更新者 : Marfel Tiamzon
 プラットフォーム:

Windows 2000, XP, Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

マルウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。 ユーザが監視サイトのいずれかにアクセスすると、マルウェアは、キー入力操作情報を収集します。 マルウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。

マルウェアは、銀行または金融関連機関のリストから情報を収集します。

###############################################################################################################################################################################################################################################################

  詳細

ファイルサイズ 92,160 bytes
タイプ EXE
メモリ常駐 はい
発見日 2009年2月1日
ペイロード 情報収集, ファイルのダウンロード, プロセスの強制終了

感染ポイント

マルウェアは、以下のWebサイトからダウンロードされたファイルとして、コンピュータに侵入します。

  • http://{BLOCKED}.{BLOCKED}.63.23/76riuyfir76fk76ri76 dfkjyf/fju64i76dj76ei67yutyri76333/zz/zz2/bot.exe
  • http://{BLOCKED}gmoney.cv.ua/lj1.exe

インストール

マルウェアは、<Windowsシステムフォルダ>に自身のコピーを作成し、作成したコピーの末尾に判別不可能なコードを追記します。これにより、検出を避けます。作成したコピーには、以下のファイル名が用いられます。

  • sdra73.exe
  • sdra64.exe

マルウェアは、以下の無害なファイルを作成します。

  • %System%\lowsec\l0cal.ds - copy of the encrypted downloaded file
  • %System%\lowsec\us3r.ds - used to save the gathered information
  • %System%\lowsec\local.ds - copy of the encrypted downloaded file
  • %System%\lowsec\user.ds - used to save the gathered information

(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

マルウェアは、以下のフォルダの属性をシステムフォルダおよび隠しフォルダに設定します。これにより、自身のコンポーネントの検出および削除を避けます。

  • %System%\lowsec

(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

  • AVIRA_2109
  • _Avira_2109

マルウェアは、以下のプロセスに自身を組み込み、システムのプロセスに常駐します。

  • SVCHOST.EXE
  • WINLOGON.EXE

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = %System%\userinit.exe, %System%\sdra73.exe,

(註:変更前の上記レジストリ値は、「%System%\userinit.exe,」となります。)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = %System%\userinit.exe, %System%\sdra64.exe,

(註:変更前の上記レジストリ値は、「%System%\userinit.exe,」となります。)

他のシステム変更

マルウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Network
UID = {Computer name}_{Random numbers}

マルウェアは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = 0

情報漏えい

マルウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。

マルウェアは、以下のWebサイトにアクセスし、自身の環境設定ファイルをダウンロードします。

  • http://{BLOCKED}ed.pl.ua/z5.cff
  • http://{BLOCKED}9jkfjsdfdsdkfj.info/z5.c
  • http://{BLOCKED}9sfjskdsfsdfjk3.net/z5.c
  • http://{BLOCKED}gmoney.cv.ua/lj1.cfg
  • http://{BLOCKED}.{BLOCKED}.63.23/76riuyfir76fk76ri76 dfkjyf/fju64i76dj76ei67yutyri76333/zz/zz2/cfg2.bin
  • http://{BLOCKED}.{BLOCKED}.63.23/76riuyfir76fk76ri76 dfkjyf/jytdrj76ekuytdku76ekudjfg/222/cfg2.bin

ユーザが監視サイトのいずれかにアクセスすると、マルウェアは、キー入力操作情報を収集します。

マルウェアは、Webサイトにアクセスしてファイルをダウンロードします。ダウンロードされたファイルには、自身のコピーの更新版ファイルのダウンロード元および収集した情報の送信先が記載されています。なお、上記でダウンロードされたファイルは、環境設定ファイルで、このマルウェアが情報収集の際に対象とする以下の金融関連Webサイトのリストを含んでいます。

  • *.*myspace.com*
  • *.adsoftinc.biz/*
  • *.advert-network.com/*
  • *.agadoo.biz/*
  • *.aol.com/*
  • *.bannerstyles15.info/*
  • *.bebo.com/*
  • *.bigadnetwork.biz/*
  • *.bing.com*
  • *.blinkx.com/*
  • *.chat.bankofamerica.com/*
  • *.cpmsky.biz/*
  • *.facebook.com/*
  • *.friendsreunited.co.uk/*
  • *.gamezer.com/*
  • *.inetbank.net.au/*/base.jsp
  • *.inetbank.net.au/*/factor2login.jsp
  • *.innbanner.com/*
  • *.live.com/*
  • *.mp3.es/*
  • *.mxlivemedia.com/*
  • *.offersfortoday.com/*
  • *.superiorads.biz/*
  • *.tiscali.*
  • *.trafficexplorer.com/*
  • *.vdopia.com/*
  • *.wedigtv.com/*
  • *//ktt.key.com/ktt/cmd/logonFromKeyCom
  • *//ktt.key.com/ktt/cmd/validatePinForm
  • *//ultrabranch.alaskausa.org/efs/servlet/efs/*password*
  • *//www.svbconnect.com/security/challengeVerify.do
  • */atl.osmp.ru/*
  • */jump2/?affiliate*
  • */login.osmp.ru/*
  • *9news.com*
  • *altergold.com/login.php*
  • *amazon.*
  • *asklots.com*
  • *bankofscotlandhalifax-online.co.uk*
  • *barclays.co.uk*
  • *blogger.com*
  • *cahoot.com*
  • *cbonline.co.uk*
  • *citibank.ru*
  • *click9.com/*
  • *co-operativebank.co.uk*
  • *dab-bank.de*
  • *ebay*
  • *flickr.com*
  • *fraudcrew.com*
  • *halifax-online.co.uk*
  • *hsbc.co.uk*
  • *hsbc.co.uk*
  • *https://online.weber.edu/*authenticateUser.dowebct*
  • *internationalbanking.barclays.com*
  • *livejournal.com*
  • *mcafee.com/*
  • *meine.norisbank.de*
  • *microsoft.com/*
  • *msn.com*
  • *myspacecdn.com/*
  • *nwolb.com*
  • *nwolb.com*
  • *odnoklassniki.ru/*
  • *offshore.hsbc.com*
  • *online-business.lloydstsb.co.uk*
  • *online-offshore.lloydstsb.com*
  • *online.lloydstsb.co.uk*
  • *orange.co.uk*
  • *scrigno.popso.it*
  • *slide.com*
  • *slide.com/profile*
  • *smile.co.uk*
  • *snappyads.biz*
  • *taboolasyndication.com*
  • *vkontakte.ru/*
  • *web.secservizi.it*
  • *weber.edu*
  • *www.isideonline.it*
  • *yahoo.com*
  • *ybonline.co.uk*
  • *youtube.com*
  • *zynga.com*
  • allianzbank.it/HomeBanking/RicaricheVerifica.sec
  • http*://*csebanking.it/LogonEntry?abi=*
  • http*://*csebanking.it/ibportal/*
  • http*://*csebanking.it/ibportal/home-LOGIN_CLIENTE.do*
  • http://*
  • http://*.banneradsgalore.com*
  • http://*.bmp
  • http://*.contacy.info*
  • http://*.gif
  • http://*.jpg
  • http://*.png
  • http://*.sexsearchcom.com*
  • http://*.websecurityguard.com/*
  • http://*/forum/*
  • http://*/forum/*login.*
  • http://*/search.*
  • http://*/search/*
  • http://*deewoo.net*
  • http://*hotbar.com*
  • http://*nextads.biz/*
  • http://*targetedbanner.biz/*
  • http://*zango.com*
  • http://ads.*
  • http://secure.myspace.com/index.cfm*
  • http://stats.click9.com/*
  • http://www.livejournal.com/login.bml*
  • http://www.vdopia.com/index.php?page=login
  • https*.tiscali.*
  • https:/ https://probanking.procreditbank.bg/main/main.asp*
  • https://*.amazon.*sign-in*
  • https://*.bmp
  • https://*.gif
  • https://*.jpg
  • https://*.png
  • https://*.png *log*
  • https://*tecmarket.it/tmibbwebsecurity/*/otherauth/defaultPP.aspx
  • https://*www.uabbank.com/part/*
  • https://admin.clicksor.com/*/secondpwd.php
  • https://bancopostaonline.poste.it/bpol/bancoposta/formslogin.aspx
  • https://hb.quiubi.it/newSSO/x11logon.htm
  • https://login.facebook.com/*
  • https://login.live.com/ppsecure/post.srf?*
  • https://login.yahoo.com/config/login?
  • https://membercentre.orange.co.uk/MCPres/*
  • https://my.screenname.aol.com/_cqr/login/login*
  • https://mypay.dfas.mil/*
  • https://online.ingvysyabank.com/auth/jsp/*
  • https://portal.scanscout.com/ssframework/*
  • https://privati.internetbanking.bancaintesa.it/sm/login/IN/box_login.jsp
  • https://secure.bebo.com/SignIn.jsp*
  • https://secure.friendsreunited.com*
  • https://secure.ingdirect.co.uk/INGDirect.html?command=displayValidateCustomer*
  • https://signin.ebay*
  • https://sube.kuveytturk.com.tr/WebProd/FinancialTransactions/MoneyTransfers/EFT/EftToAccount/EftToAccountConfirm.aspx
  • https://sube.kuveytturk.com.tr/WebProd/FinancialTransactions/MoneyTransfers/EFT/EftToCard/EftToCardConfirm.aspx
  • https://sube.kuveytturk.com.tr/WebProd/FinancialTransactions/MoneyTransfers/IntraBank/IntraBankToOtherAccount/IntraBankToOtherAccountConfirm.aspx
  • https://sube.sekerbank.com.tr/web/servlet/RequestDispatcherServlet
  • https://web.orange.co.uk/*/login/*
  • https://web.orange.co.uk/identity/homepagelogin.html
  • https://www.citibank.de*
  • https://www.csebanking.it/*
  • https://www.gbw2.it/cbl/jspPages/form_login_AV.jsp*
  • https://www.google.com/accounts/ig.gif
  • https://www.gruppocarige.it/grps/vbank/js
  • https://www.gruppocarige.it/grps/vbank/jsp/login.jsp
  • https://www.in-biz.it*
  • https://www.onlinesbi.com/*/login.htm
  • https://www.ruralvia.com/isum/*
  • https://www.sella.it/AuthenticationDelegatedServlet
  • https://onlineeast.bankofamerica.com/cgi-bin/ias/*/GotoWelcome

