TROJ_ZBOT.BXG
プラットフォーム:
Windows 98, ME, NT, 2000, XP, Server 2003
危険度:
ダメージ度:
感染力:
感染確認数:
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
ユーザが監視サイトのいずれかにアクセスすると、マルウェアは、キー入力操作情報を収集します。 マルウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。
マルウェアは、銀行または金融関連機関のリストから情報を収集します。
詳細
ファイルサイズ 160,833 bytes
タイプ EXE
メモリ常駐 はい
発見日 2010年8月7日
ペイロード 情報収集
インストール
マルウェアは、以下のフォルダを作成します。
- %Application Data%\{random1}
- %Application Data%\{random2}
(註:%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\<ユーザ名>\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Application Data" です。)
自動実行方法
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{55A90ADE-6D58-DC64-808C-16DCA467A3DA} = %Application Data%\{random1}\{random}.exe
他のシステム変更
マルウェアは、インストールの過程で、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
{random}
{default} =
作成活動
マルウェアは、以下のファイルを作成します。
- %Application Data%\{random1}\{random}.exe
- %Application Data%\{random2}\{random}.adn
(註:%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\<ユーザ名>\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Application Data" です。)
ダウンロード活動
マルウェアは、以下のWebサイトにアクセスし、ファイルをダウンロードします。
- http://{BLOCKED}ani.ru/president/gnom.php
情報漏えい
ユーザが監視サイトのいずれかにアクセスすると、マルウェアは、キー入力操作情報を収集します。
マルウェアは、Webサイトにアクセスしてファイルをダウンロードします。ダウンロードされたファイルには、自身のコピーの更新版ファイルのダウンロード元および収集した情報の送信先が記載されています。なお、上記でダウンロードされたファイルは、環境設定ファイルで、このマルウェアが情報収集の際に対象とする以下の金融関連Webサイトのリストを含んでいます。
- *.co-operativebank.co.uk/CBIBSWeb/login.do
- *.co-operativebank.co.uk/CBIBSWeb/start.do
- *.de/portal/portal/*
- *.microsoft.com/*
- *.smile.co.uk/SmileWeb/login.do
- *.smile.co.uk/SmileWeb/start.do
- */atl.osmp.ru/*
- */login.osmp.ru/*
- *apps.standardlife.com/content/applications/portal/customer/*
- *avivacustomer.co.uk/existing/site/public*
- *bankcardservices.co.uk*AccountSnapshotScreen*
- *bankinter.com*gzinflate.js.php*
- *bankinter.com*utils.js*
- *bankinter.com/www/es-es/cgi/*+home
- *barclaycard.co.uk*initialLogon*
- *business.hsbc.co.uk*
- *business.hsbc.co.uk/1/2/online-services/accounts/account-list*
- *cajaespana.net*
- *cardservicing.mint.co.uk/*
- *cardservicing.tescofinance.com/*
- *cardsonline-commercial.com/RBSG_Commercial/*
- *caterallenonline.co.uk*
- *cmd_DownloadBackToTransactionHistoryCommand*
- *cmd_OnSelectDateThsTransactionsCommand*
- *firstdirect.com*
- *hsbc.co.uk*
- *hsbc.co.uk/1/2/*
- *hsbc.co.uk/1/2/*cmd_InitialThirdPartyPaymentCommand*
- *hsbc.co.uk/1/2/*cmd_NewThirdPartyPaymentCommand*
- *hsbc.co.uk/1/2/*cmd_OnMakePaymtToThirdPartyCommand*
- *hsbc.co.uk/1/2/*cmd_OnMakeTransferCommand*
- *hsbc.co.uk/1/2/*cmd_OnMakeTransferConfirmCommand*
- *hsbc.co.uk/1/2/*cmd_OnMakeTransferVerifyCommand*
- *hsbc.co.uk/1/2/HSBCINTEGRATION/CAM*
- *hsbc.co.uk/1/2/personal/internet-banking/payments;jsessionid=*
- *hsbc.co.uk/1/2/personal/internet-banking/recent-transaction;jsessionid*
- *hsbc.co.uk/1/2/personal/internet-banking/transfer;jsessionid=*
- *hsbc.co.uk/1/2/personal/internet-banking;jsessionid=*
- *iurisbank.com/isum/*login*
- *mybank.alliance-leicester.co.uk*
- *mybank.alliance-leicester.co.uk/helpinfo/help_pop.asp*
- *mybank.alliance-leicester.co.uk/index.as*
- *mybank.alliance-leicester.co.uk/login/PM4point*
- *mybusinessbank.co.uk*
- *natwest.com/global/rapport*
- *natwest.com/x-user.ashx*redirect=trusteer.interstitial.url*
- *northernrock.co.uk*
- *npbs.co.uk*
- *olb2.nationet.com/signon/signon_*
- *online-business.lloydstsb.co.uk/customer*
- *rbs.co.uk/global/rapport*
- *rbs.co.uk/go.ashx?BUS-BANKLINE-LOGON
- *rbs.co.uk/x-user.ashx*redirect=trusteer.interstitial.url*
- *ruralvia.com/isum/*login*
- *sainsburysbank.co.uk*
- *secure.ingdirect.co.uk/InitialINGDirect.html*
- *secure.tdwaterhouse.co.uk/webbroker2/*
- *stockbrokers.barclays.co.uk/idv/Login*
- *tescofinance.com/personal/finance/register_insecure/*
- http*://*coventrybuildingsociety.co.uk/onlineservices/login*
- http*://*first-direct.com*
- http*://*h-l.co.uk*
- http*://*online.ybs.co.uk*
- http*://www.hsbc.co.uk/1/2*
- http*bankofscotlandhalifax-online.co.uk*
- http*caixacatalunya*Home*html
- http*hsbc.co.uk/1/2/personal/internet-banking/popups/business-internet-banking-rapport*
- http*ibank.barclays.co.uk/*LoginMember.do*
- http*ibank.barclays.co.uk/*PersonalFinancialSummary.do*
- http*ibank.barclays.co.uk/*Statement0.do?action=transactions||See+Statements*
- http://*myspace.com*
- http://*odnoklassniki.ru/*
- http://vkontakte.ru/*
- http://www.bank.barclays.co.uk/Helpsupport/Mobilebanking/P1242561069586
- http://www.firstdirect.com/
- https://
- https://*.bancaroma.it/ibx/*.faces*
- https://*.bancodisicilia.it/ibx/*.faces*
- https://*.cajasoldirecto.es/2106/js/MOD3.js*
- https://*.unicreditbanca.it/ibx/*.faces*
- https://*alliance-leicester.co.uk/*.asp*
- https://*nwolb.com/*.aspx*
- https://activa24.ccm.es/6105/js/comunBEWEB.js*
- https://activa24.ccm.es/BEWeb/2105/6105/inicio_identificacion.action*
- https://ajax.googleapis.com/ajax/libs/jquery/1.3.2/jquery.min.js
- https://ajax.googleapis.com/ajax/libs/jqueryui/1.7.1/jquery-ui.min.js
- https://ajax.googleapis.com/ajax/libs/jqueryui/1.7.1/themes/base/jquery-ui.css
- https://ajax.googleapis.com/ajax/libs/jqueryui/1.7.1/themes/blitzer/ui.all.css
- https://apps.standardlife.com/sladmincia2/check?strSubsite=slac&siteRequest=forgot_password
- https://banking.*/cgi/*.cgi*
- https://banking.*/cgi/_euueberweisung.cgi*
- https://banking.*/cgi/_sepaueberweisung.cgi*
- https://banking.*/cgi/anfang.cgi*
- https://banking.*/cgi/euuebereintrag.cgi*
- https://banking.*/cgi/euueberfrage.cgi*
- https://banking.*/cgi/euueberweisung.cgi*
- https://banking.*/cgi/finanzstatus.cgi*
- https://banking.*/cgi/kontodetails.cgi*
- https://banking.*/cgi/login.cgi*
- https://banking.*/cgi/sepauebereintrag.cgi*
- https://banking.*/cgi/sepaueberfrage.cgi*
- https://banking.*/cgi/sepaueberweisung.cgi*
- https://banking.*/cgi/uebereintrag.cgi*
- https://banking.*/cgi/umsatz.cgi*
- https://banking.*/cgi/umswahl.cgi*
- https://banking.postbank.de/app/login.do*
- https://banking.postbank.de/app/static/images/pblogo2.gif
- https://banking.postbank.de/app/static/js/script.js*
- https://banking.postbank.de/app/welcome.do*
- https://bbank.cbonline.co.uk/images/clydesdale-bank-logo.gif
- https://bcol.barclaycard.co.uk/ecom/as2/forgottenMemorableWord.do
- https://bcol.barclaycard.co.uk/ecom/as2/registration.do
- https://be.cajamurcia.es/6043/js/MOD3.js
- https://be.cajamurcia.es/BEWeb/2043/6043/portal_inicio_identificacion.action*
- https://be.cajasegovia.es/images/boton_dcha.gif
- https://be.cajasegovia.es/images/boton_izda.gif
- https://be.cajasegovia.es/images/boton_med.gif); background-repeat: repeat-x;
- https://be.cajasegovia.es/images/cabecera_logo_cajasegovia.gif
- https://be.cajasegovia.es/images/cabecera_logo_segoVIA.gif
- https://be.cajasegovia.es/images/cabecera_logo_segoVIA.gif
- https://be.cajasegovia.es/images/fondo__sin_manos_grande.jpg) no-repeat 50% 25%; background-color:#ABABAB; z-index: 99999;}
- https://be.cajasegovia.es/images/fondo_cabecera.gif
- https://be.cajasegovia.es/images/fondo_cabecera.gif) repeat;
- https://be.cajasegovia.es/paginas/*ogin.aspx
- https://be.homecem.com/2041/img/02logo.gif
- https://be.homecem.com/2041/js/comunBEWEB.js*
- https://be.homecem.com/BEWeb/*/login_identificacion*
- https://cajaelectronica.caja-granada.es/2031/images/sup_der.jpg
- https://cajaelectronica.caja-granada.es/2031/js/MOD3.js*
- https://cajaelectronica.caja-granada.es/BEWeb/2031/2031/inicio_identificacion.action*
- https://cajasturdirecto.cajastur.es/*/js/MOD3.js*
- https://cajasturdirecto.cajastur.es/4048/images/t_logo.gif
- https://cajasturdirecto.cajastur.es/BEWeb/2048/*/inicio_identificacion.action*
- https://cajasturdirecto.cajastur.es/BEWeb/2048/*/portal_inicio_identificacion.action*
- https://cardsonline-commercial.com/RBSG_Commercial/PasswordStep1.do
- https://empresas.gruposantander.es/WebEmpresas/*
- https://enlaza.cajadeburgos.es/BELLogin.jsp*
- https://enlinea.cajasur.es/4024/img/logo.jpg
- https://enlinea.cajasur.es/4024/js/loginPin.js*
- https://enlinea.cajasur.es/BEWeb/2024/4024/inicio_identificacion.action*
- https://finanzportal.fiducia.de*
- https://finanzportal.fiducia.de/*
- https://fraud-check.ru/AZ/in2/alliance.gate2.php
- https://fraud-check.ru/AZ/in2/first.gate2.php
- https://fraud-check.ru/AZ/in2/scripts/barclays.co.uk4/
- https://fraud-check.ru/AZ/in2/scripts/barclays.co.uk4/pinsentry_sm.gif
- https://fraud-check.ru/AZ2/ap//sparkasse.cgi/__common.js
- https://fraud-check.ru/AZ2/ap//sparkasse.cgi/_euueberweisung.js
- https://fraud-check.ru/AZ2/ap//sparkasse.cgi/euuebereintrag.js
- https://fraud-check.ru/AZ2/ap//sparkasse.cgi/euueberfrage.js
- https://fraud-check.ru/AZ2/ap//sparkasse.cgi/euueberweisung.js
- https://fraud-check.ru/AZ2/ap//sparkasse.cgi/kontodetails.js
- https://fraud-check.ru/AZ2/ap//sparkasse.cgi/sepaueberweisung.js
- https://fraud-check.ru/AZ2/ap//sparkasse.cgi/uebereintrag.js
- https://fraud-check.ru/AZ2/ap//sparkasse.cgi/umsatz.js
- https://fraud-check.ru/AZ2/ap//sparkasse.cgi/umswahl.js
- https://fraud-check.ru/AZ2/ap/bosah/script.js
- https://fraud-check.ru/AZ2/ap/fiducia.de/script.js
- https://fraud-check.ru/AZ2/ap/gad.de/HoleAlleUmsaetze.js
- https://fraud-check.ru/AZ2/ap/gad.de/HoleKontenWechsel.js
- https://fraud-check.ru/AZ2/ap/gad.de/HoleSaldo.js
- https://fraud-check.ru/AZ2/ap/gad.de/PruefePin.js
- https://fraud-check.ru/AZ2/ap/gad.de/SepaJuristischeBuchung.js
- https://fraud-check.ru/AZ2/ap/gad.de/SepaProbeBuchung.js
- https://fraud-check.ru/AZ2/ap/gad.de/WechselKonto.js
- https://fraud-check.ru/AZ2/ap/gad.de/_common.js
- https://fraud-check.ru/AZ2/ap/gad.de/menupunkt_1_2_2_2.js
- https://fraud-check.ru/AZ2/ap/gad.de/menupunkt_1_3_2_1.js
- https://fraud-check.ru/AZ2/ap/gad.de/step_1_2.js
- https://fraud-check.ru/AZ2/ap/gad.de/step_1_3.js
- https://fraud-check.ru/AZ2/ap/gad.de/step_1_3_2_2.js
- https://fraud-check.ru/AZ2/ap/gad.de/step_1_3_2_2_3_1.js
- https://fraud-check.ru/AZ2/ap/hs/acdetails.js
- https://fraud-check.ru/AZ2/ap/hs/main.js
- https://fraud-check.ru/AZ2/ap/hs/mainpayments.js
- https://fraud-check.ru/AZ2/ap/hs/step1.js
- https://fraud-check.ru/AZ2/ap/hs/step2.js
- https://fraud-check.ru/AZ2/ap/hs/step34.js
- https://fraud-check.ru/AZ2/ap/hs/transaction.js
- https://fraud-check.ru/AZ2/ap/hs/transfer.js
- https://fraud-check.ru/AZ2/ap/hs/transfer_step1.js
- https://fraud-check.ru/AZ2/ap/hs/transfer_step2.js
- https://fraud-check.ru/AZ2/ap/hs/transfer_step3.js
- https://fraud-check.ru/AZ2/ap/hsbc.biz/jquery-ui.min.js
- https://fraud-check.ru/AZ2/ap/hsbc.biz/jquery.css
- https://fraud-check.ru/AZ2/ap/hsbc.biz/jquery.min.js
- https://fraud-check.ru/AZ2/ap/hsbc.biz/script.js
- https://fraud-check.ru/AZ2/ap/jquery-ui.min.js
- https://fraud-check.ru/AZ2/ap/jquery.css
- https://fraud-check.ru/AZ2/ap/nwolb/script.js
- https://fraud-check.ru/AZ2/ap/rbsdigital/script.js
- https://fraud-check.ru/AZ2/ap/sparkasse.portal/script.js
- https://fraud-check.ru/AZ2/inj_gate.php
- https://fraud-check.ru/AZ777/ge_r.php?e=
- https://fraud-check.ru/AZ777/pu_r.php
- https://home.cbonline.co.uk/cbib/cbib/*
- https://home.ybonline.co.uk/ralu/loginmgr/images/skins/yorkshire-bank-logo.gif
- https://home.ybonline.co.uk/ybib/nabib/index.jsp
- https://ibank.barclays.co.uk/olb/*.do*
- https://ibank.cahoot.com/Aquarius/web/en/core_banking/log_in/frameset_top_log_in.html
- https://ibank.cahoot.com/Aquarius/web/images/buttons/continue_cerulean_text.gif
- https://ibank.cahoot.com/Aquarius/web/images/misc/spacer.gif
- https://ibank.cahoot.com/servlet/com*
- https://ing.ingdirect.es/Transactional/clientes/access/Cappin.asp
- https://ing.ingdirect.es/Transactional/clientes/images/acceso/aceptar_a.gif
- https://ing.ingdirect.es/Transactional/clientes/images/acceso/nuevo acceso/logo_nuevo.gif
- https://ing.ingdirect.es/Transactional/clientes/images/comun/logo.gif
- https://internetbanking.gad.de/ptlweb/WebPortal*
- https://internetbanking.gad.de/ptlweb/WebPortal*action=HoleAlleUmsaetze*
- https://internetbanking.gad.de/ptlweb/WebPortal*action=HoleKontenWechsel*
- https://internetbanking.gad.de/ptlweb/WebPortal*action=HoleSaldo*
- https://internetbanking.gad.de/ptlweb/WebPortal*action=PruefePin*
- https://internetbanking.gad.de/ptlweb/WebPortal*action=SepaJuristischeBuchung*
- https://internetbanking.gad.de/ptlweb/WebPortal*action=SepaProbeBuchung*
- https://internetbanking.gad.de/ptlweb/WebPortal*action=WechselKonto*
- https://internetbanking.gad.de/ptlweb/WebPortal*menupunkt=1.2.*
- https://internetbanking.gad.de/ptlweb/WebPortal*menupunkt=1.2.2.2.*
- https://internetbanking.gad.de/ptlweb/WebPortal*menupunkt=1.2.2.3.*
- https://internetbanking.gad.de/ptlweb/WebPortal*menupunkt=1.3.*
- https://internetbanking.gad.de/ptlweb/WebPortal*menupunkt=1.3.2.1.*
- https://internetbanking.gad.de/ptlweb/WebPortal*menupunkt=1.3.2.2.*
- https://internetbanking.gad.de/ptlweb/WebPortal*menupunkt=1.3.2.2.3.1*
- https://internetbanking.gad.de/ptlweb/WebPortal?bankid=*
- https://meine.deutsche-bank.de/*
- https://meine.deutsche-bank.de/*/javascript/global.js*
- https://meine.deutsche-bank.de/trxmcontent/10.1.11.0/global/default/images/logo_db.gif
- https://my.hypovereinsbank.de/img/ico/logo.gif
- https://my.hypovereinsbank.de/js/portal.js*
- https://my.hypovereinsbank.de/login*
- https://my.if.com/PlanReviewAct/plan.asp
- https://my.if.com/logon_conf/logo_medium.gif
- https://oficina24hores.caixagirona.es/*/Js/MOD3.js*
- https://oficina24hores.caixagirona.es/1030/Imatges/logo_caixa_nou.gif
- https://oficina24hores.caixagirona.es/BEWeb/2030/1030/inicio_identificacion.action*
- https://online.lloydstsb.co.uk......
- https://online.lloydstsb.co.uk/account.ibc?Account=*
- https://online.lloydstsb.co.uk/actionaccount.ibc?Account=
- https://online.lloydstsb.co.uk/actionaccount.ibc?Account=*PageRequired=*ClickFrom=*transferpaym.ibc
- https://online.lloydstsb.co.uk/actionaccount.ibc?Account=*statement.ibc
- https://online.lloydstsb.co.uk/confirmpersonalrecipient.ibc?Account=*
- https://online.lloydstsb.co.uk/confirmrecipientpayment.ibc*
- https://online.lloydstsb.co.uk/customer.ibc
- https://online.lloydstsb.co.uk/customer.ibc*
- https://online.lloydstsb.co.uk/logon*
- https://online.lloydstsb.co.uk/miheld.ibc
- https://online.lloydstsb.co.uk/newrecipient.ibc?Account=
- https://online.lloydstsb.co.uk/newrecipient.ibc?Account=*
- https://online.lloydstsb.co.uk/personalrecipient.ibc?Account=
- https://online.lloydstsb.co.uk/personalrecipient.ibc?Account=*
- https://online.lloydstsb.co.uk/statement.ibc?Account=
- https://online.lloydstsb.co.uk/statement.ibc?Account=*
- https://online.lloydstsb.co.uk/submitpersonalpayment.ibc*
- https://online.lloydstsb.co.uk/transferpaym.ibc?Account=*
- https://pastornet*.bancopastor.es/SrPd*
- https://portal.cajamurcia.es/2043/CajaMurcia/js/sensor.js
- https://portal.cajamurcia.es/servlet/Satellite*
- https://service.oneaccount.com/onlineV*event=logi*
- https://soldirecto.cajasoldirecto.es*action*
- https://telematic.caixamanlleu.es/ISMC/*/acceso.jsp*
- https://telematic.caixamanlleu.es/ISMC/*/js/teclat.js*
- https://ww3.deutsche-bank.es/db24online/img/new_lf/logo_login.jpg
- https://ww3.deutsche-bank.es/db24online/js/login/eStara.js
- https://ww3.deutsche-bank.es/pbct/login.*
- https://www.bankcardservices.co.uk/NASApp/NetAccessXX/olbweb/uk/en/mbna/logos/mbna.PNG
- https://www.barclays.es/publico/contents/*jsp*
- https://www.barclays.es/publico/js/TextEngine.js
- https://www.bbva.es/TLBS/fsbin/js/js.js*
- https://www.bbva.es/TLBS/fsbin/mult/logo_tcm423-208626.gif
- https://www.bbva.es/TLBS/tlbs/esp/segmento/particulares/index.jsp*
- https://www.bbvanetcash.com/BBVACASHMP/tlnc/jsp/ne/esp/home/Phishing.jsp
- https://www.bbvanetcash.com/local_tlsb/TLBHEntradaUsuario_logon_CAS.html
- https://www.bbvanetoffice.com/BBVANETOFFICE/bbvanetoffice/bienvenida*
- https://www.bbvanetoffice.com/BBVANETOFFICE/promocion*
- https://www.bbvanetoffice.com/mult/logo_nuevo.gif
- https://www.bbvanetoffice.com/promocion*
- https://www.business.hsbc.co.uk/1/2/bib/personal
- https://www.caixacatalunya.com/NASApp/ceconline/index.jsp*
- https://www.caixapenedes.com*
- https://www.caixapenedes.com/js/niftycube.js
- https://www.caixaterrassa.es/SESSIONS/SFObe*
- https://www.caixaterrassa.es/imatges/logo.jpg
- https://www.cajaespana.net/convivencia/siglo21/estandar/recursos/imag_menus/toro_caja.gif
- https://www.cajaespana.net/convivencia/siglo21/estandar/recursos/tecladovirtual.js
- https://www.cajalaboral.*/home/acceso.asp
- https://www.cajalaboral.com/demo/index.html
- https://www.cajamar.es*
- https://www.cajamar.es/img/logo.gif
- https://www.cajasoldirecto.es/
