TSPY_ZBOT.CLD

スパイウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。 スパイウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。

感染ポイント

スパイウェアは、以下のWebサイトからダウンロードされたファイルとして、コンピュータに侵入します。

• http://{BLOCKED}.{BLOCKED}.211.116/eu5.exe

インストール

スパイウェアは、以下のフォルダを追加します。

• %Application Data%\{random1} %Application Data%\{random2}

(註：%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\＜ユーザ名＞\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Application Data" です。)

スパイウェアは、以下のファイルを作成します。

• %Application Data%\{random1}\{random}.exe %Application Data%\{random2}\{random}.aqe

(註：%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\＜ユーザ名＞\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Application Data" です。)

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{B06540ED-7D09-D3B0-F788-86C5368043A0} = %Application Data%\{random1}\{random}.exe

情報漏えい

スパイウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。

スパイウェアは、以下のWebサイトにアクセスし、自身の環境設定ファイルをダウンロードします。

• http://{BLOCKED}.{BLOCKED}.116/eu5.bin
• http://{BLOCKED}kte.ru/eu5.bin
• http://{BLOCKED}e/eu5.bin
• http://{BLOCKED}.{BLOCKED}.211.117/eu5.bin
• http://www.{BLOCKED}oston1974.com/eu5.bin

スパイウェアは、Webサイトにアクセスしてファイルをダウンロードします。ダウンロードされたファイルには、自身のコピーの更新版ファイルのダウンロード元および収集した情報の送信先が記載されています。なお、上記でダウンロードされたファイルは、環境設定ファイルで、このスパイウェアが情報収集の際に対象とする以下の金融関連Webサイトのリストを含んでいます。

• !*.microsoft.com/*
• !http://*
• !http://*myspace.com*
• !http://*odnoklassniki.ru/*
• !http://vkontakte.ru/*
• *.co-operativebank.co.uk/CBIBSWeb/login.do
• *.co-operativebank.co.uk/CBIBSWeb/start.do
• *.smile.co.uk/SmileWeb/login.do
• *.smile.co.uk/SmileWeb/start.do
• *aforronet.igcp.pt/Iimf.AforroNet.UI/Services/Login/Login.aspx
• *bancobest.pt/ptg/start*
• *bancopopular.pt/AppGBP/servlet/servin*
• *bancopopular.pt/Bpemotor/?_SD=*
• *bancopopular.pt/PopularWeb/BancaOnlineREDIR.aspx?*
• *barclays.pt/barclaysnet/indexHomeCod.jsp
• *barclays.pt/business/welcome/main*
• *bbva.pt/TLEU/tleu/jsp/pt/porN/*
• *bbvanetcash.com/BBVACASHMP*home.jsp
• *bbvanetcash.com/local_tls*
• *bes-sec.bes.pt/wclientes/axb*
• *bes-sec.bes.pt/wclientes/axb/tpl.asp?SRV=*
• *bigonline.pt/pt/logon_*/logon_user.asp
• *bpinet.pt*
• *bpinetempresas.pt*
• *caixadirecta.cgd.pt/CaixaDirecta/login*
• *caixadirecta.cgd.pt/CaixaDirecta/profile.do*
• *caixaebanking.cgd.pt/cebApp/Login_input.action
• *caixaebanking.cgd.pt/cebApp/Main.action
• *caonline.credito-agricola.pt/*
• *corp.millenniumbcp.pt/_login/MPTCPlogin.aspx*
• *corporate.bpn.pt/corporatebanking/v10/PT/aspx/empresas/recenseamento/autenticacao*
• *creditoagricola.pt*
• *empresas.santandertotta.pt/canalempresas/finance/login*
• *finibanco.pt/hbp/BemVindo.jsp?idSessao*
• *grupobanif.pt/xsite_be/BE/home/Autenticacao.jsp*
• *homebanking.bpn.pt*login.aspx
• *hsbc.co.uk/1/2*
• *hsbc.co.uk/1/2/!ut*
• *login_redirect_process*
• *millenniumbcp.pt/secure*jsessionid=*
• *mybank.alliance-leicester.co.uk/helpinfo/help_pop.asp*
• *mybank.alliance-leicester.co.uk/index.as*
• *mybank.alliance-leicester.co.uk/login/PM4point*
• *mybusinessbank.co.uk*
• *net24.montepio.pt/Net24-Web/func/homePages/executa.jsp?*
• *net24.montepio.pt/Net24-Web/func/login/*Login*
• *npbs.co.uk*
• *offshore.hsbc.com/1/2/*
• *online-business.lloydstsb.co.uk/customer*
• *online-offshore.lloydstsb.com*
• *online.lloydstsb.co.uk*
• *particulares.santandertotta.pt/bepp/sanpt/usuarios/login*
• *priv.activobank7.pt/v10/PT/jsp/privado/loginHomePagePasso2.jsp*
• *secure.ingdirect.co.uk/InitialINGDirect.html*
• @*/atl.osmp.ru/*
• @*/login.osmp.ru/*
• http*://*first-direct.com*
• http://195.78.108.180/yabs/ex_jabber.php?q=
• http://195.78.108.180/yabs/sf_bachat.php?
• http://careerbuilder.co.uk*
• http://careerbuilder.com*
• http://careerbuilder.es*
• http://careerbuilder.fr*
• http://careerbuilder.it*
• http://careerbuilder.nl*
• http://careerbuilder.no*
• http://kariera.gr*
• http://www.banif.pt*
• http://www.grupobanif.pt*
• http://www.montepio.pt/imagens/13/cabecalho.gif
• https://*grupobanif.pt/xsite_be/BE/home/xlets/popupmsg.jsp*
• https://ajax.googleapis.com/ajax/libs/jquery/1.3.2/jquery.min.js
• https://ajax.googleapis.com/ajax/libs/jqueryui/1.7.1/jquery-ui.min.js
• https://ajax.googleapis.com/ajax/libs/jqueryui/1.7.1/themes/smoothness/ui.all.css
• https://bes-sec.bes.pt/wclientes/axb/Resources/executive/matriz/corner_lb.gif
• https://bes-sec.bes.pt/wclientes/axb/Resources/executive/matriz/corner_lt.gif
• https://bes-sec.bes.pt/wclientes/axb/Resources/executive/matriz/corner_rb.gif
• https://bes-sec.bes.pt/wclientes/axb/Resources/executive/matriz/corner_rt.gif
• https://bes-sec.bes.pt/wclientes/axb/Resources/executive/matriz/square_tit.gif);
• https://bes-sec.bes.pt/wclientes/axb/Resources/executive/matriz/square_tit_select.gif);
• https://bes-sec.bes.pt/wclientes/axb/resources/executive/logo_bes360.gif
• https://bes-sec.bes.pt/wclientes/axb/tpl.asp?srv=04601
• https://caixadirecta.cgd.pt/CaixaDirecta/web/images/logo_caixadirecta.gif
• https://caixaebanking.cgd.pt/cebApp/web/pics/Header_azul.jpg
• https://caixaebanking.cgd.pt/cebApp/web/pics/Header_azul.jpg);
• https://ibank.barclays.co.uk/t//glo/img/logo/barclays.gif
• https://ibank.barclays.co.uk/u//glo/img/logo/barclays.gif
• https://ibank.cahoot.com/Aquarius/web/en/core_banking/log_in/frameset_top_log_in.html
• https://ibank.cahoot.com/Aquarius/web/images/buttons/continue_cerulean_text.gif
• https://ibank.cahoot.com/Aquarius/web/images/misc/spacer.gif
• https://ibank.cahoot.com/servlet/com*
• https://net24.montepio.pt/cwsint/imagens/13/cabecalho.gif
• https://net24.montepio.pt/imagens/alerta.jpg
• https://priv.activobank7.pt/v10/PT/jsp/privado/autenticacao.jsp
• https://www.barclays.pt/barclaysnet/welcome/main.jsp
• https://www.bpinetempresas.pt/images/hb_logo.gif
• https://www.citbank.co.uk/JSO/chcq/questandansw.php
• https://www.citibank.co.uk/GBGCB/JPS/apps/challques/MainValidateFailure.d*
• https://www.citibank.co.uk/GBGCB/JSO/signon/uname/HomePage.do*
• https://www.finibanco.pt/hbp/imagens/NI_logo_Finibanco_hb_particula.gif
• https://www.finibanco.pt/hbp/imagens/NI_logo_Finibanco_hb_particula.gif);
• https://www.google.com/accounts/callmejabber/*
• https://www.google.com/accounts/callmejabber/?q=www.offshore.hsbc.com;Username:^
• https://www.google.com/accounts/ihateyouall/*
• https://www.gruposantander.es/*
• https://www2.bancopopular.pt/esp/gbp/bin/img/head-up.gif
• https://www2.bancopopular.pt/esp/gbp/bin/img/head-up.gif
• https://www2.bancopopular.pt/esp/gbp/bin/img/head-up.gif)

ダウンロードされたファイルには、自身のコピーの更新版ファイルのダウンロード元および収集した情報の送信先が記載されています。

なお、このファイルの内容である監視Webサイトのリストは、常時変更されます。

スパイウェアは、以下の銀行もしくは金融機関で利用される個人情報を収集します。

• Alliance & Leicester Banco Best Banco Bilbao Vizcaya Argentaria Banco Espirito Santo Banco Popular Banif Barclays Citibank Co-Operativebank Crédito Agrícola On-Line First Direct HSBC ING Direct Lloyds Microsoft Myspace OSPM Odnoklassniki Raiffeisen Santander Smile Vkontakte

情報収集

スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

• http://{BLOCKED}.{BLOCKED}.211.116/zs/gate.php

ハッシュ値情報

スパイウェアは、以下のMD5ハッシュ値を含んでいます。

• 638f8dd9bc6dee1a0b6d8ad0170ee664

スパイウェアは、以下のSHA1ハッシュ値を含んでいます

• 65f063a90992b51a9c05c0cb8d4504750a39a922