TSPY_ZBOT.BIZ

マルウェアは、フォルダを作成し、このフォルダ内に自身のファイルを作成します。 マルウェアは、プロセスに組み込まれ、システムのプロセスに常駐します。

マルウェアは、Internet Explorer（IE）のゾーン設定を変更します。

マルウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。 マルウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。

侵入方法

マルウェアは、以下のリモートサイトからダウンロードされ、コンピュータに侵入します。

• http://IWfybFyWi.com/pl/wggw.exe

インストール

マルウェアは、以下のファイルを作成します。

• %Application Data%\{random1}\{random}.exe - copy of itself
• %Application Data%\{random2}\{random}.{3 random alpha character extension name} - encrypted file

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

マルウェアは、フォルダを作成し、このフォルダ内に自身のファイルを作成します。

マルウェアは、以下のプロセスに組み込まれ、システムのプロセスに常駐します。

• ctfmon.exe
• dwm.exe
• explorer.exe
• rdpclip.exe
• taskeng.exe
• taskhost.exe
• wscntfy.exe

マルウェアは、プロセスに組み込まれ、システムのプロセスに常駐します。

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{GUID} = {malware path and file name}

他のシステム変更

マルウェアは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Windows%\\Explorer.EXE = "%Windows%\Explorer.EXE:*:Enabled:Windows Explorer"

Webブラウザのホームページおよび検索ページの変更

マルウェアは、IEのゾーン設定を変更します。

情報漏えい

マルウェアは、感染したコンピュータ上でInternet Explorer（IE）の使用状況を監視します。マルウェアは、特にIEのアドレスバーまたはタイトルバー情報を監視しますが、ユーザが銀行関連Webサイトを閲覧しそのサイトのアドレスバーまたはタイトルバーに以下の文字列が含まれていた場合、正規Webサイトを装った偽のログインページを作成します。

• http://eigach.ru/script.js
• https://cbs.firstcitizens.com/cb/servlet/cb/loginfcbnc.jsp*
• https://cbs.firstcitizens.com/cb/jsp-ns/inc/auth/fp.js*
• http*.webcashmgmt.com*Login*
• http*.webcashmanager.com*Login*
• http*/phcp/servlet*Login*
• http*/wcmfd/*Login*
• http*/phcp/econnection/login/js/login.htm*
• http*/wcmfd/js/LoginCSS.js*
• http*treasury.pncbank.com/portal/esec/login.ht*
• http*treasury.pncbank.com/portal/service/js/loginproc.js*
• http*sso.uboc.com/obc/forms/login.fcc*
• http*sso.uboc.com/js/ub-common.js*
• http*bolb.associatedbank.com*
• http*bolb.associatedbank.com/js/jquery.js*
• http*.53.com*
• http*.53.com*
• http*.53.com*RSAScript.js*
• http*.53.com*RSAScript.js*
• http*ebanking-services.com/*
• http*ebanking-services.com/AUTH/WebResource.axd*
• https://businessonline.huntington.com/BOLHome/BusinessOnlineLogin.aspx*
• https://businessonline.huntington.com/common/scripts/common.js*
• https*/pub/html/login.html*
• https://*/cmserver*verify.cfm*
• https://*/cmserver*verify.cfm*
• https://*cmserver/include/ui/uiScripts.js*
• https://*login_ui_includes/login_brandScripts.js*
• https://premierview.membersunited.org/Core/login.aspx*
• https://premierview.membersunited.org/WebResource.axd*
• https://*.web-access.com*welcome.cgi*
• https://*/onlineserv/CM/*
• https://*/onlineserv/CM/std/js/en/disofactor.js*
• https://businessonline.tdbank.com/corporatebankingweb/core/login.aspx*
• https://businessonline.tdbank.com/CorporateBankingWeb/VAM/2_0_2/VAM.js*
• https://authmaster.nationalcity.com/tmgmt/wslogin.jsp*
• https://www.nationalcity.com/consultnc/*
• https://authmaster.nationalcity.com/tmgmt/js/bharosa_uio.js*
• https://www.nationalcity.com/sharedApp/js/isEmpty.js*
• https://*blilk.com/Core/Authentication/MFA*.aspx*
• https://*blilk.com/include/Utils.js*
• https://olb.gnty.com/Login/Username.aspx*
• https://securentrycorp.*/Authentication/zbf/k/*
• https://securentrycorp.*/Authentication/lib.js*
• https://ecash.*
• https://*Cashman*
• https://*cashman*
• http*business-eb.ibanking-services.com/K1/*login*jsp*
• http*business-eb.ibanking-services.com*general.js*
• https://commercial.wachovia.com/Online/Financial/Business/Service?action=Login*
• https://commercial.wachovia.com/Online/Registration/jsinclude/bidata.js
• http*www.northerntrust.com/*
• http*www3683.ntrs.com*
• http*www.northerntrust.com/incs/scripts.js
• https://www3683.ntrs.com/ptl/ptl/javascript/NavigationMenuScripts.js*
• https://www8.comerica.com/*
• https://www8.comerica.com/images/sdc.js
• https://direct.bankofamerica.com/Core/servlet/BofaDirect.BankofAmericaDirect.BankofAmericaDirectServlet?page=PgLogin*
• https://direct.bankofamerica.com/BofaDirect/javascript/js.util.uiutils.js*
• https://www.us.hsbc.com/1/2/3/business/online/business-internet-banking/log-on*
• https://www.us.hsbc.com/1/themes/html/hbus_common/HSBC-top_section.js*
• https://www.commercial.hsbc.com.hk/1/2/!ut/p/kcxml/*
• https://www.commercial.hsbc.com.hk/1/themes/html/b2gjs/WT_top_section.js*
• https://www.corporatebanking.firsttennessee.com/cb/servlet/cb/jsp-ns/login.jsp*
• https://internetbanking.firsttennessee.biz/webcm/customer1.asp*
• https://cashmgt.firsttennessee.biz/cb/servlet/cb/login.jsp*
• https://treas-mgt.frostbank.com/rdp/cgi-bin/welcome.cgi*
• https://singlepoint.usbank.com/cs70_banking/logon/sbuser*
• https://singlepoint.usbank.com/cs70_banking/user/script/login.js*
• https://www.halifax-online.co.uk/_mem_bin/formslogin.asp
• https://www.halifax-online.co.uk/MyAccounts/MyAccounts.aspx*
• https://www.halifax-online.co.uk/MyAccounts/*
• *banking.bankofscotland.co.uk/Logon/Logon.aspx*
• http*://*hsbc.co.uk*
• http*://www.hsbc.co.uk/1/2*

マルウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。

マルウェアは、Webサイトにアクセスしてファイルをダウンロードします。ダウンロードされたファイルには、自身のコピーの更新版ファイルのダウンロード元および収集した情報の送信先が記載されています。なお、上記でダウンロードされたファイルは、環境設定ファイルで、このマルウェアが情報収集の際に対象とする以下の金融関連Webサイトのリストを含んでいます。

• http://{BLOCKED}yWi.com/pl/eqtewttetwq.img
• http://{BLOCKED}ugbwu.com/fewfwee.img

マルウェアは、以下の銀行もしくは金融機関で利用される個人情報を収集します。

• Bank of America
• Fifth Third
• HSBC
• Halifax
• Microsoft
• National City
• PNC
• US Bank
• Union Bank of California
• Wachovia

情報収集

マルウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

• http://{BLOCKED}yWi.com/pl/wert.php

その他

このマルウェアのコードから、マルウェアは、以下の機能を備えています。

• Arrives via spammed mails containing a link where a copy of itself can be downloaded.