Clampi_(trojan)
Clampi ( Ligats、llomo、またはRscanとも呼ばれます)は、Windowsコンピューターに感染するコンピューターマルウェアの一種です。より具体的には、潜在的な金銭的利益を得るために、侵害されたコンピューターから第三者に金銭的および個人的な情報を送信し、コンピューターの構成について報告し、中央サーバーと通信し、他のマルウェアのダウンローダー。 Clampiは、MicrosoftWindowsオペレーティングシステムを実行しているコンピューターに影響を与える2007年に最初に観察されました。
Clampiは4000を超えるWebサイトのURLを監視し、銀行やクレジットカードのWebサイトだけでなく、公益事業、市場調査会社、オンラインカジノ、キャリアWebサイトの資格情報やユーザー情報を効果的にキーロガーしました。 2009年秋にピークを迎えたコンピューターセキュリティの専門家は、インターネット上で最大かつ最も専門的な窃盗活動の1つであり、ロシアまたは東ヨーロッパのシンジケートによって運営されている可能性が高いと述べました。 Clampiの偽陽性の報告は、技術サポート詐欺師が偽のコンピューターウイルスの除去のためにお金を送るように個人に圧力をかけるためにもよく使用されます。
コンテンツ
1 詳細な分析
1.1 名前付きモジュール
2 も参照してください
3 参考文献
4 外部リンク
詳細な分析
コンピュータセキュリティアナリストのNicolasFalliereは、「Trojan.Clampiのように頭を悩ませた脅威はほとんどない」と述べています。これは、 VMProtectと呼ばれる仮想マシンを使用して命令セットを非表示にしていることが判明した最初のトロイの木馬でした。彼は、仮想マシンを使用すると、プログラマーが脅威と作用メカニズムを分解して説明するのに必要な時間が数週間長くなると述べました。彼は、個人の財務情報をログに記録し、侵害されたコンピューターからサードパーティに送信して潜在的な金銭的利益を得たほか、コンピューターの構成について報告し、中央サーバーと通信し、Internet Explorer 8を悪用し、 SOCKSプロキシを設定したことを発見しました。他のマルウェアのダウンローダーとして機能しました。このウイルスは、ファイアウォールの背後に隠れて長期間検出されないほど高度なものでした。約4,800のURLのリストがCRCエンコードされました(ハッシュと同様)。これは、2009年9月に一般的なURLのリストに対して辞書攻撃を受け、重複とあいまいさを伴う既知のサイトの部分的なリストを作成しました。ソースコードがオンラインで共有または販売されたと報告されたことはありません。
名前付きモジュール
2009年に実行可能ファイルの復号化によって発見されたコンポーネントのリスト:
SOCKS –攻撃者が職場/自宅のインターネット接続から銀行にログインするために使用できるSOCKSプロキシサーバーを構成します。
PROT – PSTORE(Internet Explorer用の保護されたストレージ)に保存されたパスワードを盗みます
LOGGER – URLがリストにある場合、オンライン資格情報を盗もうとします。
LOGGEREXT –セキュリティが強化されたWebサイト(HTTPSなど)のオンライン資格情報を盗むのに役立ちます
SPREAD –共有ディレクトリを持つネットワーク内のコンピューターにClampiを拡散します。
アカウント–インスタントメッセージングやFTPクライアントなどのさまざまなアプリケーションのローカルに保存された資格情報を盗みます。
INFO –一般的なシステム情報を収集して送信します
KERNAL – 8番目のモジュールは、独自の保護された仮想アプライアンス内で実行されている間、それ自体をKernalと呼びます。
も参照してください
ボットネット Conficker Gameover ZeuS、ZeuSの後継
トバー作戦
コンピュータウイルスとワームのタイムライン
TinyBankerトロイの木馬
トルピッグ
ゾンビ(コンピューティング)
参考文献
^ ホロウィッツ、マイケル(2009-07-29)。「Clampiトロイの木馬に対する防御」。Computerworld。
^ 「Trojan.ClampiのJawsの内部–SymantecEnterprise」。Broadcom EndpointProtectionライブラリ。
^ Elinor Mills(2009-07-29)。「消費者や企業からオンライン銀行のデータを盗むClampiトロイの木馬」。CNET。
^ エレンメスマー(2009-07-29)。「Clampiトロイの木馬は、金銭を略奪するボットネットモンスターとして明らかになりました」。ネットワークワールド。
^ ブライアンクレブス(2009-09-11)。「「Clampi」トロイの木馬のクランプダウン」。ワシントンポスト。
^ カスペルスキーチーム。「クランピウイルスとは?」。カスペルスキー。
^ Dreama Jensen(2016-12-16)。「コンピュータウイルスや詐欺師から身を守る」。サウスベンドトリビューン。
^ 「VMAttack |可用性、信頼性およびセキュリティに関する第12回国際会議の議事録」。土井:10.1145 /3098954.3098995。S2CID 7759690。 ^ 「クランピウイルスとは何ですか?」。usa.kaspersky.com。2017-11-02。
外部リンク
クランピウイルスは企業の金融口座を標的にしている– ABC News
財務情報を盗む大規模なボットネット– PC World
Trojan.ClampiのJawsの内部– Symantec Securityホワイトペーパー(アーカイブ済み)