銀行のログイン情報を盗む「Trojan.Spy.Banker.ABGS」研究

Delphiで作られ特殊な形式で圧縮されたマルウェアがInternet Explorerを狙う

2010年7月8日

 スパイバンカー(spy-banker)はずる賢く、用心深いマルウェアです。 セキュリティ保護を怠っているユーザがいったん実行してしまうと、 まず最初にSoftICEがそのコンピュータ上で実行されているかどうかを確認します。 SoftICEがインストールされていると、そのコンピュータには感染しません。 (SoftICEはWindowsの下層で実行されるもので、 Windows内の全てのオペレーション(マルウェアを含む)を停止できてしまうデバッガです。) このバンカーは非常に用心深いものです。

 SoftICEがシステム上で実行されていない場合は、感染活動を開始します。 まずmegatron.ini と呼ばれるファイルを作成します。 そしてシステム内にbankerが設定した内容を保管するためのフォルダを作成します。 最終的にbankerが%SYSTEM%\imglog.exe内にコピーを作成した時点で、 確実にこのシステムは感染したことがわかります。

 バンカーは、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下に 新しいエントリを作成して、起動時に%SYSTEM%\imglog.exeを追加します。 感染した実行可能なファイル(C:\WINDOWS\system32\imglog.exe)は、 SymantecFilterCheckというファイル名です。 さらに、次のような別のレジストリキーが作成されます: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings \User Agent\Post Platform

 「Trojan.Spy.Banker.ABGS」は、メールサーバー smtp.tutopia.com.brを使用して、マルウェアの作成者に電子メールを送信します。 このメッセージは、”コンピュータは感染状態で、われわれのシステムの1部になりました。”というものです!

 バンカーは、次のシステムの起動時に初期化されないように、 システムに潜伏しているかもしれない、他のマルウェアを探しリネームします。 (例:SSH2.dll, gbieh.gmd, gbiehcef.dll.) Trojan.Spy.Banker.ABGSはDLLに見せかけたテキストファイルを使用します。 この中には検索して名前を変更すべきファイル名が書かれています。

 このバンカーは起動中に、DDE (Dynamic Data Exchange)を使用する実行中の Internet Explorerインスタンスを探します。 このようなインスタンスが見つかると、spy-bankerは、銀行ログインシステムに 見せかけた偽のブラウザを開きます。 当然のことながらユーザがその画面でログインすると、ログイン情報が攻撃者の メール受信ボックスへ送信されます。

 銀行系トロイの木馬はブラジルで生み出されていますが、 このTrojan.Spy.Banker.ABGS も例にもれず、そこで制作されました。

この解析情報は、BitDefenderウィルス研究所のRobert Szaszから提供されています。

 BitDefenderに関する詳しい情報は下記をご覧ください。
 http://www.bitdefender.jp/

■BitDefender®について
 BitDefenderは、既知のウィルスを高い精度で検出するだけでなく、他社に先駆け10年前から開発を続け、精度を高めてきている高度なふるまい検知のテクノロジーB-HAVE(Behavioral Heuristic Analyzer in Virtual Environments)により、未知のウィルスを高い確率で検出できます。2009年1月のPC WORDL誌のテストでは、比較された9製品中、ふるまい検知による検出率において最高の結果となっています。その検出率の高さはEuropean IST、CSA Labs、Virus Bulletin、Checkmark、Checkvir、TUV、PC Answers、PC WORLDなど数多くのテスト機関や専門誌でリコメンド、ベストバイに選ばれるなど高い評価をいただいております。また、ウィルスだけでなく、スパムやスパイウェア、フィッシング詐欺、なりすましを防止するとともに、PCのパフォーマンスに与える影響を最小限に抑えます。

※BitDefenderでは、セキュリティ脅威や最新アップデートに関する情報を、Webサイト「MALWARECITY(マルウェア シティ)」で提供しています。 URL:http://www.malwarecity.com/(英語)

■BITDEFENDER社について
 BITDEFENDER社は、今日のコンピュータ環境の要求を満たす保護機能を提供する、世界を代表するルーマニアのセキュリティ・ソリューション・プロバイダです。180ヶ国以上で4,100万人以上の個人/企業ユーザに製品並びにサービスをお届けしています。
 http://www.bitdefender.com

■株式会社サンブリッジ ソリューションズについて
 サンブリッジ ソリューションズは、ベンチャー・ビジネス創生による豊富な経験をベースにした独自のノウハウによりベンチャー企業から大手企業まで、ビジネスの変革や新 規事業の立ち上げを強力に推進・支援する、お客様視点に徹したビジネス・サービスの提供を行っています。SaaSソリューションの開発・販売を始めとし て、様々なマーケティング活動の支援とシステム開発による実装・検証により、ビジネス・イノベーションの推進を支援しています。
 http://www.sunbridge-sol.com/

■製品に関するお問い合わせ
〒150-0013 東京都渋谷区恵比寿1-19-19 恵比寿ビジネスタワー13F 
株式会社サンブリッジ ソリューションズ
セキュリティ・インテグレーション・センター
TEL: 03-4360-6947(代)
FAX: 03-4360-4011
E-mail: sales@bitdefender.jp
URL: http://www.bitdefender.jp/ 
製品名などは一般に各社の商標または登録商標です。

©   2011 BITDEFENDER 販売元 | サイトについてのお問い合わせ | プライバシーポリシー | グローバルサイト