TSPY_ZBOT.ISA

スパイウェアは、他のマルウェアに作成され、コンピュータに侵入します。

スパイウェアは、フォルダを作成し、このフォルダ内に自身のファイルを作成します。

スパイウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。 スパイウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。

侵入方法

スパイウェアは、他のマルウェアに作成され、コンピュータに侵入します。

スパイウェアは、以下のリモートサイトからダウンロードされ、コンピュータに侵入します。

• http://{BLOCKED}s.ru/bot2.exe

インストール

スパイウェアは、以下のファイルを作成します。

• %Application Data%\{random1}\{random}.exe - copy of itself
• %Application Data%\{random2}\{random}.{3 random alpha character extension name} - encrypted file

(註：%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\＜ユーザ名＞\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Application Data" です。)

スパイウェアは、フォルダを作成し、このフォルダ内に自身のファイルを作成します。

スパイウェアは、以下のプロセスに組み込まれ、システムのプロセスに常駐します。

• ctfmon.exe
• dwm.exe
• explorer.exe
• rdpclip.exe
• taskeng.exe
• taskhost.exe
• wscntfy.exe

情報漏えい

スパイウェアは、感染したコンピュータ上でInternet Explorer（IE）の使用状況を監視します。スパイウェアは、特にIEのアドレスバーまたはタイトルバー情報を監視しますが、ユーザが銀行関連Webサイトを閲覧しそのサイトのアドレスバーまたはタイトルバーに以下の文字列が含まれていた場合、正規Webサイトを装った偽のログインページを作成します。

• htt*://*cse*javascriptz/index.php*
• http://qsponik.com/adm/index.php
• htt*://*cse*javascriptz/home.js
• http://qsponik.com/adm/home.js
• htt*://*bper*javascriptz/index.php*
• http://qsponik.com/adm/index.php
• https://www.linksimprese.sanpaoloimi.com*InfoCCServlet*
• *www.linksimprese.sanpaoloimi.com/pmiweb/LoggingServlet
• https://www.linksimprese.sanpaoloimi.com/pmiweb/InfoCCServlet
• *linksimprese.sanpaoloimi.com/pmiweb*Main*
• *www.linksimprese.sanpaoloimi.com/pmiweb/B*
• *www.linksimprese.sanpaoloimi.com/pmiweb/E*
• *www.linksimprese.sanpaoloimi.com/pmiweb/bonsct/*
• https://www.linksimprese.sanpaoloimi.com/pmiweb/PresentServlet
• *www.linksimprese.sanpaoloimi.com/pmiweb/InformativaContoServlet*
• https://*.businesswaybnl.it*list*
• https://www.bpmbanking.it/*wbOnetoone/HomePrivata*
• https://corporate.bpergroup.net/*
• https://corporate.bpergroup.net*posizione*
• https://homebanking.bpergroup.net/*/run*
• */HBNET/CONFIGCSS.NSF/risorse/CDN-STYLEDATI/$FILE/Styledati.css?*
• https://hbnet*.cedacri.it/HBNET/CONFIG.NSF/risorse/*-MSGALERTLOGON/$FILE/msgalertlogon.html
• https://hbnet*.cedacri.it/*/HOME.NSF/*?CreateDocument&Login=1
• https://www.gruppocarige.it/vbank/*
• *.gruppocarige.it/vbank/*
• *ib.cim-italia.it/eb/*
• https://ib.cim-italia.it/*
• *.cim-italia.it/*
• *.businesswaybnl.it/newcorporate/webcontoc/login/login*
• https://www.csebanking.it/ibportal/home-LISTA_MOVIMENTI.do*
• https://www.csebanking.it/ibportal/*Logon.html
• https://*.bancopopolare.it/WEBHT/cc/*
• *.bancopopolare.it/WEBHT/cc/*
• https://*.bancopopolare.it/WEBHT/cc/movimentiConto*
• *.bancopopolare.it*movimentiConto*

スパイウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。

スパイウェアは、Webサイトにアクセスしてファイルをダウンロードします。ダウンロードされたファイルには、自身のコピーの更新版ファイルのダウンロード元および収集した情報の送信先が記載されています。なお、上記でダウンロードされたファイルは、環境設定ファイルで、このスパイウェアが情報収集の際に対象とする以下の金融関連Webサイトのリストを含んでいます。

• http://{BLOCKED}a.ru/2b.bin
• http://{BLOCKED}s.ru/2a.bin
• http://{BLOCKED}q.ru/2c.bin
• http://{BLOCKED}w.ru/2d.bin

スパイウェアは、以下の銀行もしくは金融機関で利用される個人情報を収集します。

• ANZ
• Gruppo Carige
• Microsoft
• Myspace
• Odnoklassniki
• Qui UBI
• SEB
• Vkontakte

情報収集

スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

• http://{BLOCKED}s.ru/abc.php

ハッシュ値情報

スパイウェアは、以下のMD5ハッシュ値を含んでいます。

• 31bbeacab85fe6a4af76e7f6843b87f2

スパイウェアは、以下のSHA1ハッシュ値を含んでいます

• 8ab7232e0ce36d8156feccfe96803284736c53c9