スペインのPanda Software，フィッシングや情報窃盗を試みる“マルウエア群”を警告

2005.08.31

　スペインのPanda Softwareが，Windowsシステムに感染するトロイの木馬「Trj/Downloader.CYZ」について，米国時間8月30日に警告を発した。Trj/Downloader.CYZは感染したパソコンに複数の悪質なプログラムを仕込み，フィッシングやファーミング，情報窃盗などを試みるという。

　Trj/Downloader.CYZはWindowsのぜい弱性を利用して，あるWebページにアクセスしてきたパソコンに感染する。同Webサイトには悪質なコードが隠された暗号化済みJavaScriptが仕掛けてあり，このコードがTrj/Downloader.CYZのダウンロードを行う。

　パソコンに感染して起動すると，ほかのプロセスを終了したり遠隔実行スレッドを生成したりするため，Trj/Downloader.CYZはほかのプログラムよりもレベルの高いデバッグ権限を自ら付与する。権限付与に成功したら自分自身を%temp%\sstchst.exeとしてコピーし，元のファイルを消す。

　sstchst.exeは，トロイの木馬「Trj/Banker/VY」「Trj/Dumarin.L」が入った2つのファイルfile1.exeとfile2.exeのダウンロードを試みる。その際ユーザーに察知されないようにするため，セキュリティ関連の警告を出すウィンドウを閉じてしまう。

　フィッシングや情報窃盗などは，Trj/Banker/VYとTrj/Dumarin.Lが行う。動作の概要は以下の通り。

・Trj/Banker/VY：
　自分自身をnbthlp.exeとしてシステムにコピーし，起動するたび実行されるようレジストリに登録する。ドメイン名とIPアドレスとの関係を登録するHOSTSファイルを改ざんし，ユーザーが銀行のWebサイトにアクセスしようとするとフィッシング・サイドに誘導する

・Trj/Dumarin.L：
　「Trj/MiniLD.C」など別のマルウエアをシステムに組み込み，銀行口座，SkypeやMicrosoft PassportのID，Webメールの情報などを収集して外部に送信する