ランサムウェアに加えて, 今月は、新しい亜種と完全に新しい部分を備えた古いバンキング型トロイの木馬がいくつか見られました. 潜んでいる最新のバンキング型トロイの木馬は、Microsoft PowerShellを使用して、被害者のPCローカルプロキシ設定を変更し、バンキングポータルにアクセスしようとしているときにユーザーを別のサーバーにリダイレクトします。. Kasperskyの研究者は、このトロイの木馬をTrojan-Proxy.PowerShell.Agent.aとして検出しました。.
トロイの木馬-Proxy.PowerShell.Agent.a: 技術概要
詐欺師は、銀行口座を標的にするために使用するマルウェアを改善するための新しい方法を常に作成しています, そして今、ブラジルの攻撃者は彼らの武器庫に重要な追加をしました: PowerShellの使用, カスペルスキーの研究者 指摘する.
ブラジルは、バンキング型トロイの木馬に関して世界で最も感染している国です。, KasperskyのQ1によると 2016 報告, したがって、マルウェアの品質が進化していることは驚くべきことではありません. 研究チームは “キャッチ” 数日前のトロイの木馬-Proxy.PowerShell.Agent.a, ブラジルのサイバー犯罪者による新たな成果のマーク.
トロイの木馬がコンピューターのプロキシ設定を乗っ取るのはこれが初めてではありません. でも, 以前のキャンペーンでは、攻撃者はローカルPACを使用していました, またはプロキシ自動設定. 加えて, トロイの木馬もPowerShellを使用します.
PowerShellとは何ですか?
PowerShellは、Microsoftのタスク自動化および構成管理フレームワークです。, コマンドラインシェルと、.NETFramework上に構築された関連するスクリプト言語で構成されます. ユーティリティは最近オープンソースになり、LinuxとMacで利用できるようになりました.
Trojan-Proxy.PowerShell.Agent.a配布パス
このトロイの木馬は、電子メールキャンペーンを介して拡散します, 悪意のある.PIFファイルで携帯電話会社からの領収書になりすました. 実行されると, このファイルは、Internet Explorerのプロキシ設定を悪意のあるプロキシサーバーに転送して、ブラジルの銀行のフィッシングページに接続をリダイレクトする可能性があります。.
興味深いことに, トロイの木馬はコマンドを使用しません & 通信を制御する:
実行後、PowerShell実行ポリシーをバイパスすることを目的としたコマンドライン「-ExecutionPolicyBypass -File%TEMP% 599D.tmp599E.ps1」を使用してプロセス「powershell.exe」を生成しました。. tempフォルダーの.ps1ファイルはランダムな名前を使用します. これは、システムに変更を加えることができるbase64でエンコードされたスクリプトです.
プロキシハンドラーが組み込まれていない他のアプリはこの構成を使用するため, プロキシ設定は非常に重要です. さらに, Firefoxを除く一般的なブラウザは、デフォルトのインターネット接続設定としてInternetExplorerのプロキシ設定を採用しています, これはユーザーにとって事態を悪化させます.
言い換えると, ユーザーが影響を受けるブラウザの1つを介して銀行ポータルにアクセスしようとするときはいつでも, HTTPリクエストは傍受され、悪意のあるサーバーにリダイレクトされます. ユーザーは、銀行の資格情報を収集する偽の銀行ポータルにリダイレクトされます.
トロイの木馬-Proxy.PowerShell.Agent.a: ターゲット
今のところ, バンキング型トロイの木馬はブラジルの銀行のみを標的としていますが、オリンピックの終わりが近づいているため、研究者はキャンペーンが他の国に移動することを期待しています. 現在、このマルウェアは、デフォルト言語がブラジルポルトガル語であるマシンを特に標的としています。, またはPTBR.
避けるべき他のバンキング型トロイの木馬:
トロイの木馬-Proxy.PowerShell.Agent.a: 取り外しと保護
感染したユーザーは、システムからトロイの木馬をすぐに削除する必要があります. そうするための最良の方法は自動的にです, 強力なスパイウェア対策プログラムを介して.
Trojan-Proxy.PowerShell.Agent.aを自動的に削除します 高度なマルウェア対策プログラムをダウンロードする
Preparation before removing Trojan-Proxy.PowerShell.Agent.a.
