• TOP
  • >
  • 最新ウイルス情報 【情報漏洩を発生させる危険なウイルス】

最新ウイルス情報 【情報漏洩を発生させる危険なウイルス】



menu




はじめに : 本ページのウイルス情報について

ウイルスについては、非常に多くの亜種および検体ファイルが存在し、一般的には、亜種毎またはウイルスの検体ファイル毎に詳細な動作は異なる可能性がございます。そのため、本ページのウイルス情報は、特定の亜種や検体に依存しない汎用的な参考情報としてご案内させて頂いております。

また、本ページでご案内させて頂いているウイルスは、主に【情報漏洩を発生させる危険なウイルス】についてご案内させて頂いております。

そのため、本ページにあるようなウイルスのタイプ(ウイルス名)に感染した場合は、ウイルスによって情報漏洩した可能性が考えられます。弊社【ウイルス解析サービス】をご利用頂ければ、通信の接続先、作成するファイルやレジストリ情報、脆弱性情報等、貴社で発生したウイルスに特化したさらに詳細な情報がご案内可能でございます。

弊社の【ウイルス解析サービス】についての詳細はこちらをご確認頂けますでしょうか。




はじめに : 用語説明

■ウイルス、コンピュータウイルス、マルウェア、スパイウェア

各種メーカー等によって呼称や定義は異なることがございますが、一般的には、「ウイルス」はユーザやマシンにとって有害で悪意ある不正活動を行うプログラムまたはソフトウェア全般を指し、コンピュータウイルス、マルウェア、スパイウェアについても、基本的にはほぼ類似した意味となります。昨今のウイルスで、最も危険な不正活動としては、「情報漏洩」や「重要ファイルの暗号化」等が挙げられます。


■ウイルス名

ウイルス名は、基本的には、各種ウイルス対策メーカーが独自に決定しています。そのため、類似した動作を持つウイルスでも、名称が異なることが多くございます。そのため、本ページでは一般的に多く使用されている名称を幾つかご紹介させて頂いております。


■ファミリ

一般的には、ある特定の目的や動作を持ったウイルスのグループ(種類、分類、タイプ等)のことを指します。


■Web通信

URL(リンク)を使用して、ブラウザからインターネット上のWebページを表示する、ファイルをダウンロードする等の操作に使用される通信で、インターネット上に公開されているWebサイト(Webページ、ホームページ等)との通信と考えて頂いて問題ありません。


■C&Cサーバ

悪意ある攻撃者が、インターネット上に公開した、不正コマンドを指令するためのサーバです。一般的には、これらのサーバにWeb通信で接続を行い、不正コマンドの実行や情報漏洩が行われます。また、後述の、標的型攻撃や遠隔操作ウイルスに使用されることが多くございます。


■標的型攻撃、遠隔操作ウイルス、バックドアウイルス、ボットウイルス

こちらのページに、詳細な説明や実例がございますため、ご確認頂けますでしょうか。


■脆弱性を利用したウイルス

こちらのページに、詳細な説明や実例がございますため、ご確認頂けますでしょうか。





2018年11月 : 乗っ取られたメールアカウントからウイルスが拡散されてしまう

■ウイルス名

Trojan.GenericKD、a variant of Win32/GenKryptik、TSPY_URSNIF、Trojan.Gen 等

■概要

本ウイルスは、ブラウザーやメールソフト等のユーザー情報を抽出することを目的とした
「URSNIF」系のウイルスとして確認され、感染した場合は下記の悪性活動を行います。

- 一時記憶領域内に保存される資格情報の抽出およびC&Cサーバーへの送信
- 正規のファイルに悪性コードをインジェクションしてユーザの操作を監視
- 以下プロセスの監視

electrum-
bitcoin
multibit-hd
bither
msigna.
Jaxx.
JEdudus.
armory-
veracrypt
truecrypt

また、実行される環境を認識する機能が組み込まれているため、以下の仮想環境で実行された場合は活動を停止します。

vmware
vbox
qemu

その他、特定のWebセキュリティ対策製品が端末内にインストールされている場合は、セキュリティ製品の動作を終了し、端末内から削除する挙動が確認されております。

■漏洩する情報

以下のアプリケーションで入力された資格情報
Microsoft Outlook
Mozilla Thunderbird
Google Chrome
Internet Explorer
Opera


