説明

PWSteal.Bancos.E. トロイの木馬です。ブラジルの銀行のオンラインページのように偽装してアカウント情報を盗もうとします。
亜種として PWSteal.Bancos.D. または PWSteal.Bancos, PWSteal.Bancos.B, PWSteal.Bancos.C, PWSteal.Bancos.D などがあります。
自身を %System%Ctin10.exe という名前でコピーします。

追加/変更される値

\"chostsv\"=\"%System%\\chostsv.exe\"
を以下のレジストリキーに追加します: HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices
こうしてWindows を起動するとトロイの木馬が動作します。
もしファイル C:\\BancoBrasil\\officeIE\\officeIE.CAB が存在していれば、このトロイの木馬がファイルを C:\\officeIE.CAB に移動します。
Internet Explorer のウインドウを監視して、特定の銀行サイトの特徴を備えた Webページを開くのを待ちます。

以下のページです:
https:/ /www2.bancobrasil.com.br/aapf/aai/principal
https:/ /bankline.itau.com.br/GRIPNET/Montamenu.exe
https:/ /internetcaixa.caixa.gov.br/NASApp/SIIBC/Login_ok.processa https:/ /wwwss.bradesco.com.br/scripts/ib2k1.dll/LOGINCHK#top
以上のサイトが開かれると、トロイの木馬が URL によって異なるログイン スクリーンの一つを表示します。 これらのスクリーンに入力された情報は他のコンピュータに電子メールで送信されます。

手動での削除方法

以下のキーを選択してください: HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices
次に以下の値を削除してください:
\"CTin10\"=\"%System%\\CTin10.exe\"

MD5チェックサム

最終変更日

2005/10/30 (Sun)