Your browser is obsolete!

The page may not load correctly.

無料トライアル版
Dr.Web for Android

Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.com:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

Doctor Web、新たなバンキング型トロイの木馬を発見

2017年2月13日

株式会社Doctor Web Pacific


バンキング型トロイの木馬は様々な金融機関の口座から直接金銭を盗むことができるため、企業と個人の両方にとって深刻な脅威となっています。この度、Windowsユーザーを脅かす新たなバンキング型トロイの木馬がDoctor Webのスペシャリストによって発見されました。

Trojan.PWS.Sphinx.2 と名付けられたこのトロイの木馬は、また別のバンキング型トロイの木馬であるZeus( Trojan.PWS.Panda )のソースコードを基に作成されています。その主な目的はウェブインジェクションで、ユーザーが閲覧した全てのウェブページ上に任意のコンテンツを挿入します。その例として、ユーザーにログインとパスワードを入力させた後、それらの情報をサイバー犯罪者に送信する偽の入力フォームが挙げられます。インターネットリソースのURL やデザインは本物と同じものを使用し、偽のフォームやテキストは感染したコンピューター上で開かれたウェブページ内に直接追加されるため、多くの場合ユーザーは置き換えに気が付きません。バンキング型トロイの木馬はウェブインジェクションを実行するための情報をC&Cサーバーから直接取得するため、多くのクレジットカード会社の利用者に被害を与えることが可能です。 Trojan.PWS.Sphinx.2 の設定ファイル内に既に追加されているアドレスを持ったウェブサイトにユーザーがログインすると、サイバー犯罪者によって用意されたコンテンツが挿入されます。以下の画像は Trojan.PWS.Sphinx.2 によってbankofamerica.com内に挿入されたコードの例です。

screen Trojan.PWS.Sphinx.2 #drweb

起動されると、 Trojan.PWS.Sphinx.2 はExplorer(explorer.exe)の動作中のプロセス内に自身を挿入し、ローダーの本体と、C&Cサーバーのアドレスおよび暗号化キーが隠された設定ファイルを復号化します。 Trojan.PWS.Sphinx.2 はモジュラー構造を持っています。すなわち、サイバー犯罪者のサーバーに対して追加のプラグインを要求します。モジュールのうち2つは32ビット版および64ビット版のWindows上でウェブインジェクションを実行するよう設計され、その他2つのモジュールは感染したコンピューターに接続するためにサイバー犯罪者が使用するVNCサーバーを起動させるよう設計されています。また、 Trojan.PWS.Sphinx.2 は感染させたコンピューター上に、ルート証明書をインストールするための一連のユーティリティをダウンロード・保存します。これを使用することで、サイバー犯罪者はMITM(man-in-the-middle)攻撃(中間者攻撃)を実行することが可能になります。さらに、このトロイの木馬には、ユーザーが様々なフォームに入力したデータを横取りし、それらをサイバー犯罪者へ送信するモジュールであるグラバーが備わっています。

そのほか、感染したコンピューター上で Trojan.PWS.Sphinx.2 が自身を自動的に起動させるユニークな方法にも注目する必要があります。このトロイの木馬はPHPスクリプトとPHPインタプリタを使用します。ショートカット経由でスクリプトが実行され、トロイの木馬によって自動実行フォルダ内に置かれます。トロイの木馬の動作に必要な全ての情報は暗号化され、Windowsシステムレジストリ内に保存されています。モジュールはランダムな拡張子を付けて個別のファイルに保存され、それらもまた暗号化されています。

Dr.Webのアンチウイルスは Trojan.PWS.Sphinx.2 を検出・削除することができます。 したがって、Dr.Webユーザーに危害が及ぶことはありません。

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2017

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific〒210-0005神奈川県川崎市川崎区東田町1-2いちご川崎ビル 2F