以下のシステム情報
ユーザ名
マシン名
インストールされたアプリケーション
システム情報ログ


など

■想定される侵入経路

殆どがスパムメールから感染することが推測されます。





2018年10月 : オンラインストレージをC&Cサーバとして悪用するマルウェア

■ウイルス名

Trojan:Win32、Backdoor.Win32.Agent、Trojan.GenericKD、Trojan Horse 等

■概要

本ウイルスに感染した場合、オンラインストレージのAPIを呼び出して他のウイルスをダウンロードしたり、端末情報等をアップロードします。
オンラインストレージのAPIを呼び出す場合は、libcurlライブラリと以下のOAuthプロトコルパラメータを使用します。

- oauth_consumer_key
- oauth_signature_method
- oauth_token
- oauth_version
- oauth_signature

また、アンチデバッグ機能を有しており、TLSコールバックを利用します。

・作成されるファイルとディレクトリ
- 該当なし

■漏洩する情報

感染した端末のシステム情報が漏えいすることが考えられます。
システム情報
など


■想定される侵入経路

不特定サイト等よりダウンロード実行して感染することが推測されるほか、
他のマルウェアによって感染させられることが推測されます。





2018年09月 : 脆弱性を悪用して感染を繰り返すマイニングウイルス

■ウイルス名

Gen:Variant.Strictor、a variant of Win32/Agent.TIB、Backdoor.Trojan 等

■概要

本ウイルスに感染した場合、マシンにマイニングツールをインストールおよび、外部サーバから複数のウイルスをダウンロードします。
その後、ローカルネットワーク上をスキャンし、脆弱なマシンを見つけた後、マシンの脆弱性を悪用して更なる感染活動を行います。
また、netshコマンドを利用して、システムにFWポリシーが作成されるとともに、タスクスケジューラにマイニング用のタスクが追加されます。

・作成されるディレクトリとファイルおよびレジストリエントリ
- Directory:
%Windows%\IIS

- Files:
%Windows%\end.bat
%Windows%\SB360.bat
%Windows%\end.bat
%Windows%\IIS\srvany.exe 等

- Registry Entries:
HKLM\SYSTEM\CurrentControlSet\Services
Application Layre Gateway Service
HKLM\SYSTEM\CurrentControlSet\Services
iis



■想定される侵入経路

不特定サイト等よりダウンロード実行して感染することが推測されるほか、
脆弱性を悪用して感染することが推測されます。

・悪用される脆弱性
- MS17-010




2018年08月 : ネットバンキングのIDやパスワード情報を盗み出すウイルス

■ウイルス名

Win32:Trojan-gen、TSPY_URSNIF、Trojan.Gen.2、a variant of Win32/Kryptik 等

■概要

本ウイルスはGoziやDreamBotの一種となります。システム環境(32bit/64bit)を判別し、svchost.exeなどの正規プロセスに
悪性のDLLをインジェクションして実行されます。また、複数の情報が盗み出されると共に、C&Cサーバから送られてきた任意のコマンドが不正に実行されます。
なお、仮想環境もしくはデバッグ環境で実行された場合は、エラーが表示されます。

・作成されるファイルとディレクトリ
- %appdata%\[Random]\[Random].exe - 自身のコピーが作成される
- %temp%\[Random]\[Random].bat - [Random].exeを実行する命令が記載されている
- %temp%\[Random_Hex].bin - 不正に取得された情報が格納される



■漏洩する情報

感染した場合、下記の情報が漏洩する可能性が考えられます。
コンピュータ名
システム情報
実行中のプロセス
ブラウザのCookie情報
特定ブラウザのデータやWebフォーム情報(銀行関連)

など

■想定される侵入経路

ほとんどがマクロが組み込まれたエクセル・ワード形式のファイルより マクロを有効にした際に 悪質なスクリプトによってダウンロードされます。



2018年07月 : リモートアクセスツールを利用してシステム情報を盗むウイルス

■ウイルス名

Trojan.Maljava 、 HEUR:Trojan.Java.Agen 、JAVA_DLOADER 、a variant of Generik 等

■概要

本ウイルスは、Javaがインストールされている環境で実行され、感染した場合は端末にリモートアクセスツール(RAT)がインストールされます。

Javaがインストールされている環境であれば、Windowsだけではなく、LinuxやMACも感染の対象となります。
ウイルスが実行された場合、特定のパスへ自身の複製を作成し、実行された自身を削除します。

