フォティーンフォティ技術研究所 プロダクト開発第二部の岡野です。

近年、オンラインバンキングの利用者を狙ったマルウェアとしてSpyEyeが流行しています。下表は「2011 年下半期 Tokyo SOC 情報分析レポート」より引用したSpyEye検体とC&Cサーバー間の通信件数の推移です。

上記からSpyEyeのバージョン毎に感染が広がる時期があることがわかります。今後もSpyEyeのバージョンアップなどで感染が拡大する可能性があります。

今回、SpyEyeビルダーで生成した検体を元にその動作概要を調査し、ホワイトペーパーとしてまとめました。

ホワイトペーパーのダウンロードはこちらから

目次は以下の通りです。

1.はじめに
2.SpyEyeの概要
 2.1.動作概要
 2.2.システムへのインストール
 2.3.感染活動
 2.4.他プロセスへの影響
 2.5.SpyEye隠ぺいルーチン
 2.6.HTML改ざんルーチン
3.SpyEye vs FFRI Limosa
3.1.HTMLインジェクション
3.2.スクリーンキャプチャ
4.まとめ

SpyEyeに関する調査だけでなく、弊社製品「FFRI Limosa」との検証も実施しています。 結果のみ申し上げますと、SpyEyeが標準で行うことのできる攻撃からブラウザを防御可能であることが確認できました。 改めて「FFRI Limosa」の有効性の証明になったかと思います。 詳しくはぜひ、ホワイトペーパーをダウンロードしてご確認ください。

関連記事

Monthly Research 「Man in the Browser in Androidの可能性」

インターネットバンキングを狙った攻撃について

FIT2012(国際金融情報技術展)出展レポート

情報提供: FFRI BLOG