TSPY_ZBOT.CDC

スパイウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。

侵入方法

スパイウェアは、以下の悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

• http://{BLOCKED}t.net:81/sx14nx7/fda.exe

インストール

スパイウェアは、以下のフォルダを追加します。

• %Application Data%\{random1}
• %Application Data%\{random2}

(註：%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\＜ユーザ名＞\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Application Data" です。)

スパイウェアは、以下のプロセスに自身を組み込み、システムのプロセスに常駐します。

• dwm.exe
• rdpclip.exe
• ctfmon.exe
• wscntfy.exe
• taskeng.exe
• taskhost.exe

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random CLSID} = %Application Data%\{random1}\{random}.exe

他のシステム変更

スパイウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
{random}

作成活動

スパイウェアは、以下のファイルを作成します。

• %Application Data%\{random1}\{random}.exe
• %Application Data%\{random2}\{random}.{random}

(註：%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\＜ユーザ名＞\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Application Data" です。)

ダウンロード活動

スパイウェアは、以下のWebサイトにアクセスして自身の環境設定ファイルをダウンロードします。

• http://{BLOCKED}t.net:81/sx14nx7/fda.bin

情報漏えい

スパイウェアは、Webサイトにアクセスしてファイルをダウンロードします。ダウンロードされたファイルには、自身のコピーの更新版ファイルのダウンロード元および収集した情報の送信先が記載されています。なお、上記でダウンロードされたファイルは、環境設定ファイルで、このスパイウェアが情報収集の際に対象とする以下の金融関連Webサイトのリストを含んでいます。

• *.citibank.com/US/JPS/portal/Index.do*
• *.citibank.com/US/JRS/portal/accountSummary.do
• *login.live.com*
• *login.yahoo.com*
• *online.wellsfargo.com/das/cgi-bin/session.cgi*
• *online.wellsfargo.com/login*
• *wellsfargo.com/
• *www.bankofamerica.com*
• *www.bankofamerica.com/*
• htt*://www.citi*com/*
• http*chase.com/
• http://www.facebook.com/index.ph*
• https://*.bankofamerica.com/cgi-bin/ias/*
• https://*.chase.com/MyAccounts.aspx*
• https://*chase.com/*
• https://banking.chase.com/.*
• https://banking.chase.com/AccountActivity/AccountDetails.aspx?AI=*
• https://businessonline.tdbank.com/CorporateBankingWeb/Core/CustomerService/CustomerService.aspx
• https://businessonline.tdbank.com/CorporateBankingWeb/Core/CustomerService/ModifySecurityQuestions.aspx
• https://businessonline.tdbank.com/CorporateBankingWeb/Core/InformationReporting/AccountPortfolio.aspx
• https://chaseonline.chase.com/MyAccounts.aspx
• https://chaseonline.chase.com/images//ChaseNew.gif
• https://chaseonline.chase.com/images//logoff.gif
• https://chaseonline.chase.com/images/bolprogress.gif
• https://chaseonline.chase.com/secure/ServiceActivation/LOBServiceController.aspx?_context=wire
• https://chaseonline.chase.com/secure/serviceactivation/confirmation/confirm.aspx
• https://chaseonline.chase.com/secure/serviceactivation/confirmation/error.aspx
• https://chaseonline.chase.com/secure/serviceactivation/legalagreements/legalagreement.aspx
• https://chaseonline.chase.com/secure/serviceactivation/primaryaccount/primaryaccount.aspx
• https://chaseonline.chase.com/secure/serviceactivation/secauth/otpdeliverymode.aspx
• https://chaseonline.chase.com/secure/serviceactivation/secauth/otpdeliverymodeconfirmation.aspx
• https://chaseonline.chase.com/secure/serviceactivation/secauth/secauthinformation.aspx
• https://chaseonline.chase.com/secure/serviceactivation/secauth/validateotp.aspx
• https://online.citibank.com/JRS/cm/img/top_nav/logo.gif
• https://online.citibank.com/US/*/portal/Home.do*
• https://online.citibank.com/US/*/portal/menu.do*
• https://online.wamu.com/Servicing/Servicing.aspx?*
• https://online.wellsfargo.com/das/cgi-bin/session.cgi*
• https://onlineeast#.bankofamerica.com/cgi-bin/ias/*/CustomerServiceMenuEntryPoint?custAction=75
• https://onlineeast#.bankofamerica.com/cgi-bin/ias/*/GotoCustomerServiceMenu
• https://onlineeast#.bankofamerica.com/cgi-bin/ias/*/GotoWelcome
• https://onlineeast1.bankofamerica.com/cmsContent/en_US/TransferFunds/Model/WhyDoWeAskForThisInfoPopUp.html
• https://payments.chase.com/Wire/wireaddconfirm.aspx
• https://payments.chase.com/Wire/wireaddform2.asp*
• https://payments.chase.com/Wire/wireaddverify.aspx
• https://payments.chase.com/Wire/wirerecipientaddconfirm.aspx
• https://payments.chase.com/Wire/wirerecipientaddform2.aspx
• https://payments.chase.com/Wire/wirerecipientaddroutingnumber.aspx
• https://payments.chase.com/Wire/wirerecipientaddverify.aspx
• https://sitekey.bankofamerica.com/sas-docs/images/clr.gif
• https://sitekey.bankofamerica.com/sas/challengeQandA.do
• https://sitekey.bankofamerica.com/sas/maint.do
• https://sitekey.bankofamerica.com/sas/sas-docs/js/commonscript.js
• https://sitekey.bankofamerica.com/sas/signonSetup.do
• https://stmts.chase.com/StmtList.aspx?*
• https://www.ibsnetaccess.com/NASApp/NetAccess/LoginValidation
• https://www.wellsfargo.com/help/faqs/signon_faqs

スパイウェアは、以下の銀行もしくは金融機関で利用される個人情報を収集します。

• Bank of America
• Chase
• Citibank
• Facebook
• TD Bank
• Washington Mutual
• Wells Fargo
• Yahoo

情報収集

スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

• http://{BLOCKED}s.net:81/zxaz437.php

ハッシュ値情報

スパイウェアは、以下のMD5ハッシュ値を含んでいます。

• 416bd6a2390c9c713e192df9a7ce47a4

スパイウェアは、以下のSHA1ハッシュ値を含んでいます

• d087225849283555bfc16bf524ee90ace6ad9c71