また、自動実行されるようにレジストリへ特定の値のエントリを追加します。

さらに、感染の検知を遅らせる為に、ループバックアドレスに接続するように、予め用意された設定ファイルを使用しながら、リモートアクセスツール(RAT)のコンポーネントファイルをダウンロードしたり、実行や削除をします。

なお、感染した場合は特定のサイトに接続されます。

■漏洩する情報

感染した端末のシステム情報が漏えいすることが考えられます。


■想定される侵入経路

殆どがスパムメールから感染することが推測されます。



2018年06月 : プロセッサの情報を盗むウイルス

■ウイルス名

HEUR:Trojan.Win32 、TSPY_TRICKLOAD 、Trojan.Gen、W32/Invader!、Trojan:Win32/Occamy 等

■概要

本ウイルスは感染すると、悪意あるコンポーネントがプロセスに挿入され、C&Cサーバから他のウイルスをダウンロードして実行することが考えられます。

その他にも実行中のインスタンスを1つだけ許可するために、次のプログラムを追加します。
"Mutex_ONLY_ME_V2"

■漏洩する情報

感染した場合、下記の情報が漏洩する可能性が考えられます。
実行中のアプリケーションシステムに関する情報(GetNativeSystemInfo)の収集
プロセッサのタイプ
システム内のプロセッサーの数

また、本ウイルスは解析者(ホワイトハッカー)によるリバースエンジニアリングからの早期発見を逃れるための対策がされています。これら漏えいする情報は、先述の漏えいする情報の保管パスに.bin形式のファイルで格納され、その後C&Cサーバに送信されます。


■想定される侵入経路

他のウイルスと共にマシン内に侵入するか、C&Cサーバからダウンロードされることにより 端末内に侵入することが考えられます。



2018年05月 : ユーザ端末の情報を不正送信するウイルス

■ウイルス名

Trojan-Spy.Win32 、TSPY_URSNIF、W32.Suviapen 、W32/Kryptik 等

■概要

本ウイルスは、情報漏えいを行うウイルスとして感染した場合端末のシステム情報やインターネットクッキー、メールアカウント情報等を盗む挙動が確認されてます。

また、本ウイルスは、仮想環境(VMWareやサンドボックス)ではないことを確認します。

【作成されるファイル】
- %appdata%/[Random]/[Random].exe - 自身のコピーの作成
- %temp%\[Random].bin - 漏えいする情報が保管されるパス。

また、ウイルスは端末が32bit、64bit環境のどちらであるかを識別し、端末のビット環境に応じた不正な .dllファイルを解凍し、
svchost.exe、 explorer.exe 、iexplorer.exeなどの正規プロセスに.dllファイルを埋め込みプロセスが稼働することで情報が傍受されます。



■漏洩する情報

感染した場合、下記の情報が漏洩する可能性が考えられます。
マシン名
インターネットクッキー
稼働中のプロセス情報
メールのアカウント情報
端末にインストールされたデバイスドライバー
端末にインストールされたアプリケーション systeminfo.exeの情報 OSのインストール日 プロセッサ数 Chrome、Internet Explorer、Thunderbird、FirefoxのデータとWebフォームの傍受

これら漏えいする情報は、先述の漏えいする情報の保管パスに.bin形式のファイルで格納され、その後C&Cサーバに送信されます。



■想定される侵入経路

ほとんどがマクロが組み込まれたエクセル・ワード形式のファイルより マクロを有効にした際に悪質なスクリプトによってダウンロードされます。



2018年04月 : 複数のC&Cサーバへ情報を送信するウイルス

■ウイルス名

Backdoor.Win32、Trojan.Cridex 、Ransom_HPLOCKY、W32/Kryptik 等

■概要

本ウイルスは、情報漏えいを行うウイルスとして感染した場合端末から収集した情報を複数のC&Cサーバへ送信します。

195.154.***.***:473
198.74.***.***:5445
128.199.***.***:6446
221.132.***.***:8843 等