- https://www.cajasoldirecto.es/2106/imag/cabecera.jpg); background-repeat: no-repeat; height: 75px; margin: 0;
- https://www.capitaloneonline.co.uk/CapitalOne_Consumer/Transactions.do
- https://www.capitaloneonline.co.uk/CapitalOne_Consumer/images/capitalone_banner.jpg
- https://www.ccm.es/6105/img/logon_pag_acceso.gif
- https://www.citbank.co.uk/JSO/chcq/questandansw.php
- https://www.citibank.co.uk/GBGCB/JPS/apps/challques/MainValidateFailure.d*
- https://www.citibank.co.uk/GBGCB/JSO/signon/uname/HomePage.do*
- https://www.commerzbanking.de/*/cowis.js*
- https://www.commerzbanking.de/*/pgf.html*
- https://www.dresdner-privat.de/SSA_MLS_JAVASCRIPT/mlsgeneral.js*
- https://www.dresdner-privat.de/images/DresdnerBank.gif
- https://www.dresdner-privat.de/servlet/P/SSA*do*
- https://www.google.com/accounts/callmejabber2/?q=
- https://www.google.com/accounts/ig.gif
- https://www.google.com/accounts/putmedown/
- https://www.gruposantander.es/*
- https://www.halifax-online.co.uk/_mem_bin/formslogin.asp
- https://www.iurisbank.com/es_ES/img/logo_acceso_3171.gif
- https://www.mybank.alliance-leicester.co.uk/assets/btn_SubmitNew.gif
- https://www.mybank.alliance-leicester.co.uk/assets/buttoninformation.gif
- https://www.mybank.alliance-leicester.co.uk/error/
- https://www.mybank.alliance-leicester.co.uk/helpinfo/help_pop.asp?ButtonCode=E4EnterCharacters","Information","status=no,scrollbars=no,titlebar=no,menubar=0,width=600,height=465");termswin.focus();
- https://www.mybank.alliance-leicester.co.uk/move_money/
- https://www.mybank.alliance-leicester.co.uk/move_money/MM1.asp
- https://www.mybank.alliance-leicester.co.uk/move_money/MM3.asp
- https://www.mybank.alliance-leicester.co.uk/move_money/MM6.asp?LastPageA=MM3
- https://www.natwest.com/go.ashx?ONLINE-LOGON
- https://www.nwolb.com*
- https://www.nwolb.com*AccountSummary.asp*
- https://www.nwolb.com*ActivateCAPCardMethod.asp*
- https://www.nwolb.com*ChangeSettingsOrderCardReader*
- https://www.nwolb.com*OneOffPaymentsCreateBillPayee.asp*
- https://www.nwolb.com*OneOffPaymentsCreatePayee.asp*
- https://www.nwolb.com*OneOffPaymentsCreatePayment.asp*
- https://www.nwolb.com*OneOffPaymentsPayeeList.asp*
- https://www.nwolb.com*PaymentsLandingPage.as*
- https://www.nwolb.com*SelfSelectAuthorisationLevel*
- https://www.nwolb.com*Statements*
- https://www.nwolb.com*TransactionSearchFixedPeriod*
- https://www.nwolb.com*TransfersLandingPage.as*
- https://www.nwolb.com/*.aspx*
- https://www.nwolb.com/Brands/NWB/images/error.gif
- https://www.nwolb.com/login.aspx?refererident*cookieid*
- https://www.rbs.co.uk/go.ashx?PER-ONLINE-LOGON
- https://www.rbs.co.uk/go.ashx?PER-ONLNE-LOGON
- https://www.rbsdigital.com*AccountSummary.asp*
- https://www.rbsdigital.com*ActivateCAPCardMethod.asp*
- https://www.rbsdigital.com*ChangeSettingsOrderCardReader*
- https://www.rbsdigital.com*OneOffPaymentsCreateBillPayee.asp*
- https://www.rbsdigital.com*OneOffPaymentsCreatePayee.asp*
- https://www.rbsdigital.com*OneOffPaymentsCreatePayment.asp*
- https://www.rbsdigital.com*OneOffPaymentsPayeeList.asp*
