TROJ_ZBOT.CIC

マルウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。 ユーザが監視サイトのいずれかにアクセスすると、マルウェアは、キー入力操作情報を収集します。 マルウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。

###############################################################################################################################################################################################################################################################

感染ポイント

マルウェアは、以下のWebサイトからダウンロードされたファイルとして、コンピュータに侵入します。

• http://{BLOCKED}iauto.com/ishi/ssh.exe

インストール

マルウェアは、＜Windowsシステムフォルダ＞に自身のコピーを作成し、作成したコピーの末尾に判別不可能なコードを追記します。これにより、検出を避けます。作成したコピーには、以下のファイル名が用いられます。

• sdra64.exe

マルウェアは、以下の無害なファイルを作成します。

• %System%\lowsec\local.ds - copy of the encrypted downloaded file
• %System%\lowsec\user.ds - used to save the gathered information

(註：%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

マルウェアは、以下のフォルダの属性をシステムフォルダおよび隠しフォルダに設定します。これにより、自身のコンポーネントの検出および削除を避けます。

• %System%\lowsec

(註：%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• _AVIRA_2109

マルウェアは、以下のプロセスに自身を組み込み、システムのプロセスに常駐します。

• SVCHOST.EXE
• WINLOGON.EXE

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = %System%\userinit.exe, %System%\sdra64.exe,

(註：変更前の上記レジストリ値は、「%System%\userinit.exe, 」となります。)

他のシステム変更

マルウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Network
UID = {Computer name}_{Random numbers}

マルウェアは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = 0

情報漏えい

マルウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。

マルウェアは、以下のWebサイトにアクセスし、自身の環境設定ファイルをダウンロードします。

• http://{BLOCKED}iauto.com/ishi/aizen.bin

ユーザが監視サイトのいずれかにアクセスすると、マルウェアは、キー入力操作情報を収集します。

マルウェアは、Webサイトにアクセスしてファイルをダウンロードします。ダウンロードされたファイルには、自身のコピーの更新版ファイルのダウンロード元および収集した情報の送信先が記載されています。なお、上記でダウンロードされたファイルは、環境設定ファイルで、このマルウェアが情報収集の際に対象とする以下の金融関連Webサイトのリストを含んでいます。

• http://*.osmp.ru
• http://*odnoklassniki.ru
• http://caixasabadell.net
• http://vkontakte.ru
• http://www.hsbc.co.uk
• http://www.unfcu.org
• https://*.alaskausa.org
• https://*.payment.ru
• https://*.scottrade.com
• https://*bancopopular.es
• https://*cajamar.es
• https://*credem.it
• https://*creval.it
• https://*egg.com
• https://*first-direct.com
• https://*hsbc.co.uk
• https://*sanpaoloimi.com
• https://*ubl.com.pk
• https://*ulsterbankanytimebanking.*
• https://*usaa.com
• https://*usbank.com
• https://allied.direct.abl.com.pk
• https://alltimetreasury.pacificcapitalbank.com
• https://areasegura.banif.es
• https://banca.cajaen.es
• https://bancaonline.openbank.es
• https://bancopostaonline.poste.it
• https://banesnet.banesto.es
• https://banking*.anz.com
• https://banking.*.de
• https://banking.calbanktrust.com
• https://banking.postbank.de
• https://businessonline.tdbank.com
• https://caixadirecta.cgd.pt
• https://cardsonline-consumer.com
• https://carnet.cajarioja.es
• https://clients.chronopay.com
• https://cm.netteller.com
• https://commerceconnections.commercebank.com
• https://database.acornmediauk.com
• https://easyweb*.tdcanadatrust.com
• https://ebank.dibpak.com
• https://empresas.gruposantander.es
• https://engine.paymentgate.ru
• https://extranet.banesto.es
• https://goldleafach.com
• https://hb.quiubi.it
• https://home.cbonline.co.uk
• https://home.ybonline.co.uk
• https://home2ae.cd.citibank.ae
• https://ibank.barclays.co.uk
• https://ibank.cahoot.com
• https://ibank.internationalbanking.barclays.com
• https://ibank.scnb.com
• https://ibanking.banksa.com.au
• https://ibanking.stgeorge.com.au
• https://ibanking.warwickcreditunion.com.au
• https://intelvia.cajamurcia.es
• https://internetbanking.aib.ie
• https://internetbanking.gad.de
• https://internetbanking.suncorpmetway.com.au
• https://light.webmoney.ru
• https://lot-port.bcs.ru
• https://montevia.elmonte.es
• https://my.if.com
• https://myib.firstmerchants.com
• https://myonlineaccounts*.abbeynational.co.uk
• https://myonlineaccounts2.abbeynational.co.uk
• https://oi.cajamadrid.es
• https://oie.cajamadridempresas.es
• https://olb2.nationet.com
• https://online*.lloydstsb.co.uk
• https://online-business.lloydstsb.co.uk
• https://online-offshore.lloydstsb.com
• https://online.islamic-bank.com
• https://online.lloydstsb.co.uk
• https://online.wamu.com
• https://online.wellsfargo.com
• https://onlinebanking#.wachovia.com
• https://onlinebanking.firsttrustbank.co.uk
• https://onlinebanking.nationalcity.com
• https://onlinetreasurymanager.suntrust.com
• https://pastornetparticulares.bancopastor.es
• https://privati.internetbanking.bancaintesa.it
• https://probanking.procreditbank.bg
• https://rbkmoney.ru
• https://resources.chase.com
• https://rupay.com
• https://secure.assist.ru
• https://secure.fundsxpress.com
• https://secure.ingdirect.co.uk
• https://secure.natweststockbrokers.co.uk
• https://service.oneaccount.com
• https://uk.virginmoney.com
• https://web.da-us.citibank.com
• https://web.secservizi.it
• https://web3.secureinternetbank.com
• https://webexpress.tdbanknorth.com
• https://welcome*.co-operativebank.co.uk
• https://welcome*.smile.co.uk
• https://welcome23.smile.co.uk
• https://welcome27.co-operativebank.co.uk
• https://www#.citizensbankonline.com
• https://www#.usbank.com
• https://www*.banking.first-direct.com
• https://www.365online.co.uk
• https://www.365online.com
• https://www.53.com
• https://www.accessmycardonline.com
• https://www.bancajaproximaempresas.com
• https://www.bancoherrero.com
• https://www.bankcardservices.co.uk
• https://www.bankofamerica.com
• https://www.bbvanetoffice.com
• https://www.bgnetplus.com
• https://www.brownshipley-online.com
• https://www.caixagirona.es
• https://www.caixalaietana.es
• https://www.caixaontinyent.es
• https://www.caixatarragona.es
• https://www.caja-granada.es
• https://www.cajabadajoz.es
• https://www.cajacanarias.es
• https://www.cajacirculo.es
• https://www.cajadeavila.es
• https://www.cajalaboral.com
• https://www.cajasoldirecto.es
• https://www.cajavital.es
• https://www.caterallenonline.co.uk
• https://www.ccm.es
• https://www.citibank.de
• https://www.clavenet.net
• https://www.columbiabankonline.com
• https://www.e-gold.com
• https://www.eastwestbankhb.com
• https://www.ebank.hsbc.co.uk
• https://www.ecathay.com
• https://www.fibancmediolanum.es
• https://www.gbw2.it
• https://www.gruposantander.es
• https://www.gruppocarige.it
• https://www.halifax-online.co.uk
• https://www.hsbc.co.uk
• https://www.independentcm.com
• https://www.isbank.com.tr
• https://www.isbnj.com
• https://www.isideonline.it
• https://www.iwbank.it
• https://www.moneybookers.com
• https://www.moneymail.ru
• https://www.mybank.alliance-leicester.co.uk
• https://www.mybusinessbank.co.uk
• https://www.netspend.com
• https://www.netteller.com
• https://www.nochex.com
• https://www.nwolb.com
• https://www.paypal.com
• https://www.rbsdigital.com
• https://www.sabadellatlantico.com
• https://www.skagitonlinebanking.com
• https://www.sunnb.blilk.com
• https://www.suntrust.com
• https://www.unicaja.es
• https://www.uno-e.com
• https://www.us.hsbc.com
• https://www.w1.ru
• https://www.whitneybank.web-access.com
• https://www2.bancopopular.es
• https://www3.netbank.commbank.com.au
• https://*westpac.com.au

ダウンロードされたファイルには、自身のコピーの更新版ファイルのダウンロード元および収集した情報の送信先が記載されています。

なお、このファイルの内容である監視Webサイトのリストは、常時変更されます。

マルウェアは、以下の銀行もしくは金融機関で利用される個人情報を収集します。

• AIB
• ANZ
• Abbey National
• Alliance & Leicester
• BBVA
• BG Net Plus
• Banca Intesa
• Bancaja
• Banco Herrero
• Banco Pastor
• Banco Popular
• Banco de Sadabell
• Banesto
• Banif
• Bank of America
• Barclays
• BrokerCreditService
• CCM
• Caixa Girona
• Caixa Laietana
• Caixa Ontinyent
• Caixa Tarragona
• Caja Badajoz
• Caja Canarias
• Caja Circulo
• Caja Granada
• Caja Laboral
• Caja Madrid
• Caja Mar
• Caja Murcia
• Caja Vital
• Caja de Avila
• Caja de Jaen
• Cajarioja
• Cajasol
• Chase
• Citibank
• Citizens
• Clavenet
• Clydesdale
• Co-Operativebank
• E-Gold
• Fibanc Mediolanum
• Fifth Third
• First Direct
• GAD
• Gruppo Carige
• HSBC
• Halifax
• ING Direct
• IS Bank
• IW Bank
• Iside
• Lloyds
• MBNA Europe Bank Limited
• MoneyMail
• Moneybookers
• National City
• Nationwide
• Natwest
• Net Banking
• OSPM
• Odnoklassniki
• Openbank
• PayPal
• PosteItaliane
• Procredit
• Qui UBI
• RBS
• Raiffeisen
• Rupay
• Sabadell Atlantico
• Santander
• Secservizi
• Smile
• Suntrust
• TD Canada Trust
• US Bank
• USAA
• Unicaja
• Uno-E
• Vkontakte
• Wachovia
• Washington Mutual
• Webmoney Keeper Light
• Wells Fargo
• Westpac Banking Corporation
• Yorkshire

情報収集

マルウェアは、以下のファイル内に収集した情報を保存します。

• %System%\lowsec\user.ds

(註：%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

マルウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

• http://{BLOCKED}iauto.com/ishi/sama.php

その他

###############################################################################################################################################################################################################################################################

解析の結果、マルウェアによるバックドア活動は確認されませんでした。

ハッシュ値情報

マルウェアは、以下のMD5ハッシュ値を含んでいます。

• 41a3348f325cf81757acdb9df48948ca

マルウェアは、以下のSHA1ハッシュ値を含んでいます

• b7609ee90c3d78edcae8a9f820d213a038adc108