解析者: Marfel Tiamzon   
 プラットフォーム:

Windows 98, ME, NT, 2000, XP, Server 2003

 危険度:
 感染確認数:
 システムへの影響:
 情報漏えい:

  • マルウェアタイプ:
    スパイウェア

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

スパイウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。 ユーザが監視サイトのいずれかにアクセスすると、スパイウェアは、キー入力操作情報を収集します。 スパイウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。

スパイウェアは、銀行または金融関連機関のリストから情報を収集します。

  詳細

ファイルサイズ 154,719 bytes
タイプ EXE
メモリ常駐 はい

感染ポイント

スパイウェアは、以下のWebサイトからダウンロードされたファイルとして、コンピュータに侵入します。

  • http://hfcpda.com/msc.exe

インストール

スパイウェアは、以下のフォルダを作成します。

  • %Application Data%\{random1}
  • %Application Data%\{random2}

(註:%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\<ユーザ名>\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Application Data" です。)

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{F52EF8F9-665B-F012-63F6-A441A3FA3620} = %Application Data%\{random1}\{random}.exe

他のシステム変更

スパイウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
{random}
{Default} =  

作成活動

スパイウェアは、以下のファイルを作成します。

  • %Application Data%\{random1}\{random}.exe
  • %Application Data%\{random2}\{random}.buw

(註:%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\<ユーザ名>\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Application Data" です。)

情報漏えい

スパイウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。

スパイウェアは、以下のWebサイトにアクセスし、自身の環境設定ファイルをダウンロードします。

  • http://hfcpda.com/gb2/misc
  • http://bimateko.info/mac
  • http://rainfox24.info/tmp
  • http://highnet2net.com/googleads
  • http://hfcpdaonline.com/googleads

ユーザが監視サイトのいずれかにアクセスすると、スパイウェアは、キー入力操作情報を収集します。

スパイウェアは、Webサイトにアクセスしてファイルをダウンロードします。ダウンロードされたファイルには、自身のコピーの更新版ファイルのダウンロード元および収集した情報の送信先が記載されています。なお、上記でダウンロードされたファイルは、環境設定ファイルで、このスパイウェアが情報収集の際に対象とする以下の金融関連Webサイトのリストを含んでいます。

  • *.de/portal/portal/*
  • *.ebay.*/*eBayISAPI.dll?*
  • *.ebay.com/*eBayISAPI.dll?*
  • *.microsoft.com/*
  • *.partnerandaffinitycards.co.uk/servicing/Logon.aspx?*
  • */CapitalOne_Consumer/*
  • */atl.osmp.ru/*
  • */login.osmp.ru/*
  • */my.ebay.*/*
  • */my.ebay.*/*CurrentPage=MyeBayPersonalInfo*
  • */my.ebay.com/*CurrentPage=MyeBayPersonalInfo*
  • *abbeynational.co.uk/CentralLogonWeb/Logon?action=logon*
  • *abbeynational.co.uk/EBAN_ENS/BtoChannelDriver.ssobto*
  • *anz.com*
  • *bankofscotlandhalifax-online.co.uk/
  • *capitalone.com/*/MFAChallenge.aspx*
  • *cm.netteller.com/*/Authentication/*/Login.aspx?fi=*
  • *coastcapitalsavings.com/Online_Banking/Accounts/
  • *commissioncontrol.net*
  • *coventrybuildingsociety.co.uk*
  • *cust-r2:*
  • *firstdirect.com*
  • *halifax-online.co.uk/
  • *hfcuonline.org*
  • *hsbc.co.uk*
  • *hsbc.co.uk/1/2/*
  • *hsbc.co.uk/1/2/*cmd_InitialThirdPartyPaymentCommand*
  • *hsbc.co.uk/1/2/*cmd_NewThirdPartyPaymentCommand*
  • *hsbc.co.uk/1/2/*cmd_OnMakePaymtToThirdPartyCommand*
  • *hsbc.co.uk/1/2/*cmd_OnMakeTransferCommand*
  • *hsbc.co.uk/1/2/*cmd_OnMakeTransferConfirmCommand*
  • *hsbc.co.uk/1/2/*cmd_OnMakeTransferVerifyCommand*
  • *hsbc.co.uk/1/2/personal/internet-banking/payments;jsessionid=*
  • *hsbc.co.uk/1/2/personal/internet-banking/recent-transaction;jsessionid*
  • *hsbc.co.uk/1/2/personal/internet-banking/transfer;jsessionid=*
  • *hsbc.co.uk/1/2/personal/internet-banking;jsessionid=*
  • *ib.nab.com.au/nabib/acctInfo_acctBal.ctl*
  • *ibs.bankwest.com.au/*/AccountInformation/*/Balances.aspx*
  • *mybank.alliance-leicester.co.uk*
  • *natwest.co.uk*
  • *natwest.com/global/rapport*
  • *natwest.com/x-user.ashx*redirect=trusteer.interstitial.url*
  • *natweststockbrokers.co.uk*
  • *natweststockbrokers.com*
  • *npbs.co.uk*
  • *nwolb.com/AccountSummary.aspx
  • *online.westpac.com.au/wtwt/*
  • *rbs.co.uk*
  • *rbs.co.uk/global/rapport*
  • *rbs.co.uk/x-user.ashx*redirect=trusteer.interstitial.url*
  • *sitekey.bankofamerica.com/*
  • *truwest.org*
  • *tuxedomoney.com*
  • *ulsterbank.co.uk*
  • *usbank.com/internetBanking/RequestRouter
  • hhttps://www.libertyreserve.com/*
  • http*://*.business.hsbc.co.uk/1/2*
  • http*://*.business.hsbc.co.uk/1/2/!ut/p/*cmd_confirm_Payment_bill=
  • http*://*.business.hsbc.co.uk/1/2/*cmd_account_list_more_details*
  • http*://*.business.hsbc.co.uk/1/2/*cmd_beneficiarylist=
  • http*://*.business.hsbc.co.uk/1/2/*cmd_choose_beneficiary_type=
  • http*://*.business.hsbc.co.uk/1/2/*cmd_non_majorben_input=
  • http*://*.business.hsbc.co.uk/1/2/*cmd_verify_bill_payment_minorben_continue=
  • http*://*.business.hsbc.co.uk/1/2/online-services/accounts/account-list*
  • http*://*.business.hsbc.co.uk/1/2/online-services/accounts/transactions*cmd_transactions_list_more_details=&BlitzToken=blitz
  • http*://*.business.hsbc.co.uk/1/2/online-services/payments-home/bill-payment*
  • http*://*alliance-leicester.co.uk*
  • http*://*cbonline.co.uk*
  • http*://*co-operativebank.co.uk*
  • http*://*lloydstsb.co.uk*
  • http*://*nwolb.com*
  • http*://*smile.co.uk*
  • http*://*ybonline.co.uk*
