Tag Archives: Trojan.Banclip

Banclip ? ShadesRat ????????????

      No Comments on Banclip ? ShadesRat ????????????

Figure_2.png

1 月 23 日、CERT Polska はブログを投稿し、ポーランドのユーザーを標的として最小限の労力でオンラインバンキングを狙うマルウェアについて報告しました。同ブログでは、このマルウェアの一部のサンプルで使われていたハッシュも紹介されています。シマンテックはこれを受けて、今回のマルウェアの新しい名前を Trojan.Banclip として用意しました。シマンテックの遠隔測定結果を見ると、このマルウェアの拡散状況と、攻撃者のそれ以外の目的について詳しく理解することができます。これはまた、マルウェアスキャンサービスに関する誤解を解くきっかけにもなります。

関連する活動
2014 年 1 月 14 日、シマンテックは、Trojan.Banclip の亜種がポーランドの Web サイト zeus[削除済み].cba.pl からダウンロードされていることを記録しました。その後、少なくとも 6 つのマルウェアサンプルがこの Web サイトからダウンロードされています。次のグラフは、拡散されたマルウェアの 1 日当たりの検出数です。

Figure1_8.png

図. zeus[削除済み].cba.pl による 1 日当たりの感染数

確認されている 6 つのサンプルには、Trojan.Banclip の他の亜種がいくつかと、W32.Shadresrat(別名 BlackShades)のコピーもありました。W32.Shadresrat は「販売されている」RAT であり、攻撃者がこれを使えば被害者のコンピュータを完全に制御できるようになります。zeus-[削除済み].cba.pl からダウンロードされた W32.Shadesrat のサンプルは、コマンド & コントロールサーバーとしても zeus-[削除済み].cba.pl を使っていました。このような二重の使い方から、マルウェアを拡散している犯人と、マルウェアを使って被害者のコンピュータを攻撃している犯人とは同一だと推測できます。もう一方のマルウェア Trojan.Banclip も、同じ攻撃者によって拡散および利用されていると思われます。これは、両方のマルウェアに狙われている標的が主にポーランドのユーザーであることからも見て取れます。

悪質なサーバーからダウンロードされることが確認されているのは、以下のサンプルです。

  • 0bec288addbe72c20fd442b38dab4867
  • 2b0198b52012adce1ad5c5a44ee1c180
  • 387fb206eb014525b9a805fbba4b2318
  • 3bf9e6fd9c20e06d0769c7a84ae21202
  • 6712b0888415fb432270f4d4dbec47a3
  • f8987a4dd66edf76f1bbf41578c35a05
  • f8dd3554e53160fec476bb8016ea12a9

検出
CERT Polska は、このマルウェアの検出率が低いようだとブログで指摘しています。これは VirusTotal のスキャン結果に基づく見解ですが、テストに VirusTotal を使うのは理解できるものの、その結果は見かけほど明確ではないと思われます。

今回の場合、Trojan.Banclip ファイルが検出されていたのは間違いなく、シマンテック製品をお使いのお客様は保護されています。上のグラフに示されている期間に、この脅威は、シマンテックの評価技術により Suspicious.Cloud.2 または Suspicious.Cloud.9 という検出名で検出されていました。評価技術は、ファイルのダウンロード元の Web サイトの評価など、さまざまな変数を使ってマルウェアを検出するため、ファイルをただスキャンするだけで検出結果を再現できるわけではありません。

シマンテック製品には、実行時やネットワークへの接続時にマルウェアを検出する、その他の検出技術も搭載されています。それらすべてがユーザーを保護するために役立っていますが、そういったシステムも単純なスキャン結果には反映されません。十分に保護するためには、このような高度な機能を有効にしておくことが重要です。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Banclip, ShadesRat, and Malware Detections

      No Comments on Banclip, ShadesRat, and Malware Detections

Figure_2.png

On January 23, CERT Polska posted a blog describing a piece of minimalist banking malware targeting Polish citizens. The hashes of several samples of the malware were also listed in the blog. Symantec subsequently broke out a new name for this malware, calling it Trojan.Banclip. Using Symantec telemetry it’s possible to understand more about the distribution of this malware, and what else the attackers responsible for the malware may be up to. It is also an opportunity to clear up some misconceptions about malware scanning services.

Related activity

Symantec recorded a variant of Trojan.Banclip being downloaded from a Polish website, zeus[REMOVED].cba.pl, on January 14, 2014. At least six more malware samples were downloaded from this website over time. The graph below shows the number of detections per day of the distributed malware.

Figure1_8.png

Figure. zeus[REMOVED].cba.pl infections per day

In the six samples identified, there were several other variants of Trojan.Banclip, as well as a copy of W32.Shadresrat (aka BlackShades). W32.Shadresrat is a RAT that is ‘for sale’ and offers an attacker complete control over a victim’s computer. The W32.Shadesrat samples downloaded from zeus-[REMOVED].cba.pl also used zeus-[REMOVED].cba.pl as the command-and-control server. This dual use implies that the person responsible for distributing the malware is the same person responsible for using it to attack victims’ computers. It is likely that the other malware, including Trojan.Banclip, are distributed and utilized by the same attacker. This theory is supported because the observed targets for both malware are primarily Polish.

The following samples were identified as being downloaded from the malicious server:

  • 0bec288addbe72c20fd442b38dab4867
  • 2b0198b52012adce1ad5c5a44ee1c180
  • 387fb206eb014525b9a805fbba4b2318
  • 3bf9e6fd9c20e06d0769c7a84ae21202
  • 6712b0888415fb432270f4d4dbec47a3
  • f8987a4dd66edf76f1bbf41578c35a05
  • f8dd3554e53160fec476bb8016ea12a9

Detection

When referring to the malware on their blog, CERT Polska indicated that it appeared to be poorly detected. This conclusion was based on the scan results from VirusTotal. Although it’s understandable to use VirusTotal as a test, the results may not be as clear cut as they appear.

In this particular case, the Trojan.Banclip files were actually detected and customers were protected from them. They were detected by Symantec’s Reputation technology, under the detection name of Suspicious.Cloud.2 or Suspicious.Cloud.9, during the time frame shown in the figure above. The Reputation technology uses a number of different variables, including the reputation of the website a file is downloaded from, to detect malware, and because of this it’s not always possible to replicate it with a basic scan of the file.

There are also other detection technologies in Symantec products to detect malware when it runs, or when it makes network connections. These all help to protect a user, but such systems are not reflected in the output of a simple scan. It’s important that customers enable these advanced features to be fully protected.