また、感染した端末内に、下記のウイルス対策製品がインストールされていた場合、チェックします。

AVG
Avira
ESET
MalwareBytes 等



■漏洩する情報

感染した場合、下記の情報が漏洩する可能性が考えられます。
マシン名
OSのバージョン
OSのインストール日
プロセッサ数
%AppData%フォルダの情報
端末にインストールされたアプリケーション

また、C&Cサーバが閉鎖していない場合、感染した端末上で、銀行関連の通信を行うURLを監視するための設定が施されたファイルが送信されることが考えられます。


■想定される侵入経路

ほとんどがマクロが組み込まれたエクセル・ワード形式のファイルより マクロを有効にした際に悪質なスクリプトによってダウンロードされます。



2018年03月 : 早期発見を遅らせるダウンローダー型ウイルス

■ウイルス名

HEUR:Trojan.Win32、TROJ_ZURGOP、W32/Kryptik、Gen:Variant.等

■概要

本ウイルスは感染した場合、端末上の[ explorer.exe ]に不正なコードを 埋め込み、ユーザが意図しないC&Cサーバに対して通信を行い、
他のウイルスをダウンロードするダウンローダーとして確認されてます。
また、ダウンロードするファイルは、ファイル名が日本語表記であることが 確認されており、日本を標的としたウイルスであることが考えられます。
本ウイルスは、C&Cサーバへ通信を行うほか、早期発見を遅らせるため いくつかの正規サイトへ通信を試みます。

www.adobe.com
www.msn.com
www.java.com

本ウイルスは、ウイルス対策製品やウイルステスト環境での早期発見を 遅らせるため、下記のような条件下でウイルス活動を停止する挙動がございます。

端末上に下記のソフトがインストールされている場合
virtual
vmware
xen
CCleaner 等


■漏洩する情報

感染した場合、下記の情報が漏洩する可能性が考えられます。
ユーザーの資格情報、システム情報等
本ウイルスは、C&Cサーバから不正なコマンドがリモートで実行され、 他のウイルスのダウンロードと実行を行います。


■想定される侵入経路

他のマルウェアに作成されるか、悪意あるWebサイトからユーザが 誤ってダウンロードすることによりコンピュータに侵入することが 想定されます。



2018年02月 : 感染したマシンの情報を盗むワーム系ウイルス

■ウイルス名

JS:Trojan、JS.Downloader、JS_VWORM、HEUR:Trojan.Script.Agent 等

■概要

本ウイルスはワーム系のウイルスに属し、感染した場合、端末からリムーバブルディスクドライブを 経由して他の端末へ侵入し感染活動を行うほか、ウイルス自身のコピーの作成、 C&Cサーバからコマンドを受け取り、他のウイルスのダウンロードや実行を行う挙動が確認されてます。
また、C&Cサーバへの通信は、ポート7974を使用します。


■漏洩する情報

感染した端末上から、システム情報、OS情報、端末で使用しているセキュリティ製品の情報を盗むことが考えられます。

また、本ウイルスはC&Cサーバから不正なコマンドがリモートで実行され、
送信されるコマンドとしては以下が確認されてます。


・ウイルスの終了
・他のウイルスのダウンロードとその実行
・取得した情報をC&Cサーバへ送信



■想定される侵入経路

不審なメールの添付ファイルとして送信されるほか、リムーバブルディスクドライブを 経由して感染することが考えられます。



2018年01月 : 物理マシン狙ったスパイウェア

■ウイルス名

Infostealer、TROJ_DLOADER、Trojan:Win32、Trojan-Spy.Win32等


■概要

本ウイルスはトロイの木馬型のウイルスであり、感染した場合端末にインストールされたアプリケーションの情報を盗み、 C&Cサーバへ不正に情報を送信することが考えられます。
また、本ウイルスの挙動として不正コマンドをC&Cサーバから受け取ったり、端末内に存在するファイルの読みとりや書き込み、また他のウイルスを ダウンロードして実行することが考えられます。
なお、本ウイルスについては、仮想環境では動作しないことが考えられ、感染するマシンのほとんどが物理マシンが対象であることが推測されます。

