TSPY_ZBOT.CIH

スパイウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。

侵入方法

スパイウェアは、以下の悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

• http://{BLOCKED}mpok.net/Scourchl.exe

インストール

スパイウェアは、以下のフォルダを追加します。

• %Application Data%\{random1}
• %Application Data%\{random2}

(註：%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\＜ユーザ名＞\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Application Data" です。)

スパイウェアは、以下のプロセスに自身を組み込み、システムのプロセスに常駐します。

• dwm.exe
• rdpclip.exe
• ctfmon.exe
• wscntfy.exe
• taskeng.exe
• taskhost.exe

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random CLSID} = %Application Data%\{random1}\{random}.exe

他のシステム変更

スパイウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
{random}

作成活動

スパイウェアは、以下のファイルを作成します。

• %Application Data%\{random1}\{random}.exe
• %Application Data%\{random2}\{random}.{random}

(註：%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\＜ユーザ名＞\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Application Data" です。)

ダウンロード活動

スパイウェアは、以下のWebサイトにアクセスして自身の環境設定ファイルをダウンロードします。

• http://{BLOCKED}vecommunities.com/nogsdmitedir/RCAisched/ingSerLing.php?doUpsnic

情報漏えい

スパイウェアは、Webサイトにアクセスしてファイルをダウンロードします。ダウンロードされたファイルには、自身のコピーの更新版ファイルのダウンロード元および収集した情報の送信先が記載されています。なお、上記でダウンロードされたファイルは、環境設定ファイルで、このスパイウェアが情報収集の際に対象とする以下の金融関連Webサイトのリストを含んでいます。

• *.ebay.*/*eBayISAPI.dll?*
• *.wellsfargo.com/*
• */my.ebay.*/*
• */my.ebay.*/*CurrentPage=MyeBayPersonalInfo*
• *://online.wellsfargo.com/*
• *alertpay.com/AccountOverview.aspx
• http*://*bankofamerica.com*
• http*://*geico.com*
• https://*.chase.com/MyAccounts.aspx*
• https://*.usbank.com/internetBanking/*
• https://billpay.suntrust.com*
• https://billpay.wellsfargo.com/*/billpay/application/Overview
• https://cards.chase.com/AccountSelect.aspx?RedirectPage=/BalanceTransfer/BTOffer.aspx*
• https://cardsonline-consumer.com/RBSG_Consumer/VerifyLogin.do
• https://chaseonline.chase.com/MyAccounts.*
• https://clients.chronopay.com*
• https://easyweb*.tdcanadatrust.com/servlet/*FinancialSummaryServlet*
• https://enroll.wachovia.com/AutoEnroll/AutoEnrollServlet*
• https://light.webmoney.ru/Default.aspx*
• https://online.citibank.com/US/JPS/portal/Home.do
• https://online.citibank.com/US/JPS/portal/Home.do*
• https://online.wamu.com/Servicing/Servicing.aspx?targetPage=AccountSummary
• https://online.wellsfargo.com/das/cgi-bin/session.cgi*
• https://onlinebanking#.wachovia.com/myAccounts.aspx?referrer=authService
• https://onlinebanking*.wachovia.com/CreateATransfer*
• https://onlinebanking.nationalcity.com/OLB/secure/AccountList.aspx
• https://onlinebanking2.wachovia.com/myAccounts.aspx*
• https://onlineeast#.bankofamerica.com/cgi-bin/ias/*/GotoWelcome
• https://onlineeast#.bankofamerica.com/cgi-bin/ias/A/*
• https://onlineservices.wachovia.com/identity/SIdentityMgr*
• https://payments.chase.com/Transfer/TransferAddForm1.aspx*
• https://perfectmoney.com/profile.html
• https://sitekey.bankofamerica.com/sas/maint.do
• https://sitekey.bankofamerica.com/sas/sas-docs/js/commonscript.js
• https://solidtrustpay.com/index.php?a=account
• https://trading.scottrade.com/home/default.aspx
• https://trading.scottrade.com/myaccount/Balances.aspx
• https://us.etrade.com/e/t/accounts/accountscombo$1*
• https://www#.citizensbankonline.com/*/index-wait.jsp
• https://www*.banking.first-direct.com/1/2/*
• https://www*.bankofamerica.com/accounts-overview/accounts-overview.go*
• https://www.53.com/servlet/efsonline/index.html*
• https://www.moneybookers.com/app/my_account.pl
• https://www.onlinebanking.pnc.com/alservlet/*
• https://www.onlinebanking.pnc.com/alservlet/ModifySecurityQuestionsServlet?page=modifySecurityQuestions
• https://www.paypal.com/*/cgi-bin/webscr*
• https://www.paypal.com/*/cgi-bin/webscr?cmd=*_account*
• https://www.paypal.com/*/cgi-bin/webscr?cmd=_account*
• https://www.paypal.com/*/cgi-bin/webscr?cmd=_add-funds*
• https://www.paypal.com/*/cgi-bin/webscr?cmd=_login-done*
• https://www.paypal.com/*/webscr?cmd=_login-done*
• https://www.rbsdigital.com/Login.asp*
• https://www.strictpay.com/members/index.php
• https://www.suntrust.com/portal/server.pt*
• https://www.suntrust.com/portal/server.pt*parentname=Login*
• https://www.suntrust.com/portal/server.pt?space=Community*
• https://www.usaa.com/*
• https://www.usaa.com/inet/ent_home/CpHome
• https://www.wellsfargo.com/biz/*

スパイウェアは、以下の銀行もしくは金融機関で利用される個人情報を収集します。

• Alertpay
• Bank of America
• Chase
• ChronoPay
• Citibank
• Citizens
• ETrade
• Ebay
• Fifth Third
• First Direct
• Geico
• Moneybookers
• National City
• PNC
• PayPal
• Perfect Money
• RBS
• Scottrade
• SolidTrustPay
• StrictPay
• Suntrust
• TD Canada Trust
• US Bank
• USAA
• Wachovia
• Washington Mutual
• Webmoney Keeper Light
• Wells Fargo

情報収集

スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

• http://{BLOCKED}vecommunities.com/nogsdmitedir/RCAisched/ingSerLing.php

ハッシュ値情報

スパイウェアは、以下のMD5ハッシュ値を含んでいます。

• 1352c3473a02439cfb5867ebfc888217

スパイウェアは、以下のSHA1ハッシュ値を含んでいます

• 779adfec2c8ef59e09c8a8a0b0e8f4b1f0500abf