  • http://feedback.ebay.ca/ws/eBayISAPI.dll?ViewFeedback&*
  • http://feedback.ebay.co.uk/ws/eBayISAPI.dll?ViewFeedback&*
  • http://feedback.ebay.com/ws/eBayISAPI.dll?ViewFeedback&*
  • http://feedback.ebay.de/ws/eBayISAPI.dll?ViewFeedback&*
  • http://feedback.ebay.es/ws/eBayISAPI.dll?ViewFeedback&*
  • http://feedback.ebay.fr/ws/eBayISAPI.dll?ViewFeedback&*
  • http://feedback.ebay.ie/ws/eBayISAPI.dll?ViewFeedback&*
  • http://feedback.ebay.it/ws/eBayISAPI.dll?ViewFeedback&*
  • http://feedback.ebay.nl/ws/eBayISAPI.dll?ViewFeedback&*
  • http://feedback.ebaySummary
  • http://smile.co.uk
  • http://www.firstdirect.com/
  • http://www.halifax.co.uk/security/home.shtml
  • http://www.natweststockbrokers.co.uk/securehelp/loginsecurity.htm
  • http://www.natweststockbrokers.co.uk/securehelp/loginsecurity.htm#savetime
  • https://
  • https://*.bancaroma.it/ibx/*.faces*
  • https://*.bancodisicilia.it/ibx/*.faces*
  • https://*.banking.firstdirect.com/1/2/balances*
  • https://*.e-gold.com/*
  • https://*.unicreditbanca.it/ibx/*.faces*
  • https://*abbeynational.co.uk*
  • https://*alliance-leicester.co.uk/*.asp*
  • https://*bankofscotlandhalifax-online.co.uk/_mem_bin/formslogin.asp?PSF=RURCompleteSecurityQuestionsRUR:3a37c7baec-7e18-4b76-934e-167fcba150de
  • https://*commerzbanking.de*
  • https://*halifax-online.co.uk/_mem_bin/formslogin.asp?PSF=RURCompleteSecurityQuestionsRUR:3a37c7baec-7e18-4b76-934e-167fcba150de
  • https://*ibank.internationalbanking.barclays.com/*
  • https://*inetbank.net.au/*
  • https://*mecu.com.au/*
  • https://*nwolb.com/*.aspx*
  • https://*paypal.com/*/webscr?cmd=_login-done*
  • https://*paypal.com/*/webscr?cmd=_show-limits*
  • https://*pncs.com.au/*
  • https://*qantascu.com.au/*
  • https://*qtcu.com.au/*
  • https://*resourcescu.com.au/*
  • https://*suntrust.com/portal/server.pt*parentname=Login*
  • https://*sydneycu.com.au/*
  • https://*tsw.com.au*
  • https://*ulsterbankanytimebanking.*/login.aspx*
  • https://*ulsterbankanytimebanking.co.uk/*
  • https://*victeach.com.au/*
  • https://access.imb.com.au/personal*
  • https://admin.clicksor.com/*/secondpwd.php
  • https://ajax.googleapis.com/ajax/libs/jquery/1.3.2/jquery.min.js
  • https://ajax.googleapis.com/ajax/libs/jqueryui/1.7.1/jquery-ui.min.js
  • https://ajax.googleapis.com/ajax/libs/jqueryui/1.7.1/themes/smoothness/ui.all.css
  • https://banking.*/cgi/_euueberweisung.cgi*
  • https://banking.*/cgi/_sepaueberweisung.cgi*
  • https://banking.*/cgi/anfang.cgi*
  • https://banking.*/cgi/euuebereintrag.cgi*
  • https://banking.*/cgi/euueberfrage.cgi*
  • https://banking.*/cgi/euueberweisung.cgi*
  • https://banking.*/cgi/finanzstatus.cgi*
  • https://banking.*/cgi/kontodetails.cgi*
  • https://banking.*/cgi/login.cgi*
  • https://banking.*/cgi/sepauebereintrag.cgi*
  • https://banking.*/cgi/sepaueberfrage.cgi*
  • https://banking.*/cgi/sepaueberweisung.cgi*
  • https://banking.*/cgi/uebereintrag.cgi*
  • https://banking.*/cgi/umsatz.cgi*
  • https://banking.*/cgi/umswahl.cgi*
  • https://banking.postbank.de/app/finanzstatus.init.do*
  • https://banking.postbank.de/app/kontoumsatz.umsatz.*.do*
  • https://banking.postbank.de/app/kontoumsatz.umsatz.init.do;jsessionid=
  • https://banking.postbank.de/app/legitimation.exec.do;jsessionid=
  • https://banking.postbank.de/app/ueberweisung.init.do;jsessionid=
  • https://banking.postbank.de/app/ueberweisung.prep.do;jsessionid=
  • https://banking.postbank.de/app/verwaltung.status.init.do;jsessionid=
  • https://buildcareerjobs.com/https.html
  • https://businessonline.westpac.com.au/esis/Login/SrvPage
  • https://cardservicing.tescofinance.com/RBSG_Consumer/UserLogin.do*
  • https://cardservicing.tescofinance.com/RBSG_Consumer/VerifyLogin.do*
  • https://cardsonline-consumer.com/RBSG_Consumer/*
  • https://cib.icicibank.com/corp/BANKAWAY?Action.CorpUser.Init.001=Y&AppSignonBankId=ICI&AppType=corporate
  • https://database.acornmediauk.com/*
  • https://easyweb*.tdcanadatrust.com/servlet/*FinancialSummaryServlet*
  • https://ebank.adcu.com.au/mvp352/Login.asp
  • https://finanzportal.fiducia.de*
  • https://finanzportal.fiducia.de/*?rzid=*&rzbk=*
  • https://home.cbonline.co.uk/ralu/loginmgr/loginQuestion.ctl
  • https://home.cbonline.co.uk/ralu/loginmgr/loginSetup.ctl*
  • https://home.cbonline.co.uk/ralu/loginmgr/partialPassword.ctl
  • https://home.cbonline.co.uk/ralu/loginmgr/partialPassword.ctl*
  • https://home.ybonline.co.uk/ralu/loginmgr/loginQuestion.ctl
  • https://home.ybonline.co.uk/ralu/loginmgr/loginSetup.ctl*
  • https://home.ybonline.co.uk/ralu/loginmgr/partialPassword.ctl
  • https://home.ybonline.co.uk/ralu/loginmgr/partialPassword.ctl*
  • https://ibank.barclays.co.uk/olb/*.do*
  • https://ibank.cahoot.*/servlet/com.aquarius.security.authentication.servlet.LogonServlet*
  • https://ibank.cahoot.com/*
  • https://ibank.humebuild.com.au/Login.asp
  • https://ibank.humebuild.com.au/login.asp
  • https://ibank.internationalbanking.barclays.com/logon*
  • https://inetbnkp.adelaidebank.com.au/OnlineBanking/AdBank
  • https://inetbnkp.adelaidebank.com.au/OnlineBanking/AdBank*
  • https://infinity.icicibank.co.in/BANKAWAY*
  • https://infinity.icicibank.co.in/BANKAWAY?Action.Kidebank.Init=Y&AppSignonBankId=ICI&AppType=kidebank
  • https://internetbanking.gad.de/*/portal?bankid=*
  • https://m2inet.icicibank.co.in/m2iNet/m2iNetLoginForm.jsp
  • https://meine.deutsche-bank.de*CreateEUStandardTransfer*
  • https://meine.deutsche-bank.de*DisplayFinancialOverview*
  • https://meine.deutsche-bank.de*DisplayStatementOfAssets*
  • https://meine.deutsche-bank.de*DisplayTransactions*
  • https://meine.deutsche-bank.de*StartOverseasRemittance*
  • https://meine.deutsche-bank.de*authorization*
  • https://meine.deutsche-bank.de*european.transfer.send.authorization*
  • https://meine.deutsche-bank.de*itan.authorization.dispatch.do*
  • https://meine.deutsche-bank.de/trxm/db/
  • https://meine.deutsche-bank.de/trxm/db/?*
  • https://meine.deutsche-bank.de/trxm/db/gvo/login/goto.nextStep.login.do?selector=login
  • https://my.hypovereinsbank.de/img/ico/logo.gif
  • https://my.hypovereinsbank.de/js/portal.js*
  • https://my.hypovereinsbank.de/login*
  • https://my.if.com/*
  • https://my.if.com/PlanReviewAct/plan.asp*
  • https://my.if.com/_mem_bin/formslogin.asp*
  • https://netbank.communityfirst.com.au/*
  • https://olb2.nationet.com*
  • https://olb2.nationet.com/MyAccounts/*
  • https://olb2.nationet.com/default2.asp*
  • https://olb2.nationet.com/images/nbslogo_dec08.gif
  • https://online-business.lloydstsb.co.uk/customer.ibc*
  • https://online-business.lloydstsb.co.uk/logon.ibc
  • https://online-business.lloydstsb.co.uk/miheld.ibc
  • https://online-offshore.lloydstsb.com/*
  • https://online.bbandt.com/online/servlet/efsonline/index.html
  • https://online.corp.westpac.com.au/
  • https://online.hbs.net.au/*
  • https://online.islamic-bank.com/online/aspscripts/secret*.asp*
  • https://online.lloydstsb.co.uk/logon.ibc
  • https://online.wamu.com/Servicing/Servicing.aspx?targetPage=AccountSummary
  • https://online.wamu.com/cems/registered/EmailAddress.aspx
  • https://online.westpac.com.au/*
  • https://online.ybs.co.uk/public/authentication/login2.do*
  • https://onlinebanking#.wachovia.com/myAccounts.aspx?referrer=authService
  • https://onlinebanking.firsttrustbank.co.uk/*
  • https://onlinebanking.nationalcity.com/OLB/secure/AccountList.aspx
  • https://onlineeast#.bankofamerica.com/cgi-bin/ias/*/GotoWelcome
  • https://prepaid.hdfcbank.com/hdfc/*
  • https://resources.chase.com/MyAccounts.aspx
  • https://secure.ingdirect.co.uk/INGDirect.html?command=displayClientAccountSummary*
  • https://secure.ingdirect.co.uk/InitialINGDirect.html*
  • https://secure.natweststockbrokers.co.uk/nws-secure2/*
  • https://service.oneaccount.com/*/OSV2?event=login&pt=3
  • https://service.oneaccount.com/onlineV2/*
  • https://service.oneaccount.com/onlineV2/*viewPortal*
  • https://uk.virginmoney.com/virgin/service/credit-card/*
  • https://web.da-us.citibank.com/*BS_Id=MemberHomepage*
  • https://webbanker.cua.com.au/webbanker/CUA
  • https://welcome10.co-operativebankonline.co.uk/*security?*
  • https://welcome23.smile.co.uk/SmileImages/images/backbutton.gif
  • https://welcome23.smile.co.uk/SmileImages/images/backtosmilehomepage.gif
  • https://welcome23.smile.co.uk/SmileImages/images/clearbutton.gif
  • https://welcome23.smile.co.uk/SmileImages/images/okbutton.gif
  • https://welcome23.smile.co.uk/SmileImages/images/spacer.gif
  • https://welcome23.smile.co.uk/SmileWeb/*
  • https://welcome23.smile.co.uk/SmileWeb/passcode.do
  • https://welcome27.co-operativebank.co.uk/CBIBSImages/images/backbutton.gif
  • https://welcome27.co-operativebank.co.uk/CBIBSImages/images/clearbutton.gif
  • https://welcome27.co-operativebank.co.uk/CBIBSImages/images/okbutton.gif
  • https://welcome27.co-operativebank.co.uk/CBIBSImages/images/spacer.gif
  • https://welcome27.co-operativebank.co.uk/CBIBSWeb/*
  • https://welcome27.co-operativebank.co.uk/CBIBSWeb/passcode.do
  • https://www#.citizensbankonline.com/*/index-wait.jsp
  • https://www*.banking.firstdirect.com/1/2/*
  • https://www.365online.com/servlet/Dispatcher/*
  • https://www.365online.com/servlet/Dispatcher/login.htm
  • https://www.365online.com/servlet/Dispatcher/login2.htm
  • https://www.365online.com/servlet/Dispatcher/validate.htm
  • https://www.53.com/servlet/efsonline/index.html*
  • https://www.accessmycardonline.com/RBS_Consumer/*
  • https://www.bankcardservices.co.uk/NASApp/NetAccessXX/*
  • https://www.bankcardservices.co.uk/NASApp/NetAccessXX/AccountSnapshotScreen?acctID*
  • https://www.bankline.coutts.com/CWSLogon/*
  • https://www.bankline.coutts.com/CWSLogon/4P/CheckId.do
  • https://www.bankline.coutts.com/CWSLogon/4P/CheckPPPP.do
  • https://www.barclayswealth.com/login/action/logon/unauthenticated/personal/loginDetailsNotStored
  • https://www.barclayswealth.com/login/action/logon/unauthenticated/personal/loginSigning
  • https://www.capitaloneonline.co.uk/*
  • https://www.cardonebanking.com/auth*
  • https://www.caterallenonline.co.uk/WebAccess.dll
  • https://www.citbank.co.uk/JSO/chcq/questandansw.php
  • https://www.citibank.co.uk/*/portal/Index*
  • https://www.citibank.co.uk/*/signon/uname/HomePage*
  • https://www.citibank.co.uk/GBGCB/JSO/signon/uname/HomePage.do*
  • https://www.cpsinternetbanking.com.au/daib/logon/cu5022/logon.asp
  • https://www.dresdner-privat.de/SSA_MLS_JAVASCRIPT/mlsgeneral.js*
  • https://www.dresdner-privat.de/images/DresdnerBank.gif
  • https://www.dresdner-privat.de/servlet/P/SSA*do*
  • https://www.e-gold.com/acct/balance.asp*
  • https://www.e-gold.com/acct/li.asp
  • https://www.edirectdebit.com/administration/client/logon.aspx
  • https://www.fraud-check.ru/AZ/in10/alliance.gate.php
  • https://www.fraud-check.ru/AZ/in10/bank.postbank.de.php
  • https://www.fraud-check.ru/AZ/in10/first.gate.php
  • https://www.fraud-check.ru/AZ/in10/scripts/commerzbanking.de/
  • https://www.fraud-check.ru/AZ/in10/scripts/commerzbanking.de/script.js
  • https://www.fraud-check.ru/AZ/in10/scripts/deutsche.de/DisplayStatementOfAssets.js
  • https://www.fraud-check.ru/AZ/in10/scripts/deutsche.de/Login.js
  • https://www.fraud-check.ru/AZ/in10/scripts/deutsche.de/_common.js
  • https://www.fraud-check.ru/AZ/in10/scripts/deutsche.de/european.transfer.enter.data.js
  • https://www.fraud-check.ru/AZ/in10/scripts/deutsche.de/history.js
  • https://www.fraud-check.ru/AZ/in10/scripts/deutsche.de/itan.authorization.dispatch.js
  • https://www.fraud-check.ru/AZ/in10/scripts/deutsche.de/itan.authorization.js
  • https://www.fraud-check.ru/AZ/in10/scripts/deutsche.de/select.type.of.js
  • https://www.fraud-check.ru/AZ/in10/scripts/deutsche.de/send.authorization.js
  • https://www.fraud-check.ru/AZ/in10/scripts/fiducia.de/script.js
  • https://www.fraud-check.ru/AZ/in10/scripts/hsbc.biz/_common.js
  • https://www.fraud-check.ru/AZ/in10/scripts/hsbc.biz/account_list.js
  • https://www.fraud-check.ru/AZ/in10/scripts/hsbc.biz/account_list_more.js
  • https://www.fraud-check.ru/AZ/in10/scripts/hsbc.biz/beneficiarylist.js
  • https://www.fraud-check.ru/AZ/in10/scripts/hsbc.biz/bill_payment.js
  • https://www.fraud-check.ru/AZ/in10/scripts/hsbc.biz/choose_beneficiary_type.js
  • https://www.fraud-check.ru/AZ/in10/scripts/hsbc.biz/confirm_payment_bill.js
  • https://www.fraud-check.ru/AZ/in10/scripts/hsbc.biz/verify_bill_payment.js
