TSPY_ZBOT.CBL
Windows 2000, XP, Server 2003
マルウェアタイプ:
ワーム
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
ユーザが監視サイトのいずれかにアクセスすると、ワームは、キー入力操作情報を収集します。 ワームは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。
ワームは、銀行または金融関連機関のリストから情報を収集します。
詳細
感染ポイント
ワームは、以下のWebサイトからダウンロードされたファイルとして、コンピュータに侵入します。
- http://{BLOCKED}soue.com/ptz/ptg.exe
インストール
ワームは、以下のファイルを作成します。
- %Application Data%\{random1}\{random}.exe
- %Application Data%\{random2}\{random}.{random}
(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。)
ワームは、以下のフォルダを作成します。
- %Application Data%\{random1}
- %Application Data%\{random2}
(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。)
自動実行方法
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{7AD3B008-9C16-0B0B-AF21-FEF5CF0EA89B} = %Application Data%\{random1}\{random}.exe
他のシステム変更
ワームは、以下のレジストリキーを追加します。
HKEY_CURRENT_USER\Software\Microsoft\
{random}
@ =
情報漏えい
ワームは、感染したコンピュータ上でInternet Explorer(IE)の使用状況を監視します。ワームは、特にIEのアドレスバーまたはタイトルバー情報を監視しますが、ユーザが銀行関連Webサイトを閲覧しそのサイトのアドレスバーまたはタイトルバーに以下の文字列が含まれていた場合、正規Webサイトを装った偽のログインページを作成します。
- *.microsoft.com/*
- *arquia.es*flash.asp
- *barclays.es*
- *bbvanetoffice.com*DFServlet
- *bbvanetoffice.com*login_bbvanetoffice.html
- *caixacatalunya.com/*/Home/*,,00.html
- *caixacatalunya.com/*/benvinguda*
- *caixacatalunya.com/*/bienvenida*
- *caixapenedes.com*
- *caixasabadell.net*
- *caixasabadell.net*teclado.js
- *caixatarragona.es*
- *cajaduero.es*
- *cajalaboral.com*acceso_es.js
- *cajalaboral.com*home.aspx
- *cam.es*
- *cam.es*form_camdirecto.js
- *ce.caixalaietana.es*inicio_identificacion.action
- *https://caixadirecta.cgd.pt/CaixaDirecta/profile.do*
- *iurisbank.com/isum/Main?ISUM_SCR=login*
- *iurisbank.com/js/checkUsuPass.js
- *iurisbank.com/js/interface.js
- *kutxa.net*loginkn.jsp*
- *lloyds*
- *lloyds*layout.js
- *net.kutxa.net*styles_acceso.css
- *ruralvia.com/isum/Main?ISUM_SCR=login*
- *ruralvia.com/js/checkUsuPass.js
- *ruralvia.com/js/interface.js
- http*cajamadridempresas.es*login_nuevo_oie.js
- http*cajamadridempresas.es*login_oie_*
- http*empresas.gruposantander.es*login.js
- http*empresas.gruposantander.es/WebEmpresas/servlet/webempresas.servlets.CompressJSP?JSP=nueva_imagen/inicio.jsp*
- http*inversis.com*
- http*inversis.com*/js/inversiones/common.js
- http*online.halifax.es*
- http://*myspace.com*
- http://*odnoklassniki.ru/*
- http://caixatarragona.es/img/logo_discriminador.gif
- http://vkontakte.ru/*
- https://ajax.googleapis.com/ajax/libs/jquery/1.4.2/jquery.min.js
- https://ajax.googleapis.com/ajax/libs/jqueryui/1.7.1/themes/smoothness/ui.all.css
- https://ajax.googleapis.com/ajax/libs/jqueryui/1.8.4/jquery-ui.min.js
- https://caixasabadell.net/banca2/comun/NW/img/logoUnnim.gif
- https://login.facebook.com/*
- https://oie.cajamadridempresas.es/CajaMadrid/oie/imagenes/logocm.gif
- https://sealinfo.verisign.com/images/logo2.gif
- https://sealinfo.verisign.com/images/logo2.gif
- https://seguro.cam.es/camd/SvlLoginCAM
- https://trustsealinfo.verisign.com/images/vseal.gif
- https://verisign.es/gate.php
- https://www.barclays.es/publico/images/logo.png
- https://www.bbvanetoffice.com/mult/logo_nuevo.gif
- https://www.caixacatalunya.com/NASApp/ceconline/flow.jsp
- https://www.caixacatalunya.com/caixacat/eng/ccpublic/img_comun/redlogo_small.gif
- https://www.caixapenedes.com/imatges/logo_lema_cat.gif
- https://www.caixatarragona.es/img/b24h_submit.gif
- https://www.cajaduero.es/CajaElectronica/images/CajaElectronica/logocajaduero.gif
- https://www.cajalaboral.com/clweb/img/all/logo.png
- https://www.cam.es/Imagenes%20Caja%20Ahorros%20Mediterranea/ES/Logos-Simbolos/Simbolos/logo.jpg
- https://www.iurisbank.com/es_ES/img/logo_acceso_3171.gif
- https://www.ruralvia.com/estilos_prtl/css_acceso/img/logorvia05.gif
- https://www.verisign.com/assets/home/shared/images/vlogo.gif
ワームは、以下のWebサイトにアクセスし、自身の環境設定ファイルをダウンロードします。
- http://{BLOCKED}oolg.com/ptz/ger.ma
- http://{BLOCKED}asup.com/ptz/ger.ma
- http://{BLOCKED}drud.com/ptz/ger.ma
- http://{BLOCKED}ysoue.com/ptz/por.tu
ユーザが監視サイトのいずれかにアクセスすると、ワームは、キー入力操作情報を収集します。
なお、このファイルの内容である監視Webサイトのリストは、常時変更されます。
ワームは、以下の銀行もしくは金融機関で利用される個人情報を収集します。
- BBVA
- Banco de Sadabell
- Barclays
- Caixa Catalunya
- Caixa Laietana
- Caixa Tarragona
- Caja Duero
- Caja Laboral
- Caja Madrid
- Caja Mediterraneo
- Caja Rural
- Halifax
- IS Bank
- Kutxanet
- Microsoft
- Myspace
- Odnoklassniki
- Santander
- Vkontakte
攻撃対象
ワームは、銀行または金融関連機関のリストから情報を収集します。
情報収集
ワームは、HTTPポスト を介して、収集した情報を以下のURLに送信します。
- http://{BLOCKED}rborj.com/prt/jkkoz.php
その他
解析の結果、ワームによるバックドア活動は確認されませんでした。
ハッシュ値情報
ワームは、以下のMD5ハッシュ値を含んでいます。
- d9c9c3ff4495a62c50947e2929eb8115
ワームは、以下のSHA1ハッシュ値を含んでいます
- b4f7fbcc43121c3036aa89a38199d661b0d579a6
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
回復コンソールを使用して、TSPY_ZBOT.CBL として検出されるファイルを確認し、削除します。
手順 3
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- {7AD3B008-9C16-0B0B-AF21-FEF5CF0EA89B} = %Application Data%\{random1}\{random}.exe
- {7AD3B008-9C16-0B0B-AF21-FEF5CF0EA89B} = %Application Data%\{random1}\{random}.exe
手順 4
このレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\
- {random}
- {random}
手順 5
以下のフォルダを検索し削除します。
手順 6
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TSPY_ZBOT.CBL」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください