TROJ_ZBOT.CJX

ユーザが監視サイトのいずれかにアクセスすると、マルウェアは、キー入力操作情報を収集します。 マルウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。

マルウェアは、銀行または金融関連機関のリストから情報を収集します。

インストール

マルウェアは、以下のフォルダを作成します。

• %Application Data%\{random1}
• %Application Data%\{random2}

(註：%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\＜ユーザ名＞\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Application Data" です。)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{7956D4B0-70F3-35A7-569D-1A702FC4160A} = %Application Data%\{random1}\{random}.exe

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
{random}
{default} =  

作成活動

マルウェアは、以下のファイルを作成します。

• %Application Data%\{random1}\{random}.exe
• %Application Data%\{random2}\{random}.hub

(註：%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\＜ユーザ名＞\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Application Data" です。)

情報漏えい

マルウェアは、以下のWebサイトにアクセスし、自身の環境設定ファイルをダウンロードします。

• http://update-java3.com/src/update2.set
• http://update-java3.com/src/ie82.chm
• http://update-java4.com/src/ie82.chm

ユーザが監視サイトのいずれかにアクセスすると、マルウェアは、キー入力操作情報を収集します。

マルウェアは、Webサイトにアクセスしてファイルをダウンロードします。ダウンロードされたファイルには、自身のコピーの更新版ファイルのダウンロード元および収集した情報の送信先が記載されています。なお、上記でダウンロードされたファイルは、環境設定ファイルで、このマルウェアが情報収集の際に対象とする以下の金融関連Webサイトのリストを含んでいます。

• *.anz.com*
• *.anz.com*login.asp
• *.halifax-online.co.uk*
• *.microsoft.com/*
• *.nwolb.com*
• *.nwolb.com*AccountSummary.aspx*
• *.nwolb.com*OneOffPaymentsCreateBillPayee.aspx*
• *.nwolb.com*OneOffPaymentsPayeeList.aspx*
• *.nwolb.com*PaymentsLandingPage.aspx*
• *.nwolb.com*StatementsLandingPage.aspx*
• */atl.osmp.ru/*
• */login.osmp.ru/*
• *anz.com*Action.ANZRetUser.External.SignOn*
• *firstdirect.com*
• *online.westpac.com.au*SrvPage*
• *online.westpac.com.au*_*.asp*
• *online.westpac.com.au*appchanger*
• *online.westpac.com.au*bpd_pygetdetails.asp*
• *online.westpac.com.au*bsd_aitranslist.asp*
• *online.westpac.com.au*bsd_pyfullpayeelist.asp*
• *online.westpac.com.au*dashboard*
• *online.westpac.com.au*startpage*
• http*alliance-leicester.co.uk*TGZ2.asp*
• http*anz.com*BROKOLLYAWAY*
• http*bankofscotlandhalifax-online.co.uk*
• http*firstdirect.com*gate.php*
• http*firstdirect.com*idvs.newa*
• http*halifax.co.uk*
• http*nwolb.com*WebResosrce.axd*
• http*online.westpac.com.au*pageloadsa*
• http://*myspace.com*
• http://*odnoklassniki.ru/*
• http://java-updates.com/?d=
• http://java-updates.com/?rep=money sent:
• http://java-updates.com/?rep=wait sms otp&d=
• http://java-updates.com/?ver=10&bid=1&id=
• http://java-updates.com/?ver=10&bid=3&id=
• http://java-updates.com/minotavrgetnowspe.php
• http://java-updates.com/minotavrtnowspe.php
• http://vkontakte.ru/*
• http://www.hsbc.co.uk/1/PA_1_1_S5/content/uk/pdfs/en/hsbc_green_tcs.pdf
• http://www.hsbc.co.uk/1/PA_1_1_S5/content/uk/pdfs/en/personalbankingterms_conditions.pdf
• http://www.hsbc.co.uk/1/PA_1_1_S5/content/uk/pdfs/en/student_and_graduate.pdf
• http://www.hsbc.co.uk/1/PA_1_1_S5/content/uk/pdfs/en/student_cred_card_tc.pdf
• https://(.+).anz.com
• https://*
• https://*.abbeynational.co.uk*
• https://ajax.googleapis.com/ajax/libs/jquery/1.3.2/jquery.min.js
• https://ajax.googleapis.com/ajax/libs/jqueryui/1.7.2/jquery-ui.min.js
• https://ajax.googleapis.com/ajax/libs/jqueryui/1.7.2/themes/start/ui.all.css
• https://getinvolved-donate.fao.org/pub_libs21/system/auth/loadingAnimation.gif
• https://myonlineaccounts2.abbeynational.co.uk/CentralLogonWeb/Logon*
• https://myonlineaccounts2.abbeynational.co.uk/ffStatic/js/global.js
• https://retail.abbeynational.co.uk*internetSantander.js*
• https://retail.abbeynational.co.uk/EBAN_ENS/BtoChannelDriver.ssobto*
• https://retail.abbeynational.co.uk/EBAN_ENS/BtoChannelDriver.ssobto?dse_operationName=MyPersonalHomepage&canal=INT
• https://u4web.com/www5/log.php
• https://u4web.com/www5/stats.php
• https://u4web.com/www5/tmp/jquery-ui.min.js
• https://u4web.com/www5/tmp/jquery.css
• https://u4web.com/www5/whiteip.php
• https://www.gruposantander.es/*
• https://www.hsbc.co.uk/1/2/*
• https://www.hsbc.co.uk/1/2/personal/internet-banking/personal-details;jsessionid=
• https://www.hsbc.co.uk/1/2/personal/internet-banking;*
• https://www.mybank.alliance-leicester.co.uk/index.asp*
• https://www.mybank.alliance-leicester.co.uk/login/PM4point1.asp*
• https://www.mybank.alliance-leicester.co.uk/login/PM5.asp*
• https://www.mybank.alliance-leicester.co.uk/view_accounts/VA1.asp*
• https://www.nwolb.com*login.aspx*
• https://www1.firstdirect.com/1/themes/html/firstdirectPWSa/images/fdlogo_home.gif

なお、このファイルの内容である監視Webサイトのリストは、常時変更されます。

マルウェアは、以下の銀行もしくは金融機関で利用される個人情報を収集します。

• ANZ
• Abbey National
• Alliance & Leicester
• HSBC
• Halifax
• Microsoft
• Myspace
• Natwest
• OSPM
• Odnoklassniki
• Santander
• Vkontakte
• Westpac Banking Corporation

攻撃対象

マルウェアは、銀行または金融関連機関のリストから情報を収集します。

情報収集

マルウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

• http://{BLOCKED}-java3.com/aaaa/11g.php

その他

このマルウェアのコードから、マルウェアは、以下の機能を備えています。

• It arrives as a file downloaded from the following URLs: http://{BLOCKED}-java3.com/src/update1.exe

ハッシュ値情報

マルウェアは、以下のMD5ハッシュ値を含んでいます。

• c917e51baf6223b7a356580d77d65461

マルウェアは、以下のSHA1ハッシュ値を含んでいます

• 59ef8009bba82a5ed544a1009b74eab0c0614fc4