Vawtrakウイルス ネットバンキング・クレジットカード会社不正送金 Neverquest Snifula Papras
{{{ 更新日 8月3日 }}}
セキュリティ会社ごとに検出名が違うけど、ネットバンキングやクレジットカード会社からの機密情報を盗むウイルス!
・ Vawtrak(読み方 ボートラック) ... マイクロソフト トレンドマイクロ
・ Neverquest (読み方 ネバークエスト) ... カスペルスキー
・ Snifula ... シマンテック
・ Papras ... ESET
・ Snifula ... シマンテック
・ Papras ... ESET
いろいろ備忘録メモメモモ~。 

Vawtrak(ボートラック)についてのセキュリティ会社のブログ記事
● Online banking faces a new threat(カスペルスキー)
http://www.securelist.com/en/analysis/204792315/Online_banking_faces_a_new_threat
● トロイの木馬Neverquest:多数の銀行がターゲットに (カスペルスキー)
http://blog.kaspersky.co.jp/neverquest-trojan-built-to-steal-from-hundreds-of-banks/
● オンラインバンキングを狙うトロイの木馬、危険な新種の Neverquest は古い同族の進化形 Trojan.Snifula Trojan.Snifula!gen1 Trojan.Snifula!gen2 Trojan.Snifula!gen3 (シマンテック)
http://www.symantec.com/connect/ja/blogs/neverquest
● クレジットカード情報も狙うオンライン銀行詐欺ツール「VAWTRAK」、国内で検出報告増加を確認 BKDR_VAWTRAK TROJ_PAPRAS TROJ_VAWTRAK (トレンドマイクロ)
http://blog.trendmicro.co.jp/archives/9192
● 5月最終週に日本を襲った2つのWeb経由攻撃:「VAWTRAK」と「AIBATOOK」 BKDR_VAWTRAK TROJ_PAPRAS (トレンドマイクロ)
http://blog.trendmicro.co.jp/archives/9236
● [ESET] インターネットバンキングにおける不正送金の手口と対策について Win32/PSW.Papras (キヤノンITソリューションズ)
http://canon-its.jp/product/eset/sn/sn20140522.html● Windowsユーザーを脅かすTrojan.PWS.Papras.4 (Dr.Web)
http://news.drweb.co.jp/show/?i=712
● Neverquest Banking Trojan Uses VNC, SOCKS in New Threat (McAfee)
https://blogs.mcafee.com/mcafee-labs/neverquest-banking-trojan-wild
Vawtrak感染後にセキュリティソフトを殺す機能の影響
Windowsの警告ダイアログ!?
『グループ ポリシーによりこのプログラムはブロックされています。
詳細はシステム管理者に問い合わせてください。』
詳細はシステム管理者に問い合わせてください。』
ウイルスがレジストリをいじって、管理者権限でセキュリティソフトの実行を制限するパラメータを新規追加するため。(下の《レジストリ2》)
◆ レジストリ&ファイルの変更
ランダム文字列はアルファベット。長さが7、8文字らへん?
《レジストリ1》 ウイルス起動用
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
値の名前 → [ランダム文字列]
値のデータ → regsvr32.exe "C:\ProgramData\[ランダム文字列].dat"
<2014年8月 追記始め>
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
値の名前 → [ランダム文字列]
値のデータ → regsvr32.exe "C:\ProgramData\[ランダム文字列]\[ランダム文字列].dat"
《例》
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
値の名前 → OjcoDana
値のデータ → regsvr32.exe "C:\ProgramData\OjcoDana\OjcoDana.dat"
<追記終わり>
《レジストリ2》 セキュリティソフト殺し

手元では左側のツリーでPaths傘下の4つが新規追加 (1つは自前)
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\Codeidentifiers\0\Paths\{********-****-****-****-************}
値の名前 → ItemData
値のデータ → [導入されてるセキュリティソフト関連のフォルダパス]
《ウイルス本体ファイル》
C:\ProgramData\[ランダム文字列].dat
<2014年8月 追記始め>
C:\ProgramData\[ランダム文字列]\[ランダム文字列].dat
<追記終わり>
セキュリティ会社の脅威情報
● BKDR_VAWTRAK.SMN | 危険度: 低 | トレンドマイクロ:セキュリティ情報
http://about-threats.trendmicro.com/malware.aspx?language=jp&name=BKDR_VAWTRAK.SMN
● キヤノンITソリューションズ:ESET Smart Security & ESET NOD32アンチウイルス:Win32/PSW.Papras.CX
http://canon-its.jp/product/nd/virusinfo/vr_win32_psw_papras_cx.html
● Backdoor:Win32/Vawtrak.A TrojanDropper:Win32/Vawtrak.A Behavior:Win32/MpTamperSrp.A (Microsoft)
http://www.microsoft.com/security/portal/threat/encyclopedia/search.aspx?query=Win32/Vawtrak
・ メールアドレス収集 → ウイルス付き偽メールの配信に使うため
・ FTPアカウント収集 → 正規サイトを改ざんしてウイルス配信サイトに仕立てるため
・ FTPアカウント収集 → 正規サイトを改ざんしてウイルス配信サイトに仕立てるため
Webインジェクション時の偽メッセージ?
ネットバンキング&クレジットカード会社にログインする時に表示される不正な画面に特徴的な偽メッセージ? (Webインジェクション)
◆ 感染経路はドライブバイ・ダウンロード攻撃
不特定多数にバラ撒かれる英語表記の偽メールに添付された実行ファイルの自爆感染もあるようだけど、Vawtrakファミリの大口が
による強制感染パターン! 

つまり、改ざん被害を受けてる正規の一般サイトやブログを偶然踏んで…
(1) Java を更新しないで旧バージョンのまま放置してる
(2) Adobe Flash Player 〃
(3) Adobe Reader 〃
(4) Microsoft系 〃 (Internet Explorer、Silverlight など)
のどれか1つでも当てはまったWindowsパソコンのみアウトッ! 
