TSPY_ZBOT.WHZ
Trojan.Zbot (Symantec_Beta); PWS:Win32/Zbot.gen!AF (Microsoft); Mal/Bredo-P (Sophos)
Windows 2000, Windows XP, Windows Server 2003
マルウェアタイプ:
スパイウェア
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
感染経路:Eメールを介したスパム活動
トレンドマイクロは、このスパイウェアをNoteworthy(要注意)に分類しました。
スパイウェアは、多数のドメイン名を生成する機能を備えています。そしてスパイウェアは、生成したドメインのいずれかにアクセスし、不正なファイルをダウンロードする機能を備えています。
スパイウェアは、特定のURLへのリンクを含むスパムメッセージを介してコンピュータに侵入します。ユーザがスパムメール内のリンクをクリックすると、このスパイウェアのコピーがダウンロードされます。
スパイウェアは、感染したコンピュータ上でWebブラウザの使用状況を監視することによって、オンライン銀行に関連する認証情報を収集します。
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
スパイウェアは、以下のリモートサイトからダウンロードされ、コンピュータに侵入します。
- http://{BLOCKED}sgqayjjj.biz/news/?s={random}
インストール
スパイウェアは、以下のファイルを作成します。
- %Application Data%\{random letters 1}\{random letters}.exe - copy of itself
- %Application Data%\{random letters 2}\{random letters}.{random letters} - encrypted file
(註:%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\<ユーザ名>\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Application Data" です。)
スパイウェアは、以下のフォルダを作成します。
- %Application Data%\{random letters 1}
- %Application Data%\{random letters 2}
(註:%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\<ユーザ名>\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Application Data" です。)
スパイウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- Global\{GUID}
- Local\{GUID}
スパイウェアは、以下のプロセスに組み込まれ、システムのプロセスに常駐します。
- ctfmon.exe
- dwm.exe
- explorer.exe
- rdpclip.exe
- taskeng.exe
- taskhost.exe
- wscntfy.exe
自動実行方法
スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
GUID = "%Application Data%\{random letters 1}\{random letters}.exe"
他のシステム変更
スパイウェアは、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Windows%\explorer.exe = "%Windows%\explorer.exe:*:Disabled:Windows Explorer"
スパイウェアは、インストールの過程で、以下のレジストリキーを追加します。
HKEY_CURRENT_USER\Software\Microsoft\
{random letters}
ダウンロード活動
スパイウェアは、以下のWebサイトにアクセスし、ファイルをダウンロードします。
- http://{pseudorandom alpha characters}.biz/news/
- http://{pseudorandom alpha characters}.org/news/
- http://{pseudorandom alpha characters}.info/news/
- http://{pseudorandom alpha characters}.net/news/
- http://{pseudorandom alpha characters}.com/news/
スパイウェアは、以下のWebサイトにアクセスして自身の環境設定ファイルをダウンロードします。
- http://{BLOCKED}sgqayjjj.biz/news/?s={random numbers}
その他
スパイウェアは、以下のURLへのリンクを含むスパムメッセージを介してコンピュータに侵入します。このリンクからは、このスパイウェアのコピーがダウンロードされます。
- http://{BLOCKED}ert.com/00000700955770US.exe
スパイウェアは、感染したコンピュータ上でWebブラウザの使用状況、特にアドレスバー情報を監視します。ユーザが、以下のいずれかのWebサイトを閲覧した場合、スパイウェアは、ログインフォームに入力された情報を傍受し、収集します。スパイウェアが正規のログインページを乗っ取り、追加の入力欄を作成することで、通常のログイン情報のほかにユーザの個人情報(母親の旧姓やオンライン署名など)をユーザに入力させます。このようにスパイウェアが要求する情報には、個人のオンライン認証情報も含まれています。
- bancamarche.it
- cedacri.it
- chebanca.it
- chebanka.it
- csebanking.it/fec
- deutsche-bank.it
- http://bancaincasa.sba.bcc.it/htdocs/homemain_ita.html
- http://gbw.it
- http://linksimprese.sanpaoloimi.com/pmiweb/LoginServlet
- http:://bancaincasa.sba.bcc.it:footer_ita.html