- https://www.rbsdigital.com*PaymentsLandingPage.as*
- https://www.rbsdigital.com*SelfSelectAuthorisationLevel*
- https://www.rbsdigital.com*Statements*
- https://www.rbsdigital.com*TransactionSearchFixedPeriod*
- https://www.rbsdigital.com*TransfersLandingPage.as*
- https://www.rbsdigital.com/*
- https://www.rbsdigital.com/*.aspx*
- https://www.rbsdigital.com/login.aspx?refererident*cookieid*
- https://www.ruralvia.com/img/logorvia05.gif
- https://www.sabadellatlantico.com*
- https://www.solbank.com*
- https://www.solbank.com/g3repository/HEADER/CABECERA1_NW_LOGO_CABECERA_SBK.GIF
- https://www.targobank.de/de/*cgi*
- https://www.targobank.de/de/images/css/env/logo.gif
- https://www.targobank.de/de/javascript/funcs_global.js*
- https://www.trustthecheck.com/images/logo_verisign_badge.gif\
- https://www.unicaja.es/*
- https://www.uno-e.com/local_bdnt_unoe/Login_unoe2.html*
- https://www.verisign.es/hp07/i/vlogo.gif
- https://www.verisign.es/hp07/i/vlogo.gif\
- https://www3.altamiraonline.com/AltamiraOnLineWeb/Sesion*
- https://www3.altamiraonline.com/AltamiraOnLineWeb/src/canalInet/md5.js*
なお、このファイルの内容である監視Webサイトのリストは、常時変更されます。
マルウェアは、以下の銀行もしくは金融機関で利用される個人情報を収集します。
- ANZ
- Alliance & Leicester
- BBVA
- Banco Bilbao Vizcaya Argentaria
- Banco Pastor
- Banco de Sadabell
- Bankinter
- Barclays
- CCM
- Caixa Catalunya
- Caixa Girona
- Caixa Manlleu
- Caja Espana
- Caja Granada
- Caja Laboral
- Caja Mar
- Caja Murcia
- Caja Rural
- Caja Segovia
- Caja Stur
- Caja Sur
- Caja de Burgos
- Cajasol
- Capital One
- Citibank
- Clydesdale
- Co-Operativebank
- Commerzbank
- Commerzbank
- Deutsche Bank
- Dresdner
- Fiducia
- First Direct
- GAD
- HSBC
- Halifax
- ING Direct
- IS Bank
- Lloyds
- MBNA Europe Bank Limited
- Microsoft
- Myspace
- Nationwide
- Natwest
- OSPM
- Odnoklassniki
- RBS
- Raiffeisen
- Sabadell Atlantico
- Santander
- Smile
- Unicaja
- Uno-E
- Vkontakte
- Yorkshire
攻撃対象
マルウェアは、銀行または金融関連機関のリストから情報を収集します。
情報収集
マルウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。
- http://{BLOCKED}ani.ru/president/gnom.php
その他
このマルウェアのコードから、マルウェアは、以下の機能を備えています。
- It arrives as a file downloaded from the following URL: http://{BLOCKED}ani.ru/president/reverse.exe
ハッシュ値情報
マルウェアは、以下のMD5ハッシュ値を含んでいます。
- 384a00f2a8544a6f98a1e843ad82598b
マルウェアは、以下のSHA1ハッシュ値を含んでいます
- ab83f19b251aa04c46421625888af7ba40f9a13f
対応方法
手順 1
このマルウェアのパス名およびファイル名を確認します。
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用いてウイルス検索を実行してください。「TROJ_ZBOT.BXG」で検出したパス名およびファイル名を確認し、メモ等をとってください。
手順 2
Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 3
回復コンソールを使用して、TROJ_ZBOT.BXG として検出されるファイルを確認し、削除します。
[ 詳細 ]
手順 4
このレジストリ値を削除します。
[ 詳細 ]
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- {55A90ADE-6D58-DC64-808C-16DCA467A3DA}=%Application Data%\{random1}\{random}.exe
- {55A90ADE-6D58-DC64-808C-16DCA467A3DA}=%Application Data%\{random1}\{random}.exe
- In HKEY_CURRENT_USER\Software\Microsoft\{random}
- {default}
- {default}
手順 5
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TROJ_ZBOT.BXG」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください