TSPY_ZBOT.CDB

スパイウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。

侵入方法

スパイウェアは、以下の悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

• http://{BLOCKED}sein.net/22oct_pac.exe

インストール

スパイウェアは、以下のフォルダを追加します。

• %Application Data%\{random1}
• %Application Data%\{random2}

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

スパイウェアは、以下のプロセスに自身を組み込み、システムのプロセスに常駐します。

• dwm.exe
• rdpclip.exe
• ctfmon.exe
• wscntfy.exe
• taskeng.exe
• taskhost.exe

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random CLSID} = %Application Data%\{random1}\{random}.exe

他のシステム変更

スパイウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
{random}

作成活動

スパイウェアは、以下のファイルを作成します。

• %Application Data%\{random1}\{random}.exe
• %Application Data%\{random2}\{random}.{random}

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

ダウンロード活動

スパイウェアは、以下のWebサイトにアクセスして自身の環境設定ファイルをダウンロードします。

• http://{BLOCKED}adus.cc/22oct_pac.cpm

情報漏えい

スパイウェアは、Webサイトにアクセスしてファイルをダウンロードします。ダウンロードされたファイルには、自身のコピーの更新版ファイルのダウンロード元および収集した情報の送信先が記載されています。なお、上記でダウンロードされたファイルは、環境設定ファイルで、このスパイウェアが情報収集の際に対象とする以下の金融関連Webサイトのリストを含んでいます。

• *.abbeynational.co.uk/*
• *.barclays.co.uk*
• *.barclays.co.uk*barcaz.php*
• *.barclays.co.uk*bg.php*
• *.firstdirect.com*splash*trusteer*
• *.firstdirect.com/1/2/*
• *.hsbc.co.uk/1*
• *.mybank.alliance-leicester.co.uk*
• *abbeynational.co.uk*abbeyaz.*php*
• *abbeynational.co.uk*bg.php*
• *alliance*leicester.co.uk*bg.php*
• *alliance*leicester.co.uk*leicesteraz.php*
• *firstdirect.com*bg.php*
• *firstdirect.com*firstaz.php*
• *hsbc.co.uk*az.php*
• *hsbc.co.uk*bg.php*
• *nwolb.co*
• *nwolb.co*az.php*
• *nwolb.co*bg.php*
• *retail.abbeynational.co.uk/EBAN_ENS/BtoChannelDriver.ssobto*
• http://myonlineaccounts2.abbeynational.servat.cc/abbey/bg.php
• http://myonlineaccounts2.abbeynational.servat.cc/js/abbeyaz.js
• http://recruiter.jobsearch.co.uk/login.cgi*
• http://www.barclayscouk.cc/barc/bg.php
• http://www.barclayscouk.cc/js/barcaz.js
• http://www.mybank.alliance-leiceter.cc/js/leicesteraz.js
• http://www.mybank.alliance-leiceter.cc/leicester/bg.php
• http://www.nsvc.cc/az.js
• http://www.nsvc.cc/hsbc/bg.php
• http://www.nwolb.co.uk.servat.cc/js/natwestaz.js
• http://www.nwolb.co.uk.servat.cc/natwest/bg.php
• http://www.redgoldfish.co.uk/advertisers/login.aspx*
• http://www.vacancycentral.co.uk/wscrm/login.php*
• http://www1.banking.firstdirest.cc/first/bg.php
• http://www1.banking.firstdirest.cc/js/firstaz.js

スパイウェアは、以下の銀行もしくは金融機関で利用される個人情報を収集します。

• Alliance & Leicester
• Barclays
• First Direct
• HSBC
• Natwest
• Santander

情報収集

スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

• http://{BLOCKED}cyis.com/yahooman.php

ハッシュ値情報

スパイウェアは、以下のMD5ハッシュ値を含んでいます。

• 98db0cbb775cfdd926f181d457c7b583

スパイウェアは、以下のSHA1ハッシュ値を含んでいます

• b3eaccbbebc337c94ca1dfe128e34a5ebb6301d9