主な仮想環境は下記が挙げられます。
・KVM
・Microsoft HyperVisor
・VMware
・Xen
・Parallels
・VirtualBox


■漏洩する情報

感染した端末にインストールされたアプリケーションに関する 情報を収集することが考えられます。


■想定される侵入経路

ほとんどが、他のウイルスの実行により不正にC&Cサーバからダウンロードされ侵入することが推測されます。




2017年12月 : ユーザ端末上のファイルを不正送信するランサムウェア

■ウイルス名

Ransom_Genasom、Trojan-Ransom.Win32、W32/Kryptik、Packed.Generic、Ransomware-FMJ! 等


■概要

本ウイルスはランサムウェア系ファミリー[ Spora ]に属し、感染した場合、ユーザ端末上のファイルを暗号化し、使用不能にするほか、
金銭要求を促す脅迫文をローカル上に表示させることが考えられます。

暗号化の標的となるファイル拡張子としては、下記のものが考えられます。(一部抜粋)
.doc, .docx, .docm, .xls, .xlsx, .xlsm, .rtf, .bat, .bpdx, .bat, .pptm, .potx, .potm, .ppsm, .ppsx, .psd .jpg, .jpeg,
.tiff, .bmp, .zip, .rar, .7z .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .iso, .mdf, .mds, .bin, .nrg, .cue, .wmv, .mp4, .avi, .msg, .email 等

暗号化されるファイルの拡張子は様々ですが、本ウイルスがこれらファイルの暗号化を
行った場合、ランダムな英数字に拡張子を変更することが考えられます。

■漏洩する情報

ランサムウェア感染時に、ユーザーがローカル上に作成されたTMLファイルの操作を行った場合、 外部不正サーバへ感染時間、 ユーザー名、暗号化されたファイル等が送信されることが考えられます。

■想定される侵入経路

殆どがメール経由であると考えられます。




2017年11月 : SNS経由で感染する情報漏えい系ウイルスWergimog

■ウイルス名

WORM_WERGIMOG、Trojan.Win32.Inject、Packed.Generic、trojan.win32.skeeyah


■概要

本ウイルスは、ワーム系ウイルス「Wergimog」に属し、特定のSNS上でスパムメッセージを送信し拡散するウイルスであることが高く考えられます。
また、これら特定のSNSサイト上にて、ユーザの望まない更新や投稿を行う可能性が考えられます。

拡散する可能性が考えられるSNSサイト
・Facebook
・Hi5
・Linkedin
・MySpace
・Twitter
そのほか、本ウイルスは、感染した端末上の特定のウイルス対策製品の存在を確認するほか、ウイルスを監視するため特定のモニタリングツールの
存在を確認をすることが考えられます。

■漏洩する情報

ユーザーの資格情報や使用しているOSのバージョンなどのシステム情報を盗むほか、
特定のウェブサイトのアカウント情報を盗むことが考えられます。


・paypal.com
・hotfile.com
・fileserve.com
・uploading.com

またC&Cサーバーが閉鎖していない場合、以下の機能をリモートコマンドとして実行する可能性が考えられます。

・他のウイルスのダウンロードおよび実行
・ファイルの更新およびファイルの削除

■想定される侵入経路

手口のほとんどがSNSで使用するメッセージを介して進入するほか、リムーバブルドライブを介して進入することが考えられます。




2017年10月 : リモート操作でマシンの機能を操る、情報漏えいウイルス

■ウイルス名

Trojan:Win32、Downloader.Ponik、Gen:Variant.Ursu、RDN/Generic 等


■概要

本ウイルスは情報漏えいを行うウイルスとして感染した場合、マシンで使用しているアプリケーションのユーザー名や
パスワードを盗むほか、C&Cサーバと接続してリモート操作により、様々なコマンドを実行します。

■漏洩する情報

特定のアプリケーションのユーザー名とパスワードを盗むほかキーボード操作の情報を漏洩させることが考えられます。
C&Cサーバーがアクティブな場合、以下の機能をリモート操作により実行します。

- プロセスの作成/終了
- ファイルの書き込み/変更/削除、属性の変更
- ディレクトリの作成
- レジストリの作成/変更/削除

■想定される侵入経路

殆どがメール経由であると考えられます。
また本ウイルスは、ファイル名とアイコンを正規のアプリケーションソフトに偽装しているため、受信者が正規のファイルだと思わせ感染させます。




2017年9月 : アンチウイルスソフト、アンチデバッグが組み込まれたウイルス

■ウイルス名

Trojan.Generic、Win32/TrojanDownloader、Trojan-Spy.Win32、Trojan Horse、TSPY_BEBLOH 等