- http:://bancaincasa.sba.bcc.it:index_ita.html
- http:://in-biz.it
- http:://wbank2.fmbcc.bcc.it
- http:://webanking.it
- http:://webanking.it/htdocs/:_websitelogin_nocert.html
- https://TbusinessUonline.westpac.com.au/esis/Login/SrvPage
- https://aC.e.akamai.net/https://access.jpmorgan.com/appmanager/jpmalogonportal/jpmalogonhome
- https://access.rbsm.com/logon/_password
- https://achieveaccess.citizensbank.com/exchange/
- https://authmaster.nationalcity.com/tmgmt/
- https://bancamarche.it/webbdm/
- https://bancareale.it/
- https://banking.calbanktrust.com/iLogin.jsp
- https://banking.commercebank.com/CBI/Accounts/CBI/Summary.asp
- https://banking.firsttennessee.biz/servlet/ftb/indexhtml?
- https://banking.mashreqbank.com/RBG.Net/login.asp
- https://banking.mashreqbank.com/ibank/login.asp
- https://banking.postbank.de/app/_3kontoumsatz.umsatz.init
- https://banking.postbank.de/app/_welcomeTlogin
- https://banking.postbank.de/app/legitimation.input.do
- https://banking.postbank.de/app/mtan.listen.input.do
- https://banking.sparda.de/wps
- https://bankingB.anz.com/
- https://bankingTchaseonlineTpayments
- https://blilk.com/Core/Authentication/MFAPassword.asp
- https://bnycash.bankofny.com/
- https://bolb-_westTeastU.associatedbank.com/_T/Security/Password.asp
- https://business-eb.ibanking-services.com/K1/sb_login.jsp
- https://businessaccess.citibank.citigroup.com/cbusol/signon.do
- https://businessclassonline.compassbank.com/fiC_Banking/bb/logon?
- https://businessonline.huntington.com/BOLHome/BusinessOnlineLogin.asp
- https://businessonline.tdbank.com/corporatebankingweb/core/login.asp
- https://businessportal.mibank.com/oracleAccessManager/securid-forms-adforest/
- https://careerbuilder.com/
- https://cashman/_Tdefault.asp
- https://cashmanager.mizuhoe-treasurer.com/mz/servlet/Login?
- https://cashproonline.bankofamerica.com/AuthenticationFrameworkWeb/cpo/login/public
- https://cbs.firstcitizens.com/cb/servlet/cb/loginfcbnc.jsp
- https://chaseonline.chase.com/myaccounts.asp
- https://chaseonline.chase.com/secure/Profile/ChangeEmailAddress/
- https://chsec.wellsfargo.com/login/login.fcc
- https://cib.bankofthewest.com/KC/_Tindex.html
- https://client.schwab.com/accounts/summary/summary.asp
- https://cm.netteller.com/login2008/Authentication/Views/Login.asp
- https://cmol.bbt.com/auth/prompt.tb
- https://commercial.wachovia.com/Online/Financial/Business/Service_T?9action=Login
- https://core.cedacri.it/:/LogonStep
- https://csebo.it/webcontoc/
- https://deutsche-bank.it/:accessRequest
- https://deutsche-bank.it/:loginRequest
- https://deutsche-bank.it/:menuDbspa
- https://direct.53com/logon53Direct.jsp
- https://direkt.postbank.de/direktportalApp/index.jsp
- https://easywebcpo.td.com/waw/idp/login.htm
- https://ebank.shbonline.com/corp/BANKAWAY
- https://ebank.shbonline.com/scripts/t24.dll
- https://ebanking-services.com/
- https://ebusiness.anb.com.sa/corp/BANKAWAYT?
- https://express.53.com/express/logon
- https://hb.bancareale.it
- https://hb.bancareale.it/Bonifico
- https://hbnet:.cedacri.it/:CreateDocument&Login
- https://ib.nab.com.au/nabib/_index.jsp
- https://ibank.barclays.co.uk/olb/C/Login?
- https://ibanking.<.com.au/InternetBanking/.jsp
- https://ibbweb.tecmarket.it:/login
- https://ibs.bankwest.com.au/BWLogin/.asp
- https://ifxmanager.bnymellon.com/pw/pwserv/smpwservicescgi.exe?
- https://internetbanking.suncorpbank.com.au/
- https://login.commbiz.commbank.com.au/
- https://macys.com/
- https://mail.google.com/mail/
- https://market.android.com/account
- https://mijn.ingbank.nl/secure/eoe/eoe_login_token.jsp
- https://mijnTmijnzakelijkU(.ing.nl/internetbankieren/SesamLoginServlet
- https://online-business.lloydstsb.co.uk/logon.ibc
- https://online.americanexpress.com/myca/acctsumm/us/action?request_type=authreg_acctAccountSummary
- https://online.bbandt.com/auth/pwd.tb?
- https://online.corp.westpac.com.au/
- https://online.fgb.ae/fgbcorporate/CorpLogin.htm
- https://online.fgb.ae/fgbretail/RetailLogin.htm
- https://online.nbad.com/_BANKAWAYTBWAYCORPU
- https://online.saib.com.sa/corp/BANKAWAY
- https://online.wellsfargo.com/das/cgi-bin/session.cgi
- https://onlinebanking.anb.com.sa/RetailBank/app/logon.jsp
- https://onlinebanking.banksterling.com/login2.asp
- https://onlinebankingC.wachovia.com/myAccounts.asp
- https://onlineeastC.bankofamerica.com/
- https://onlineeastC.bankofamerica.com/cgi-bin/ias/
- https://passport.texascapitalbank.com/_Tdefault.asp
- https://pr.bancareale.it/:/WfHome
- https://premierview.membersunited.org/Core/login.asp
- https://pub/html/login.html
- https://rob.raiffeisen.it/nibank/MAIN
- https://secure.fransipluscom/_mem_bin/formslogin.asp
- https://securentrycorp
- https://server@.cey-ebanking.com/CLKCCM/
- https://singlepoint.usbank.com/cs70_banking/logon/
- https://sitekey.bankofamerica.com/sas/maint.do
- https://sitekey.bankofamerica.com/sas/sas-docs/js/commonscript.js
- https://ssl.selectpayment.com/mp/
- https://sso.unionbank.com/obc/forms/login_T_error
- https://towernet.capitalonebank.com/9login9.cgi
- https://treas-mgt.frostbank.com/rdp/cgi-bin/NI.cgi
- https://treasury.pncbank.com/portal/esec/login.ht
- https://usgatewayB.rbs.com/wps/portal/cb/applications/
- https://vpnB.sandyspringbank.com/+CSCOE+/logon.html
- https://wC.businessbanking.cibc.com/logon.jsp
- https://web-access.com/
- https://webbankingforbusiness.mandtbank.com/
- https://webinfocus.mandtbank.com/mandt/cgi-bin/
- https://wellsoffice.wellsfargo.com/ceoportal/signon/index.jsp
- https://wiredB.businessmanager.com/signon/signon.do
- https://www.TUalahliecorp.com/
- https://www.TUalahlionline.com/AOLRetail/
- https://www.TUanz.com/inetbank/:login:.asp
- https://www.TUcashanalyzer.com/_)caloadbalance.asp
- https://www.TUcbd.ae/online/:inet_login.asp
- https://www.TUeservices.baj.com.sa/default.asp
- https://www.TUibbpowerlink.com/fotrd/login.jsp
- https://www.TUmbachexpress.com/Inductor/Login.asp
- https://www.TUonlinetrade.baj.com.sa/gtp/screen/
- https://www.TUsamba.com/NI/COMMON/HTML/
- https://www.TUscotiaconnect.scotiabank.com/sco-tp/pki/AuthenticateUserInputRoamingEPF.jsp
- https://www.TUscotiaonline.scotiabank.com/online/start.jsp
- https://www.TUsecureB.banquepopulaire.fr/amserver/UI/Login?
