、PWS-WebMoney.genは、特に銀行のサイトに送信されるHTTPSセッションからデータを収集します。以下の文字列を含むドメインがターゲットになります。
- .anz.com
- .bendigobank.com.au
- .citibank.com
- .citibank.de
- .commbank.com.au
- .dab-bank.com
- .deutsche-bank.de
- .e-gold.com
- .hsbc.com.au
- .hsbc.com.hk
- .online-banking.standardchartered.com.hk
- .sparkasse-banking.de
- .stgeorge.com.au
- banking.lbbw.de
- banking.mashreqbank.com
- banknetpower.net
- barclays.co.uk
- cd.citibank.co.ae
- cibconline.cibc.com
- citibank.com.au
- dit-online.de
- easyweb.tdcanadatrust.com
- ebank.uae.hsbc.com
- ekocbank.kocbank.com.tr
- hercules.pamukbank.com.tr
- internetsube.akbank.com.tr
- lloydstsb.co.uk
- national.com.au
- nbd.ae
- online.nbad.com
- online-banking.standardchartered.ae
- pbg1.edc.citiaccess.com
- standardchartered.com
- suncorpmetway.com.au
- westpac.com.au
- www.alahlionline.com
- www.almubasher.com.sa
- www.arabi-online.com
- www.cbdonline.ae
- www.citibank.com.hk
- www.dahsing.com
- www.ebank.iba.com.hk
- www.privatebank.citibank.com.sg
- www.sabbnet.com
- www.samba.com
- www.scotiaonline.scotiabank.com
- www.unb.com
- www1.bmo.com
- www1.royalbank.com
・収集されたデータは、リモートサーバに格納されたスクリプトによって、HTTPを介して送信され、処理されます。
・よって、管理者は上記のドメインへのHTTPアクセスを遮断する必要があります。
一般的な特徴
・この種のトロイの木馬は、ターゲットユーザがオンラインバンキングサービスへのアクセス中に入力したデータを記録する、キーロギングおよびデータ収集を行うDLLとして検出されます。
・複数の悪質なキーロギングを行うトロイの木馬が検出される可能性があります。検出を最適化するため、最新のエンジンとウイルス定義ファイルを使用し、圧縮ファイルのスキャンを有効にしてください(デフォルトのオプション)。
・キーロガーがターゲットにするデータはさまざまです。一般的に、オンラインバンキングまたは金融サービスに関連する文字列を含むタイトルのウィンドウで入力された、以下のような文字が記録されます。
- webmoney(BackDoor-CAYの場合)
- paypal
- e-gold
- moneykeeper(PWS-MoneyKeeperの場合)
一般的に、このようなセッションで記録されたキー入力データには、以下のような機密データが含まれます。
- ユーザの資格情報(ユーザ名、パスワード)
- 口座番号
- カード番号
・記録されたデータは、一般的にはSMTPまたはHTTPを介して、ハッカーに返送されます(正確な方法は異なります)。
・感染が疑われる場合は、www.webimmune.netでサンプルを提出してください。