■概要

本ウイルスは情報漏えい系ウイルスBEBLOHに属し、感染した場合、マシンやOS情報をC&Cサーバに送信したり、 悪意のある実行コマンドをC&Cサーバから受け取ることが考えられます。

また本ウイルスはアンチウイルスソフトおよびアンチデバッグ技術が含まれておりサンドボックスまたは仮想マシン上で 実行されているかを確認しその場合自身の感染活動を終了します。

1.文字列 "VMWARE"に対するデバイス情報を確認
2.SAMPLE"、 "VIRUS"、 "SANDBOX"などの文字が存在するかを確認
3.システムプロセッサーが "XEON"であることを確認 等

またマシンがインターネットに接続されているかを確認する為、正規のURLに接続します。
http://wwww.google.com

■漏洩する情報

感染した場合、下記の情報が漏えいする可能性が考えられます。
IPアドレス、プロキシ情報、キーボードレイアウト等。

またC&Cサーバーが閉鎖していない場合、以下の機能をリモートコマンドとして実行する可能性が考えられます。

EXEUPDATE - 新たなウイルスをダウンロードして実行します。
INJECTFILE - ネットバンキングのログイン認証情報を盗みます。

■想定される侵入経路


Webサイトまたはスパムメールから感染すると推測されます。





2017年8月 : 安易なパスワードから情報を盗むウイルス「Fareit」

■ウイルス名

Mal/FareitVB、Trojan-PSW.Win32.Fareit、TSPY_FAREIT 等


■概要

本ウイルスは[ Fareit ]ファミリーのウイルスに属し、実行された場合ユーザーの資格情報(ユーザー名・パスワード)を盗み、
C&Cサーバーに情報を送信するほか、他のウイルスをダウンロードする機能も備えています。
標的となるアプリケーションのレジストリと設定ファイルの分析を行い、ユーザ名とパスワードを抽出します。
また本ウイルスは、アプリケーション、システムに対し不正アクセスするためのパスワードリストが予め用意されています。

パスワードリスト:(一部抜粋)
7777
12345
111111
123456789
abc123
admin
compaq
computer
cookie
creative
digital
enter
gateway
genesis
hahaha
hello
iloveyou!
internet
london
looking
master
merlingoogle
mickey
myspace1
nintendo
passw0rd
phpbb
power
superman
test
wisdom

■漏洩する情報

漏洩する情報として下記アプリケーションのユーザー名とパスワードを不正に盗む可能性が考えられます。

・FTPソフト
Far
Windows Commander
Total Comander
CuteFTP
FlashFXP
FileZilla
BPFTP
TurboFTP
Sota
COREFTP
ClassicFTP
FTPClient
FTPVoyager
LeechFTP
WinFTP
BlazeFtp
Robo-FTP
LinasFTP
FTPNow

・ブラウザ:
Opera
Mozilla
Chrome

・メール:
Thunderbird
Windows Live Mail

・その他:
PuTTY
Facebook




■想定される侵入経路

スパムメールから感染すると推測されます。



2017年7月 : ログイン中のユーザ情報を盗むウイルス

■ウイルス名

Infostealer、HEUR:Trojan.Win32、W32/Cossta、TR/Crypt.XPACK、BKDR_NAPOLAR 等


■概要

本ウイルスは情報漏えいを行うウイルスとして感染した場合、マシン名やログイン中のユーザの情報を盗みC&Cサーバに送信することが考えられます。 またC&Cサーバーから、以下の活動をリモートコマンドで実行する可能性が考えられます。
・ファイルのダウンロードと実行
・ユーザの意図しないウェブページを開く
・Torサービスを実行する
・自動実行を行うためスタートアップの追加
感染したコンピュータのアドレスを取得しマシンがインターネットに接続されているかを確認する為、下記の正規のURLに接続します。

hxxp://myip.dnsomatic.com
hxxp://ip1.dynupdate.no-ip.com


■漏洩する情報

感染した場合、下記の情報が漏洩する可能性が考えられます。
・マシン名
・ログイン中のユーザー情報
・ブラウザ内の機密情報(ログオン資格情報)等


■想定される侵入経路

Webサイトまたはスパムメールから感染すると推測されます。



2017年6月 : アンチVM機能が搭載されたシステム情報を盗むウイルス

■ウイルス名

TROJ_ANTIVM、Trojan.Asprox、Trojan-Spy.Win32、RDN/Generic、Mal/Generic 等


■概要

本ウイルスは情報漏えい系ウイルスUrsnifに属し、感染した場合複数のRAT(リモートアクセスツール)機能をもと感染したマシンの環境に合わせて C&Cサーバからウイルスの追加設定情報をダウンロードします。 その他にも、感染したマシンよりユーザーの資格情報を盗む可能性が考えられます。