- https://www.Ualinmaonline.com/cb/servlet/cb/jsp-ns/login.jsp
- https://www.Ualinmaonline.com/efs/servlet/efs/jsp-ns/login.jsp
- https://www.abbeyinternational.com/Login.asp
- https://www.accountcentralonline.com/cmuser/myacct/
- https://www.almubasher.com.sa/NewECorporate/p/login/
- https://www.almubasher.com.sa/retail/LogonRetail.jsp
- https://www.anzdirect.co.nz/online/
- https://www.arabi-online.net/efs/servlet/efs/
- https://www.arabi-online.net/efs/servlet/efs/jsp-ns/loginNF.jsp
- https://www.bankalbilad.com/bib_T-resourcesU/login
- https://www.bankalbilad.com/retail/logon.do
- https://www.barclaycardus.com/app/ccsite/action/switchAccount
- https://www.bbvanetcash.com/local_tlsb/KDPOSolicitarCredencialesNL_NL.html
- https://www.bbvanetcash.com/local_tlsb/TLBHEntradaUsuario_logon_CAS.html
- https://www.bendigobank.com.au/
- https://www.bmedonline.it:conti:riepilogo
- https://www.bmomutualfunds.com/_Tcfm/Holdings
- https://www.business.hsbc.co.uk/1/2/UL
- https://www.cbdibusiness.ae/cb/servlet/cb/login.jsp
- https://www.chase.com/_personalDataT9notfound.html
- https://www.cibconline.cibc.com/olbtxn/authentication/
- https://www.commerzbanking.de/P-PortalB/XML/IFILPortal/pgf.html
- https://www.comsec.com.au/default.asp
- https://www.contactus.cnb.com/html/tnet-ad.html
- https://www.creval.it/index
- https://www.discovercard.com/cardmembersvcs/achome/
- https://www.discovercard.com/cardmembersvcs/personalprofile/pp/GetInitialInfo
- https://www.efirstbank.com/_Kinternet-banking/log-in-sign-up.htm
- https://www.enternetbank.com/TESrvAuth
- https://www.ezcardinfo.com/AcctSummary.asp
- https://www.fiabusinesscard.com/cgi-bin/ias/
- https://www.fransicorp.com.sa/BankAwayCorporate/CorporateSignOn.asp
- https://www.gotomycard.com/accounts.asp
- https://www.hsbc.ae/1/2/
- https://www.hsbc.co.uk/1/2/
- https://www.hsbc.com.eg/1/2/
- https://www.hsbc.com.mx/1/2/
- https://www.hsbc.fr/1/2/
- https://www.hsbc.fr/1/2/english/personal
- https://www.hsbc.fr/1/2/hsbc-france/particuliers
- https://www.hsbccreditcard.com/ecare/control/generic.js
- https://www.hsbccreditcard.com/ecare/customerservice/updatepersonalinfo?&locale=en_US&brand=HB_090_750
- https://www.hsbccreditcard.com/ecare/viewaccount
- https://www.ibsnetaccess.com/NASApp/NetAccess/RegisteredAccountsDisplay
- https://www.ibsnetaccess.com/NASApp/NetAccess/updateQandA.action?target=updtQA
- https://www.inbank.it/jsp/Login_IT
- https://www.ingdirect.com.au/client/login.asp
- https://www.isideonline.it/relaxbanking/sso.Logi
- https://www.iwbank.it/private/index_pub.jhtml?ID_NODE=login
- https://www.myaccountaccess.com/onlineCard/
- https://www.myaccountaccess.com/onlineCard/postLogin.do?phase=start
- https://www.mycardstatement.com/AcctSummary.asp
- https://www.nashvillecitizensbank.com/olbb/_Tlogin.asp
- https://www.nordstromcard.com/fdr_nr.service?TRANTYPE
- https://www.offshore.hsbc.com/1/2/
- https://www.online-banking.standardchartered.com/Init/IBank?:ccode=AE
- https://www.partnercardservices.com/ecare/control/generic.js
- https://www.partnercardservices.com/ecare/customerservice/updatepersonalinfo?&locale=en_US&brand=RZ_500_501
- https://www.partnercardservices.com/ecare/viewaccount?
