エフセキュアのThreat Researchチームが今日、Bitcoin wallet.datトロイの木馬の分析を行った。「Bitcoin」は2009年に登場したデジタル通貨だ。

  我々はこの脅威を「Trojan-PSW:W32/CoinBit.A」として検出している。

  以下はそのGUIのスクリーンショットだ:

Trojan-PSW:W32/CoinBit.A
(SHA-1 c4f6c921aa77fbb7f2b616a22ee7d4578f8ccf44)

  あまりプロフェッショナルな見た目では無い。

  しかし、本当のポイントはそこではない。これはひったくりなのだ。ウインドウがレンダリングされる前に、同アプリケーションはBitcoin wallet.datファイル(がもし存在すれば)を、以下のロケーションからフェッチする:

%Documents and Settings%\\AppData\Roaming\Bitcoin\wallet.dat

  次に「Coinbit.A」がポーランドのSMTPサーバを介して、「wallet.dat」を@hotmailアドレスに送信しようとする。この.plサーバはハードコードされている。報告によれば、同サーバアカウントのパスワードは変更されており、この亜種はもはや有効ではないようだ。

  ハードコードされた@hotmail受信者メールアドレスを検索すると、bitcoin.orgフォーラムのスレッドに導かれる。

  スリがフォーラムのチャットアプリケーションにリンクをポストしたようだ。同フォーラムのメンバーがそのリンクをクリックし、トロイの木馬をダウンロードすれば、彼らは自分のウォレットを失う危険をおかすことになった。

  フォーラムメンバーの言葉を引用すれば:

「これがあなたのwallet.datに直行することは間違いない」
「人々はここからコインを失うだろう!」

  非常にあり得ることだ。

  詳細は「Wired」のKevin Poulsenの記事を読んで欲しい。