発見日: July 17, 2003
更新日: May 10, 2010 8:07:04 AM
別名: New Malware.j [McAfee], PWSteal.Bancos [Symantec], Banbra.GRW [Panda Software]
感染サイズ: 911,962 バイトと 258,048 バイト
影響を受けるシステム: Windows

Infostealer.Bancos は、侵入先のコンピュータから口座関連の機密情報を収集する有害なソフトウェアプログラムを識別するためにシマンテックで使用される検出名です。

これらのトロイの木馬の精度は種類のよって異なりますが、一般に、侵入先のコンピュータで検出されないように実行して、できるだけ多くの個人情報を収集しようと試みます。収集される情報には、このトロイの木馬がインストールされたコンピュータに関する詳細情報や、金融機関のオンラインログイン資格情報などが含まれます。

このトロイの木馬は、しばしば、ソーシャルエンジニアリング手法を利用した電子メールを使って拡散されます。たとえば、銀行から送られた電子メールを偽装して、ユーザーに添付プログラムの実行や他の操作の実行を要求して銀行口座の詳細を確認するなどの手法があります。ユーザーがその要求に従うと、口座のアクセス情報が明かされることになり、多大な財産の損失につながる危険性があります。

シマンテック製ウイルス対策製品で、この脅威の検出警告が表示される場合、すでにコンピュータはこの脅威から保護されていて、シマンテック製品によって脅威が駆除されることを意味します。

ウイルス対策日

  • Rapid Release 初回バージョン July 17, 2003
  • Rapid Release 最新バージョン May 14, 2018 リビジョン 016
  • Daily Certified 初回バージョン July 17, 2003 リビジョン 007
  • Daily Certified 最新バージョン May 14, 2018 リビジョン 007
  • Weekly Certified 初回リリース日 July 23, 2003

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

記述: Angela Thigpen

発見日: July 17, 2003
更新日: May 10, 2010 8:07:04 AM
別名: New Malware.j [McAfee], PWSteal.Bancos [Symantec], Banbra.GRW [Panda Software]
感染サイズ: 911,962 バイトと 258,048 バイト
影響を受けるシステム: Windows

Infostealer は、侵入先のコンピュータから口座関連の機密情報を収集する有害なソフトウェアプログラムを識別するためにシマンテックで使用される検出名です。


基本情報
Infostealer.Bancos は、主にブラジルの銀行を標的として 2003 年の夏に出現しました。当初、このトロイの木馬は、亜種ごとに特定の金融機関を標的としていましたが、この方法は常に成功したわけではありません。マルウェア作成者は、成功率を高めるために、各亜種が複数の金融機関を標的とするようにしました。

この方法の採用により、Infostealer.Bancos は活動範囲を広げ、その他の南米の銀行を標的に含めることになりました。このトロイの木馬は、しばしば、電子メールに添付された大きいサイズのファイルとして届き、ユーザーにそのファイルを開かせようとします。典型的なソーシャルエンジニアリング手法では、次のような誘い文句が使われます。

  • 最新のスクリーンセーバーを試してみましょう
  • アカウントの詳細を確認するために添付ファイルを開いてください
  • 動画を見るには添付ファイルを開いてください

侵入先のコンピュータでこのトロイの木馬がアクティブになると、情報を盗み取り、事前に設定された電子メールアドレスに送信しようと試みます。

また、Outlook アカウントから電子メールアドレスを盗み取り、リモートサーバーに送信する亜種も存在します。これらのアドレスは、マルウェア作成者によって、新たな攻撃でこのトロイの木馬のコピーをスパム送信するために使用されます。


Infostealer.Bancos の作成者
このトロイの木馬は、Web を利用してオンライン取り引きを実行する金融機関の顧客を標的として収益を得ようとするマルウェア作者によって作成されます。 盗み取られる情報には、オンラインサービスの銀行口座にアクセスするための資格情報や、連絡先の詳細などの個人情報も含まれる可能性があります。


Infostealer.Bancos の機能
このトロイの木馬は、次の操作を実行するように設定される可能性があります。
  • スクリーンショットを撮影する
  • アクティブな Internet Explorer ウィンドウのタイトルをチェックし、事前に設定された文字列に一致するかどうか確認する
  • すべての URL のキャッシュと cookie を削除する
  • 特定の南米の銀行のサイトの偽のログイン画面を表示する
  • 電子メールアドレスを収集する
  • 事前に設定されたメッセージボックスを表示する可能性がある
  • 事前に設定されたファイルを検索して削除する可能性がある
  • キーストロークを記録する
  • 自分自身をサービスとして登録する
  • hosts ファイルの内容を置き換える
  • ファイルを検索して削除する
  • 収集した情報を電子メールでリモートの攻撃者に送信する
  • アクティブな Internet Explorer ウィンドウで、さまざま Web サイト、特に金融機関の Web サイトへのユーザーアクセスを監視する