- https://www.paypal.com/C/cgi-bin/webscr?
- https://www.paypal.com/C/cgi-bin/webscr?cmd=_login-doneUrl
- https://www.paypal.com/C/cgi-bin/webscr?cmd=_profile-credit-card-new-clickthru
- https://www.paypal.com/NG_T!cgi-bin/webscr?
- https://www.pnccardservicesonline.com/pages/AccountSummary.asp
- https://www.riyadonline.com/RB_WebTMobileU/login_T_arU.jsp
- https://www.sabb.com_T.sa
- https://www.sella.it:index.jsp
- https://www.statementlook.com/fdr_ge.service?
- https://www.suntrust.com/portal/server.pt?
- https://www.svbconnect.com/useraccess/Login.jsp
- https://www.us.hsbc.com/1/2/
- https://www.usaa.com/inet/
- https://www.royalbank.com/cgi-bin/rbaccess/
- https://www.nabconnectnab.com.au/auth/login/
- https://www.TU_ntrsTnortherntrustU*.com/
- https://www.bmo.com/cgi-bin/netbnx/NBmain
- https://www.bmoharrisprivatebankingonline.com/Client/DFSignIn/DFLogin.asp
- https://www.comerica.com/_=cma/portal/mybusinessconnectTpkmslogin
- https://www.my.commbank.com.au/netbank/Logon/Logon.asp
- https://www.secure.hsbcnet.com/uims/portal/IDV_CAMB_AUTHENTICATION
- https://www.comerica.com/
- https://www.usbank.com/internetBanking/RequestRouter
- https://www.discovercard.com/images/ac-header/discover-card-logo.gif
この不正活動によって、ユーザのアカウント情報が漏えいし、不正リモートユーザにより悪用される恐れがあります。
スパイウェアは、コンピュータの現在の日時を基にドメイン名を生成する機能を用いてURLを作成します。そして作成したURLにアクセスします。またスパイウェアは、侵入したコンピュータから以下の情報を収集します。
- Cookie ファイル内のデータ(URL情報)
- アカウント名やEメールアドレス、パスワード、サーバのデータ、サーバのポートといったEメールに関連する情報
- ユーザのWindowsアドレス帳ファイル(拡張子WAB)内に保存されているメール情報
スパイウェアが作成する以下のファイルは、自身のコピーです。
- %Application Data%\{random1}\{random}.exe
スパイウェアが作成する以下のファイルは、暗号化されたファイルです。
- %Application Data%\{random2}\{random}.{random}
対応方法
手順 1
Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアのパス名およびファイル名を確認します。
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用いてウイルス検索を実行してください。「TSPY_ZBOT.WHZ」で検出したパス名およびファイル名を確認し、メモ等をとってください。
手順 3
Windowsをセーフモードで再起動します。
手順 4
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- GUID = "%Application Data%\{random letters 1}\{random letters}.exe
\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
- %Windows%\explorer.exe =
手順 5
以下のフォルダを検索し削除します。
- %Application Data%\{random letters 1}
- %Application Data%\{random letters 2}
手順 6
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TSPY_ZBOT.WHZ」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください