TSPY_ZBOT.CBV

スパイウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。

侵入方法

スパイウェアは、以下の悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

• http://{BLOCKED}mpn123.com:81/bot.exe

インストール

スパイウェアは、以下のフォルダを追加します。

• %Application Data%\{random1}
• %Application Data%\{random2}

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

スパイウェアは、以下のプロセスに自身を組み込み、システムのプロセスに常駐します。

• dwm.exe
• rdpclip.exe
• ctfmon.exe
• wscntfy.exe
• taskeng.exe
• taskhost.exe

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random CLSID} = %Application Data%\{random1}\{random}.exe

他のシステム変更

スパイウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
{random}

作成活動

スパイウェアは、以下のファイルを作成します。

• %Application Data%\{random1}\{random}.exe
• %Application Data%\{random2}\{random}.{random}

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

ダウンロード活動

スパイウェアは、以下のWebサイトにアクセスして自身の環境設定ファイルをダウンロードします。

• http://{BLOCKED}n123.com:81/config.bin

情報漏えい

スパイウェアは、Webサイトにアクセスしてファイルをダウンロードします。ダウンロードされたファイルには、自身のコピーの更新版ファイルのダウンロード元および収集した情報の送信先が記載されています。なお、上記でダウンロードされたファイルは、環境設定ファイルで、このスパイウェアが情報収集の際に対象とする以下の金融関連Webサイトのリストを含んでいます。

• */*libertyreserve.com/*
• */atl.osmp.ru/*
• */login.osmp.ru/*
• http*://*.macys.com/*
• https://*.bankofamerica.com/cgi-bin/ias/*
• https://*.bankofamerica.com/cgi-bin/ias/A/*/GotoCustomerServiceMenu
• https://bankcardsonline.commercebank.com/CommerceBank_Consumer/TransHistory.do
• https://chaseonline.chase.com/MyAccounts.aspx
• https://online.americanexpress.com/myca/acctsumm/us/action?request_type=authreg_acctAccountSummary*
• https://onlinebanking.tdbank.com/*
• https://onlineeast*.bankofamerica.com/cgi-bin/ias/*
• https://sitekey.bankofamerica.com/sas/maint.do
• https://www.accountcentralonline.com/cmuser/myacct/*
• https://www.barclaycardus.com/app/ccsite/action/switchAccount*
• https://www.discovercard.com/cardmembersvcs/achome/*
• https://www.discovercard.com/cardmembersvcs/achome/*
• https://www.discovercard.com/cardmembersvcs/personalprofile/pp/GetInitialInfo
• https://www.ezcardinfo.com/AcctSummary.aspx
• https://www.fiabusinesscard.com/cgi-bin/ias/*
• https://www.fiabusinesscard.com/cgi-bin/ias/A/1/GotoWelcome
• https://www.gotomycard.com/accounts.asp
• https://www.gruposantander.es/*
• https://www.hsbccreditcard.com/ecare/customerservice/updatepersonalinfo?&locale=en_US&brand=HB_090_750
• https://www.hsbccreditcard.com/ecare/viewaccount*
• https://www.ibsnetaccess.com/NASApp/NetAccess/*
• https://www.ibsnetaccess.com/NASApp/NetAccess/updateQandA.action?target=updtQA
• https://www.myaccountaccess.com/onlineCard/*
• https://www.myaccountaccess.com/onlineCard/postLogin.do?phase=start
• https://www.mycardstatement.com/AcctSummary.aspx
• https://www.nordstromcard.com/fdr_nr.service?TRANTYPE*
• https://www.partnercardservices.com/ecare/customerservice/updatepersonalinfo?&locale=en_US&brand=RZ_500_501
• https://www.partnercardservices.com/ecare/viewaccount*
• https://www.pnccardservicesonline.com/pages/AccountSummary.aspx*
• https://www.statementlook.com/fdr_ge.service?TRANTYPE*
• https://www.suntrust.com/portal/server.pt?mode=2&uuID=*

スパイウェアは、以下の銀行もしくは金融機関で利用される個人情報を収集します。

• American Express
• Bank of America
• Barclays
• Chase
• Commerce Bank
• HSBC
• Liberty Reserve
• Macy's
• OSPM
• PNC
• Santander
• Suntrust
• TD Bank

情報収集

スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

• http:/{BLOCKED}mpn123.com:81/gate.php

ハッシュ値情報

スパイウェアは、以下のMD5ハッシュ値を含んでいます。

• a9e45556b58d97350f257c4d7b5f90bd

スパイウェアは、以下のSHA1ハッシュ値を含んでいます

• b4020e74d009e0c6446143dab51bbdd7dab08a57