TSPY_ZBOT.IMZ
PWS:Win32/Zbot.gen!Y(Microsoft), PWS-Zbot.gen.ds (Mcafee), Trojan-Spy.Win32.Zbot.bopd (Kaspersky)
Windows 2000, Windows XP, Windows Server 2003
![](/vinfo/imgFiles/JPlegend.jpg)
マルウェアタイプ:
スパイウェア
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
ただし、情報公開日現在、このWebサイトにはアクセスできません。
詳細
侵入方法
スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
スパイウェアは、以下のファイルを作成します。
- %User Profile%\Application Data\{random letters 1}\{random letters}.exe - copy of itself
- %User Profile%\Application Data\{random letters 2}\{random letters}.{random letters} - encrypted file
(註:%User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>"、Windows NTでは、"C:\WINNT\Profiles\<ユーザ名>"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\<ユーザ名>" です。)
スパイウェアは、以下のフォルダを作成します。
- %User Profile%\Application Data\{random letters 1}
- %User Profile%\Application Data\{random letters 2}
(註:%User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>"、Windows NTでは、"C:\WINNT\Profiles\<ユーザ名>"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\<ユーザ名>" です。)
自動実行方法
スパイウェアは、作成されたコンポーネントがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{GUID} = "%User Profile%\Application Data\{random letters 1}\{random letters}.exe"
他のシステム変更
スパイウェアは、以下のレジストリキーを追加します。
HKEY_CURRENT_USER\Software\Microsoft\
{random letters}
情報漏えい
スパイウェアは、以下のWebサイトにアクセスし、自身の環境設定ファイルをダウンロードします。
- http://{BLOCKED}.{BLOCKED}9.232.7/memor/conf.bin
その他
ただし、情報公開日現在、このWebサイトにはアクセスできません。