最新のバンキング型トロイの木馬は、ハイテクからユーザーの不注意やだまされやすさを利用したものまで、被害者の銀行口座から金銭を盗むために様々な方法を用いています。本記事では、Doctor Webのエキスパートによって発見された、ブラジルのリモートバンキングシステムのユーザーを脅かすバンカーについて紹介します。これまでに、このバンカーの300を超えるサンプルと、それらによって使用される120台のサーバー、そして拡散されている国が特定されています。
###
Trojan.PWS.Banker1.28321 という名前でDr.Webのウイルスデータベースに追加されたこのトロイの木馬は、PDF文書を表示させるAdobe Readerを装って拡散されています。起動されると、 Trojan.PWS.Banker1.28321 はAdobe Readerの名前がついたウィンドウを表示させます。
Trojan.PWS.Banker1.28321 #drweb Trojan.PWS.Banker1.28321 #drweb
このトロイの木馬は、それが仮想環境で実行されているかどうかを確認し、仮想マシンが検出された場合は動作を終了します。また、Windowsの言語設定を監視し、システム言語がポルトガル語ではなかった場合、いかなる動作も実行しません。
トロイの木馬自体は.NETで書かれていますが、ローダーモジュールはVBscriptスクリプトとして実装されています。このローダーモジュールは標準的な MSScriptControl.ScriptControl COMオブジェクトによって起動され、管理サーバーに接続してそこから2つのZIPアーカイブをダウンロードします。その1つにはDelphi開発環境を使用して作成された、難読化された動的ライブラリが含まれています。そして、このライブラリに悪意のあるプログラムの主な機能が含まれています。
詳細は以下をご覧ください。
(リンク »)
Trojan.PWS.Banker1.28321 という名前でDr.Webのウイルスデータベースに追加されたこのトロイの木馬は、PDF文書を表示させるAdobe Readerを装って拡散されています。起動されると、 Trojan.PWS.Banker1.28321 はAdobe Readerの名前がついたウィンドウを表示させます。
Trojan.PWS.Banker1.28321 #drweb Trojan.PWS.Banker1.28321 #drweb
このトロイの木馬は、それが仮想環境で実行されているかどうかを確認し、仮想マシンが検出された場合は動作を終了します。また、Windowsの言語設定を監視し、システム言語がポルトガル語ではなかった場合、いかなる動作も実行しません。
トロイの木馬自体は.NETで書かれていますが、ローダーモジュールはVBscriptスクリプトとして実装されています。このローダーモジュールは標準的な MSScriptControl.ScriptControl COMオブジェクトによって起動され、管理サーバーに接続してそこから2つのZIPアーカイブをダウンロードします。その1つにはDelphi開発環境を使用して作成された、難読化された動的ライブラリが含まれています。そして、このライブラリに悪意のあるプログラムの主な機能が含まれています。
詳細は以下をご覧ください。
(リンク »)
本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。
お問い合わせにつきましては発表元企業までお願いいたします。