また本ウイルスは仮想環境上ではアンチVMの機能から下記の仮想マシン上では感染活動が行われません。
hd
vmware
qemu
vbox 等



■漏洩する情報

システム関連の情報が漏洩することが考えられます。 C&Cサーバーが閉鎖していない場合、ウイルスは以下の機能を リモートコマンドで実行することが考えられます。

- 追加のウイルスコンポーネントの受け取り
- ウイルスファイルの作成/削除
- システム関連の情報を侵害されたサーバーに送信します


■想定される侵入経路

ほとんどがマクロが組み込まれたエクセル・ワード形式のファイルよりマクロを有効にした際に悪質なスクリプトによってダウンロードされます。



2017年5月 : 複数の手法を組み合わせて攻撃するワームウイルス

■ウイルス名

WORM_MYDOOM、SMG.Heur!、TROJ_DAWS、Worm.Win32、Mal/Spy 等


■概要

本ウイルスはワーム型ウイルスに属し実行された場合、他のファイルのダウンロードや自動実行のレジストリを作成、また感染したマシンの情報を攻撃者宛てにメールを送信する可能性が考えられます。

■漏洩する情報

感染した場合、攻撃者宛てにメールにて下記の情報を送信する可能性が考えられます。
IPアドレス、OS情報、アカウント/パスワード情報等。
またC&Cサーバがアクティブな状態の場合、攻撃者により以下のコマンドがリモートで
実行される可能性が考えられます。
・システム情報、OS情報の詳細を取得。
・プロセスの作成や終了の操作。
・他のファイルのダウンロードなど。


■想定される侵入経路

メール経由またはフィッシングサイトであると考えられます。



2017年04月 : OSの日時に基づいて活動し、システム情報を盗むウイルス

■ウイルス名

Trojan:W32/Agent 、Trojan.Gen.2、TROJ_DAWS、Artemis!E3BBEEC1270B 等


■概要

本ウイルスはトロイの木馬型のウイルスに属し、実行した場合
収集したマシンの情報をC&Cサーバに送信します。
また、このウィルスはマシンのシステム時刻のチェックを行います。
実行後はシステムの日付と時刻に基づいて、ある一定の日にちと時間では
あたかもスリープ状態に入ったように活動を休止するため、
発見が厄介な性質を持っています。



■漏洩する情報

当該ファイルはC&Cサーバーに次の情報を送信する可能性が考えられます。
ユーザ名、コンピュータ名、ネットワーク情報、OSのバージョン、などのシステム情報等


■想定される侵入経路

他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることにより
コンピュータに侵入することが想定されます。




2017年03月 : マシン情報を盗む「BEBLOH」ファミリのウイルス

■ウイルス名

TSPY_BEBLOH 、Win32/Spy.Bebloh 、W32/Bebloh 、Trojan.Crusis 等


■概要

本ウイルスは「 BEBLOH 」ファミリーのウイルスに属し、実行された場合
収集したマシンの情報をC&Cサーバに送信します。

また本ウイルスはアンチサンドボックスおよびアンチデバッグ技術が含まれており
サンドボックスまたは仮想マシン上で実行されているか下記の文字列から確認します。

vmware
virtuabox
sample
sandbox
virus

またマシンがインターネットに接続されているかを確認する為、正規のURLに接続します。
http://wwww.google.com



■漏洩する情報

当該ファイルはC&Cサーバーに次の情報を送信する可能性が考えられます。
IPアドレス、デスクトップフォルダにあるファイルの数、OSのバージョン、
OSのプロダクトID、マシン名、ポート番号、キーボード・レイアウト 等