盗み取られる情報
このトロイの木馬によって盗み取られる情報には、次のようなものがあります。
  • 銀行口座情報
  • クレジットカード番号
  • 電子メールアドレス
  • 氏名
  • パスワード、暗証番号、銀行カードのセキュリティ照合番号
  • セキュリティの詳細


盗み取りの手法
ユーザーがトロイの木馬によって監視されている Web サイトを訪問すると、このトロイの木馬はそのサイトを偽装するか、インターフェースを操作してパスワードやその他の機密情報を収集しようと試みます。続いて、ユーザーが入力した情報を記録し、後でリモートの攻撃者に送信します。






作成者は、このトロイの木馬が新しいセキュリティ対策に対応できるように、絶えず機能の向上を図っています。たとえば、ある金融機関がキーストロークロギングを阻止するためにオンスクリーンキーボードを採用するという新しいセキュリティ対策を導入すると、このトロイの木馬はその対応策として、アカウントのアクセス情報を記録するためにスクリーンショットを撮影するという別のテクニックを追加して、口座情報を盗み取ります。






痕跡
このトロイの木馬は、通常、密やかに動作するように設計されていて、一般のユーザーには簡単には見つかりません。場合によっては、銀行のオリジナルのログイン画面とその翌日の画面に不一致が見つかることもあります。たとえば、通常は、一部だけ、またはまったく入力する必要のない暗証番号をトロイの木馬が入手する目的で、ログイン画面に追加のフィールドを挿入する可能性があります。


このトロイの木馬は、しばしば、電子メールの添付ファイルとして届き、.scr 拡張子を持つファイルが最も頻繁に使用されています。

Infostealer.Bancos の亜種で、ユーザーを誤解させたり、混乱させるようなさまざまな種類のメッセージボックスを表示するものも存在します。




このトロイの木馬は、リモートの攻撃者に盗み取った情報を電子メールで送信する可能性があります。このメールには、次のような特徴があります。

メッセージ本文:
メッセージの本文には、次の情報がいくつか含まれます。
  • 電子メールのユーザー名
  • 電子メールのパスワード
  • BAT! 用 POP3 サーバー名
  • Outlook 用 POP3 サーバー名
  • Outlook Express 用 POP3 サーバー名
  • クリップボードの内容
  • 侵入先のコンピュータの IP アドレス


危険性
口座関連の機密情報が盗まれた場合、Infostealer に関して言えば最小のリスクは存在しません。ID 情報の窃盗は、情報を盗み取るトロイの木馬によってもたらされる最大のリスクで、ユーザーが個人的に被害を受ける危険性があります。金融サービスのログイン資格情報の窃盗は、多大な財産の損失につながる可能性があります。


危険性の最小化対策
基本対策として、ノートン アンチウイルス、ノートン インターネット セキュリティ、ノートン 360 または Symantec Endpoint Protection などのリアルタイム保護機能を備えた最新のウイルス対策ソフトウェアを常時実行するようにします。また、ファイアウォールや侵入防止システム (IPS) は、これらの種類の有害なプログラムによって開始されるダウンロードをブロックするのに役立ちます。Symantec Endpoint Protection などのプログラム制御機能は、このようなプログラムの実行阻止にも役立ちます。

トロイの木馬プログラムを拡散する電子メールは、知人から送信されたように見せかけることも可能です。不審なメッセージの添付ファイルを開いたり実行したりしないようにしてください。オンラインアカウントの有効期限切れや、詳細確認が必要であることを知らせる電子メールには特に注意が必要です。これらは、詳細を明かすようにユーザーをだますために犯罪者によって使用される典型的な策略です。疑わしい場合は、金融機関に直接問い合わせてそのような要求の真偽を確認してください。


追加情報
上級ユーザーは、Threat Expert にサンプルを提出して、この脅威によるシステムやファイルシステムへの変更に関する詳細なレポートを入手することができます。

記述: Angela Thigpen

発見日: July 17, 2003
更新日: May 10, 2010 8:07:04 AM
別名: New Malware.j [McAfee], PWSteal.Bancos [Symantec], Banbra.GRW [Panda Software]
感染サイズ: 911,962 バイトと 258,048 バイト
影響を受けるシステム: Windows

以下の手順は、Symantec AntiVirus および Norton AntiVirus 製品シリーズを含む、現在サポート対象のシマンテック製ウイルス対策製品をご利用のすべてのお客様を対象に記述されています。

  1. システムの復元機能を無効にする (Windows Me、XP)
  2. ウイルス定義を最新版に更新する
  3. システムの完全スキャンを実行する

各手順の詳細については、次を参照してください。

1. システムの復元機能を無効にする (Windows Me/XP)
Windows Me、XP をご利用の場合は、駆除作業前にシステムの復元機能を一時的に無効にします。システムの復元機能は、破損時のコンピュータファイルを復元する Windows Me、XP の機能の 1 つで、標準設定では有効です。コンピュータが、ウイルス、ワーム、トロイの木馬に感染した場合、システムの復元機能がそのバックアップファイルを (_RESTORE) フォルダに作成する可能性があります。