実際の除去プロセスを開始する前に, 次の準備手順を実行することをお勧めします.
- これらの指示が常に開いていて、目の前にあることを確認してください.
- すべてのファイルのバックアップを作成します, 破損したとしても. クラウドバックアップソリューションを使用してデータをバックアップし、あらゆる種類の損失に対してファイルを保証する必要があります, 最も深刻な脅威からでも.
- これにはしばらく時間がかかる可能性があるため、しばらくお待ちください.
ステップ 1: Boot Your PC In Safe Mode to isolate and remove Trojan-Proxy.PowerShell.Agent.a





ステップ 2: レジストリをクリーンアップします, created by Trojan-Proxy.PowerShell.Agent.a on your computer.
通常対象となるWindowsマシンのレジストリは次のとおりです。:
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunOnce
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion RunOnce
これらにアクセスするには、Windowsレジストリエディタを開き、値を削除します。, created by Trojan-Proxy.PowerShell.Agent.a there. これは、以下の手順に従うことで発生する可能性があります:



ステップ 3: Find virus files created by Trojan-Proxy.PowerShell.Agent.a on your PC.
新しいWindowsオペレーティングシステムの場合
1: キーボードで押す + R そして書く explorer.exe の中に 走る テキストボックスをクリックしてから、 Ok ボタン.
<
2: クリック あなたのPC クイックアクセスバーから. これは通常、モニター付きのアイコンであり、その名前は次のいずれかです。 "私のコンピューター", 「私のPC」 また 「このPC」 またはあなたがそれに名前を付けたものは何でも.
3: PC の画面の右上にある検索ボックスに移動し、次のように入力します。 「fileextension:」 と その後、ファイル拡張子を入力します. 悪意のある実行可能ファイルを探している場合, 例は "fileextension:EXE". それをした後, スペースを残して、マルウェアが作成したと思われるファイル名を入力します. ファイルが見つかった場合の表示方法は次のとおりです:
NB. We recommend to wait for the green loading bar in the navigation box to fill up in case the PC is looking for the file and hasn't found it yet.
古いWindowsオペレーティングシステムの場合
古い Windows OS では、従来のアプローチが有効なはずです:
1: クリックしてください スタートメニュー アイコン (通常は左下にあります) 次に、 探す 好み.
2: 検索ウィンドウが表示された後, 選ぶ より高度なオプション 検索アシスタントボックスから. 別の方法は、をクリックすることです すべてのファイルとフォルダ.
3: その後、探しているファイルの名前を入力し、[検索]ボタンをクリックします. これには時間がかかる場合があり、その後結果が表示されます. 悪意のあるファイルを見つけた場合, あなたはその場所をコピーまたは開くことができます 右クリック その上に.
これで、ハードドライブ上にあり、特別なソフトウェアによって隠されていない限り、Windows上の任意のファイルを検出できるはずです。.
始める前に "ステップ 4", お願いします 通常モードで起動します, 現在セーフモードになっている場合.
これにより、インストールと SpyHunterを使用する 5 正常に.
ステップ 4: Scan for Trojan-Proxy.PowerShell.Agent.a with SpyHunter Anti-Malware Tool
Trojan-Proxy.PowerShell.Agent.a FAQ
What Does Trojan-Proxy.PowerShell.Agent.a Trojan Do?
The Trojan-Proxy.PowerShell.Agent.a トロイの木馬 妨害するように設計された悪意のあるコンピュータ プログラムです。, ダメージ, または、コンピュータ システムへの不正アクセスを取得する. 機密データを盗むために使用できます, システムを支配する, または他の悪意のある活動を開始する.
What Damage Can Trojan-Proxy.PowerShell.Agent.a Trojan Cause?
The Trojan-Proxy.PowerShell.Agent.a Trojan is a malicious type of malware that can cause significant damage to computers, ネットワークとデータ. 情報を盗むために使用される可能性があります, システムを制御する, 他の悪意のあるウイルスを拡散し、 マルウェア.
Is Trojan-Proxy.PowerShell.Agent.a Trojan a Harmful Virus?
はい, それは. A Trojan is a type of malicious software that is used to gain unauthorized access to a person's device or system. ファイルが破損する可能性があります, データを削除する, 機密情報を盗むことさえあります.
トロイの木馬できますか, Like Trojan-Proxy.PowerShell.Agent.a Steal Passwords?
はい, トロイの木馬, like Trojan-Proxy.PowerShell.Agent.a, パスワードを盗むことができます. These malicious programs are designed to gain access to a user's computer, 被害者をスパイ 銀行の詳細やパスワードなどの機密情報を盗む.
Can Trojan-Proxy.PowerShell.Agent.a Trojan Hide Itself?
はい, できる. トロイの木馬は、さまざまな手法を使用して自分自身を隠すことができます, ルートキットを含む, 暗号化, と 難読化, セキュリティ スキャナーから隠れて、検出を回避します。R
トロイの木馬ウイルスは出荷時設定にリセットして削除できますか?
はい, トロイの木馬ウイルスは、デバイスを工場出荷時の状態にリセットすることで削除できます. これは、デバイスを元の状態に復元するためです。, インストールされている可能性のある悪意のあるソフトウェアを排除する.
Can Trojan-Proxy.PowerShell.Agent.a Trojan Infect WiFi?
はい, トロイの木馬が WiFi ネットワークに感染する可能性があります. ユーザーが感染したネットワークに接続したとき, このトロイの木馬は、接続されている他のデバイスに拡散し、ネットワーク上の機密情報にアクセスできます。.
トロイの木馬は削除できますか?
はい, トロイの木馬は削除可能. これは通常、悪意のあるファイルを検出して削除するように設計された強力なウイルス対策プログラムまたはマルウェア対策プログラムを実行することによって行われます。. ある場合には, トロイの木馬を手動で削除する必要がある場合もあります.
トロイの木馬を削除するのは難しいですか?
はい, トロイの木馬は、正当なプログラムに偽装することが多いため、削除するのが非常に難しい場合があります。, それらを検出するのが難しく、削除するのが非常に難しい.
トロイの木馬はファイルを盗むことができますか?
はい, トロイの木馬がコンピュータにインストールされている場合、ファイルを盗むことができます. これは、 マルウェア作成者 またはユーザーがコンピュータにアクセスして、そこに保存されているファイルを盗む.
トロイの木馬を削除できるマルウェア対策?
などのマルウェア対策プログラム スパイハンター トロイの木馬をスキャンしてコンピュータから削除することができます. マルウェア対策を最新の状態に保ち、悪意のあるソフトウェアがないかシステムを定期的にスキャンすることが重要です.
トロイの木馬は USB に感染する可能性があります?
はい, トロイの木馬は感染する可能性があります USB デバイス. USB トロイの木馬 通常、悪意のあるファイルをインターネットからダウンロードしたり、電子メールで共有したりすることで拡散します。, allowing the hacker to gain access to a user's confidential data.
About the Trojan-Proxy.PowerShell.Agent.a Research
SensorsTechForum.comで公開するコンテンツ, this Trojan-Proxy.PowerShell.Agent.a how-to removal guide included, 広範な研究の結果です, 特定のトロイの木馬の問題を取り除くためのハードワークと私たちのチームの献身.
How did we conduct the research on Trojan-Proxy.PowerShell.Agent.a?
私たちの調査は独立した調査に基づいていることに注意してください. 私たちは独立したセキュリティ研究者と連絡を取り合っています, そのおかげで、最新のマルウェア定義に関する最新情報を毎日受け取ることができます, さまざまな種類のトロイの木馬を含む (バックドア, ダウンローダー, infostealer, 身代金, 等)
さらに, the research behind the Trojan-Proxy.PowerShell.Agent.a threat is backed with VirusTotal.
トロイの木馬によってもたらされる脅威をよりよく理解するため, 知識のある詳細を提供する以下の記事を参照してください.
参考文献
1. トロイの木馬–それは何ですか?
2. 偽のGoogle広告を通じて配信されるトロイの木馬化されたAnyDeskアプリ
3. ハッカーは悪意のあるExcelを使い続けます 4.0 バンキング型トロイの木馬を配信するマクロ
4. FickerInfostealerは偽のSpotify広告を使用して伝播します
5. JupyterInfostealerマルウェアはChromeとFirefoxのブラウザデータを標的にします

I use proxy and have no problem with trojans.