■想定される侵入経路

フィッシング詐欺のメールまたはWebサイトから感染することが推測されます。




2017年02月 : メールのIDとパスワードを盗むフィッシングファイル

■ウイルス名

HTML_MALPHISH 、Trojan.Gen.8 、Trojan.Agent 、Mal/Phish 等


■概要

当該ファイルはフィッシング詐欺メールに添付された
フィッシングファイルであり、ファイルの実行時、
HTMLページが表示されます。
このHTMLページの表示時には、アクセスを行うためのメールIDと
パスワードの入力を求められます。
入力した資格情報は悪意あるサイトに送信され、
またユーザーからの視覚では、資格情報の送信を
隠ぺいするため正規のサイトにリダイレクトされます。


■漏洩する情報

HTMLページでメールIDとパスワードを入力した場合、
ユーザーの電子メールの資格情報が漏えいします。


■想定される侵入経路

手口のほとんどがフィッシング詐欺メールであると考えられます。




2017年01月 : ネットバンキングのアカウント認証情報を盗むウイルスをダウンロードするスクリプトファイル

■ウイルス名

JS_NEMUCOD、TrojanDownloader、JS.Downloader、JS/Nemucod 等


■概要

本ウイルスは、他のマルウェアからの作成、インターネットからのダウンロード、
Eメールを介したスパム活動からコンピュータへ侵入します。
本ウイルス自体は、Ursnifウイルスのダウンローダーファイルであり、
ダウンロード完了次第、クライアントマシンは感染してしまいます。


■漏洩する情報

ネットバンキングのログイン認証情報等の個人情報等を漏洩させます。

■想定される侵入経路

フィッシング詐欺メールや、侵害されたウェブサイトよりダウンロードされて
侵入する可能性が考えられます。



2016年12月 : マシンのOS情報とIPアドレスを盗むウイルス

■ウイルス名

BKDR_ANDROM 、Downloader.Dromedan 、Backdoor.Win32.Androm 、Trojan.Agent 等


■概要

本ウイルスは、情報漏えいを行う他のウイルスと共にマシン内に侵入し、実行された場合、マシンのOS情報、IPアドレスを盗みC&Cサーバーに送信します。
また、本ウイルスは、仮想マシン上(VMware)で実行されているかどうかをプロセス名で確認します。
さらに、本ウイルスはマシンがインターネットに接続されているかを確認する為、下記の正規のURLに接続します。
http://www.microsoft.com
http://yahoo.com
http://google.com
http://bing.com
http://update.microsoft.com


■漏洩する情報

マシン上のシステム情報として、OS情報、ローカルIPアドレス等を漏洩させます。

■想定される侵入経路

フィッシング詐欺メールや、侵害されたウェブサイトよりダウンロードされて侵入する可能性が考えられます。



2016年11月 : マシンのシステム情報を盗むウイルス

■ウイルス名

TROJ_MIUREF、Trojan.Win32.Inject、Win32/Boaxxe、Trojan.Win32.Z.Boaxxe 等


■概要

本ウイルスは、通常、情報漏えいを行う他のウイルスと共にマシン内に侵入し、実行された場合、マシンのシステム情報を盗みC&Cサーバーに送信します。
また、本ウイルスはマシンがインターネットに接続されているかを確認する為、下記の正規のURLに接続します。
http://www.microsoft.com


■漏洩する情報

マシン上のシステム情報として、プロセス情報、BIOS情報、OS情報、ドライブ情報等を漏洩させます。

■想定される侵入経路

他のウイルスと共にマシン内に侵入するか、ダウンロードされて侵入する可能性が考えられます。



2016年10月 : 使用アプリケーションのログオン情報を狙うBOTウイルス

■ウイルス名

TSPY_ZBOT、PWSZbot、W32/Injector、Trojan-Spy.Win32等


■概要

本ウイルスは、一般的によく知られているアプリケーション (FTPクライアント、電子メールクライアント)のログオン資格情報を盗み、C&Cサーバへ情報の送信を行います。

■漏洩する情報

Outlook、WinMail、Windows Live Mailなどのメールアカウント情報、及びFileZilla、WS_FTP、WinSCPなどのログオン情報を送信すると考えられます。 また、クライアントのコンピュータ名に加えて、OSの証明書やCookie、ライセンスキー等の情報を送信することが考えられます。

■想定される侵入経路

メール経由またはフィッシングサイトであると考えられます。



お問い合わせ

貴社担当営業またはこちらまでお問い合わせ頂けますでしょうか。




このページの先頭へ