Windows は、ウイルス対策プログラムを含む外部プログラムによるシステムの復元機能の改変を防止するように設定されています。この理由から、ウイルス対策プログラムおよび駆除ツールによるシステムの復元フォルダの感染ファイルの削除は不可能です。他のあらゆる場所で感染ファイルを削除した場合でも、このシステムの復元機能が感染ファイルを復元する可能性があります。

また、脅威が駆除された後でも、ウイルススキャンによってシステムの復元フォルダに脅威が検出されることがあります。

システムの復元機能を無効にする方法については、お手持ちの Windows のマニュアルまたは次の文書を参照してください。

注意: 駆除作業が終了し、脅威の駆除を確認したうえで、上記ドキュメントに記載の手順を実行してシステムの復元機能を有効に戻します。

追加の情報および Windows Me システムの復元機能の無効化以外の解決方法については、「マイクロソフトサポート技術情報 - 263455 - _RESTORE フォルダにウイルスが発見された場合の対応方法について 」を参照してください。

2. ウイルス定義を最新版に更新する
シマンテックセキュリティレスポンスから提供されるウイルス定義は、すべて品質テストを実施済みです。最新版のウイルス定義ファイルは、次の 2 つの方法で入手できます。
  • LiveUpdate を実行すると、簡単にウイルス定義ファイルを入手できます。

    Norton AntiVirus 2006、Symantec AntiVirus Corporate Edition 10.0 以上の製品をご利用の場合は、LiveUpdate の定義は毎日更新されます。これらの製品は、より新しいテクノロジーを搭載しています。

    Norton AntiVirus 2005、Symantec AntiVirus Corporate Edition 9.0 またはそれ以前の製品をご利用の場合は、LiveUpdate の定義は毎週更新されます。重大なアウトブレークの発生時には、例外として定義がより頻繁に更新されます。


  • Intelligent Updater を使ってウイルス定義ファイルをダウンロードします。Intelligent Updater は、シマンテックの Web サイトや FTP サイトで提供されています。ダウンロードしたプログラムを実行することにより、ご使用のコンピュータのウイルス定義ファイルを最新版に更新することができます。Intelligent Updater 形式のウイルス定義ファイルは、米国時間の平日(日本時間の火曜日~土曜日)に毎日更新され、LiveUpdate よりも早いタイミングで更新されます。

注意: Intelligent Updater は、ウイルス定義ファイルとスキャンエンジンの完全版をインストールするプログラムです。ファイルサイズは、前回からの差分のみをダウンロードする LiveUpdate と比較して大型です。このため、LiveUpdate で定期的にウイルス定義ファイルを更新し、疑わしいファイルからウイルスを検知しないなどの場合には、Intelligent Updater を利用することを推奨します。Intelligent Updater のウイルス定義ファイルは、こちら からダウンロード可能です。手順の詳細は、「IntelligentUpdater を使ってウイルス定義ファイルを更新する方法 」を参照してください。

3. システムの完全スキャンを実行する
  1. シマンテック製ウイルス対策プログラムを起動して、すべてのファイルをスキャン対象に設定しているかどうかを確認します。

    個人のお客様向けの Norton AntiVirus 製品をご利用の場合(パッケージ製品): 次の文書を参照してください。「すべてのファイルをウイルススキャンするように設定する方法

    企業、法人のお客様向けの Symantec AntiVirus 製品をご利用の場合(ライセンス製品): 次の文書を参照してください。「NAVCE、SAVCE ですべてのファイルがウイルススキャンされるように設定する方法


  2. システムの完全スキャンを実行します。
  3. 何らかのファイルが検出された場合は、ご利用のウイルス対策プログラムが表示する手順に従ってください。
重要: ご利用のシマンテック製ウイルス対策製品が起動しない、または検出ファイルの削除が不可能であると報告するメッセージが表示される場合には、実行中のリスクを停止してから削除する必要がある場合があります。この場合は、コンピュータをセーフモードで再起動してスキャンを実行します。コンピュータをセーフモードで再起動する方法については、「コンピュータをセーフモードで起動する方法 」を参照してください。コンピュータをセーフモードで再起動した後、スキャンを再度実行します。
ファイルが削除された後、コンピュータを通常モードで再起動してから、次のセクションに進みます。

この時点では、脅威の除去が完了していない可能性があるため、再起動時に警告メッセージが表示される可能性があります。その場合、メッセージを無視して [OK] をクリックしてください。駆除作業を完了した後、コンピュータを再起動すると、それらの警告メッセージは表示されなくなります。メッセージが表示される場合は、次のような内容です。

タイトル: [ファイルパス]
メッセージ本文: [ファイル名] が見つかりません。名前を正しく入力したかどうか確認してからやり直してください。ファイルを検索するには、[スタート] ボタンをクリックしてから、[検索] をクリックしてください。

記述: Angela Thigpen