ダウンロードされたファイルには、自身のコピーの更新版ファイルのダウンロード元および収集した情報の送信先が記載されています。

なお、このファイルの内容である監視Webサイトのリストは、常時変更されます。

マルウェアは、以下の銀行もしくは金融機関で利用される個人情報を収集します。

  • ANZ
  • Amazon
  • Banca Intesa
  • Banca On Line - Sella.it
  • Bank of America
  • Barclays
  • Bebo
  • Blogger
  • Caja Rural
  • Citibank
  • Clydesdale
  • Co-Operativebank
  • DAB
  • Ebay
  • Facebook
  • Flickr
  • GAD
  • Gruppo Carige
  • HSBC
  • Halifax
  • ING Direct
  • IS Bank
  • Iside
  • Key Total Treasury
  • Live Journal
  • Lloyds
  • McAfee
  • Microsoft
  • Myspace
  • Natwest
  • OSPM
  • Odnoklassniki
  • PosteItaliane
  • Procredit
  • Qui UBI
  • Raiffeisen
  • SEB
  • Scrigno
  • Secservizi
  • Silicon Valley Bank
  • Smile
  • Vkontakte
  • Yorkshire
  • YouTube

攻撃対象

マルウェアは、銀行または金融関連機関のリストから情報を収集します。

情報収集

マルウェアは、以下のファイル内に収集した情報を保存します。

  • %System%\lowsec\us3r.ds
  • %System%\lowsec\user.ds

(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

マルウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

  • http://{BLOCKED}.{BLOCKED}.63.23/76riuyfir76fk76 ri76dfkjyf/fju64i76dj76ei67yutyri76333/zz/gate.php
  • http://{BLOCKED}arm.uz.ua/lx_auto_feedback_9823.php

その他

###############################################################################################################################################################################################################################################################

解析の結果、マルウェアによるバックドア活動は確認されませんでした。

ハッシュ値情報

マルウェアは、以下のMD5ハッシュ値を含んでいます。

  • d8e0babba8c0366e09eb6ad4908ce3d6
  • 4e11c69607b9707ff45f98c874659890
  • 5ae93369545aeb1039aced497df17e0e

マルウェアは、以下のSHA1ハッシュ値を含んでいます

  • 8bcf5069138c9782df75202a0e9b793836b2ef5c
  • 1ac2f50abea94e4e86f2219fc69acd1f4fd8ddb5
  • a23d3969f9abf89115506be9a5fc81a9446fc959

  対応方法

対応検索エンジン: 8.900
VSAPI OPR パターンバージョン 7.367.00
VSAPI OPR パターンリリース日 2010年8月6日

手順 1

Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

回復コンソールを使用して、TROJ_ZBOT.CAW として検出されるファイルを確認し、削除します。

[ 詳細 ]

手順 3

変更されたレジストリ値を修正します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

 
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    • From: Userinit =%System%\userinit.exe, %System%\sdra73.exe,
      To: Userinit =%System%\\userinit.exe,
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    • From: Userinit =%System%\userinit.exe, %System%\sdra64.exe,
      To: Userinit = Userinit =%System%\userinit.exe,

手順 4

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network
    • UID ={Computer name}_{Random numbers}
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
    • EnableFirewall =0

手順 5

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TROJ_ZBOT.CAW」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください