ネットバンキングユーザーを狙う「URLZone」が国内で増加 - ファイア・アイ

「偽装しているプロセスの名前、バージョン、タイムスタンプ」「IPアドレス」「キーボード構成」を取得する。

また、Windows Address Book(WAB)内に保存されているメールアドレスを窃取する。その際、まずレジストリ内のwab32.dllとWABファイル名の両方を検索し、次にライブラリを使用してWABファイルを解析し、ランダムに生成されるレジストリキーとレジストリ値、/SOFTWARE//内に情報を保存する。

さらに、一般的に使用されているネットワーク接続用プログラムに悪意あるコードをインジェクトさせて、WebやFTPの情報を窃取する。プログラム上で特定の悪意あるルーチンをインジェクトし、ネットワーク・トラフィックの送受信で使用される特定のライブラリをフックする。Internet ExplorerやFirefox、SmartFTPなどのアプリケーションの存在を常に確認し、プロセス名に応じて、特定のフック関数をインジェクトする。

FTP/電子メール・アプリケーション(WinSockのフックを実施)の場合、ws2_32.dllから「ws2_32_send」「ws2_32_connect」