エフセキュアのThreat Researchチームが今日、Bitcoin wallet.datトロイの木馬の分析を行った。「Bitcoin」は2009年に登場したデジタル通貨だ。
我々はこの脅威を「Trojan-PSW:W32/CoinBit.A」として検出している。
以下はそのGUIのスクリーンショットだ:
(SHA-1 c4f6c921aa77fbb7f2b616a22ee7d4578f8ccf44)
あまりプロフェッショナルな見た目では無い。
しかし、本当のポイントはそこではない。これはひったくりなのだ。ウインドウがレンダリングされる前に、同アプリケーションはBitcoin wallet.datファイル(がもし存在すれば)を、以下のロケーションからフェッチする:
%Documents and Settings%\\AppData\Roaming\Bitcoin\wallet.dat
次に「Coinbit.A」がポーランドのSMTPサーバを介して、「wallet.dat」を@hotmailアドレスに送信しようとする。この.plサーバはハードコードされている。報告によれば、同サーバアカウントのパスワードは変更されており、この亜種はもはや有効ではないようだ。
ハードコードされた@hotmail受信者メールアドレスを検索すると、bitcoin.orgフォーラムのスレッドに導かれる。
スリがフォーラムのチャットアプリケーションにリンクをポストしたようだ。同フォーラムのメンバーがそのリンクをクリックし、トロイの木馬をダウンロードすれば、彼らは自分のウォレットを失う危険をおかすことになった。
フォーラムメンバーの言葉を引用すれば:
「これがあなたのwallet.datに直行することは間違いない」
「人々はここからコインを失うだろう!」
非常にあり得ることだ。
詳細は「Wired」のKevin Poulsenの記事を読んで欲しい。
我々はこの脅威を「Trojan-PSW:W32/CoinBit.A」として検出している。
以下はそのGUIのスクリーンショットだ:
(SHA-1 c4f6c921aa77fbb7f2b616a22ee7d4578f8ccf44)
あまりプロフェッショナルな見た目では無い。
しかし、本当のポイントはそこではない。これはひったくりなのだ。ウインドウがレンダリングされる前に、同アプリケーションはBitcoin wallet.datファイル(がもし存在すれば)を、以下のロケーションからフェッチする:
%Documents and Settings%\
次に「Coinbit.A」がポーランドのSMTPサーバを介して、「wallet.dat」を@hotmailアドレスに送信しようとする。この.plサーバはハードコードされている。報告によれば、同サーバアカウントのパスワードは変更されており、この亜種はもはや有効ではないようだ。
ハードコードされた@hotmail受信者メールアドレスを検索すると、bitcoin.orgフォーラムのスレッドに導かれる。
スリがフォーラムのチャットアプリケーションにリンクをポストしたようだ。同フォーラムのメンバーがそのリンクをクリックし、トロイの木馬をダウンロードすれば、彼らは自分のウォレットを失う危険をおかすことになった。
フォーラムメンバーの言葉を引用すれば:
「これがあなたのwallet.datに直行することは間違いない」
「人々はここからコインを失うだろう!」
非常にあり得ることだ。
詳細は「Wired」のKevin Poulsenの記事を読んで欲しい。