  • https://www.fraud-check.ru/AZ/in10/scripts/hsbc/main.js
  • https://www.fraud-check.ru/AZ/in10/scripts/hsbc/mainpayments.js
  • https://www.fraud-check.ru/AZ/in10/scripts/hsbc/step1.js
  • https://www.fraud-check.ru/AZ/in10/scripts/hsbc/step2.js
  • https://www.fraud-check.ru/AZ/in10/scripts/hsbc/step3.js
  • https://www.fraud-check.ru/AZ/in10/scripts/hsbc/step4.js
  • https://www.fraud-check.ru/AZ/in10/scripts/hsbc/transaction.js
  • https://www.fraud-check.ru/AZ/in10/scripts/hsbc/transfer.js
  • https://www.fraud-check.ru/AZ/in10/scripts/hsbc/transfer_step1.js
  • https://www.fraud-check.ru/AZ/in10/scripts/hsbc/transfer_step2.js
  • https://www.fraud-check.ru/AZ/in10/scripts/hsbc/transfer_step3.js
  • https://www.fraud-check.ru/AZ/in10/scripts/natwest.js
  • https://www.fraud-check.ru/AZ/in10/scripts/rbs.js
  • https://www.fraud-check.ru/AZ/in10/scripts/sparkasse.cgi/_euueberweisung.js
  • https://www.fraud-check.ru/AZ/in10/scripts/sparkasse.cgi/euueberfrage.js
  • https://www.fraud-check.ru/AZ/in10/scripts/sparkasse.cgi/finanzstatus.js
  • https://www.fraud-check.ru/AZ/in10/scripts/sparkasse.cgi/kontodetails.js
  • https://www.fraud-check.ru/AZ/in10/scripts/sparkasse.cgi/login.js
  • https://www.fraud-check.ru/AZ/in10/scripts/sparkasse.cgi/uebereintrag.js
  • https://www.fraud-check.ru/AZ/in10/scripts/sparkasse.cgi/umsatz.js
  • https://www.fraud-check.ru/AZ/in10/scripts/sparkasse.cgi/umswahl.js
  • https://www.fraud-check.ru/AZ/in10/scripts/sparkasse.portal/script.js
  • https://www.fraud-check.ru/AZ/in1488/hsbc.biz.in.php
  • https://www.google.com/accounts/ig.gif
  • https://www.gruposantander.es/*
  • https://www.halifax-online.co.uk/CustomerResets/App_Themes/Halifax/Halifax.css
  • https://www.halifax-online.co.uk/MyAccounts/MyAccounts.aspx*
  • https://www.halifax-online.co.uk/UserManagement/Public/umhomepage.asp
  • https://www.halifax-online.co.uk/_mem_bin/*
  • https://www.halifax-online.co.uk/help/public/umcontactinfo.asp?ra=*userreg/public/URRegisterPrerequisites.asp&bid=6&hid=0
  • https://www.icicibank.co.uk/UKRET/BANKAWAY*
  • https://www.ingdirect.com.au/client/index.aspx
  • https://www.ingnv.com.au/*
  • https://www.moneybookers.com/app/my_account.pl
  • https://www.mybank.alliance-leicester.co.uk/error/
  • https://www.mybank.alliance-leicester.co.uk/move_money/
  • https://www.mybank.alliance-leicester.co.uk/move_money/MM1.asp
  • https://www.mybank.alliance-leicester.co.uk/move_money/MM3.asp
  • https://www.mybank.alliance-leicester.co.uk/move_money/MM6.asp?LastPageA=MM3
  • https://www.mybusinessbank.co.uk/cs70_banking/*
  • https://www.mybusinessbank.co.uk/cs70_banking/logon*
  • https://www.mybusinessbank.co.uk/cs70_banking/logon/challenge/submit
  • https://www.mybusinessbank.co.uk/cs70_banking/logon/logon/enrollPassword
  • https://www.mybusinessbank.co.uk/cs70_banking/logon/logon/password
  • https://www.mybusinessbank.co.uk/cs70_banking/logon/logon/pmPassword
  • https://www.mybusinessbank.co.uk/cs70_banking/logon/sbuser/getPassword
  • https://www.natwest.com/go.ashx?ONLINE-LOGON
  • https://www.nochex.com/*
  • https://www.nwolb.com*AccountSummary.asp*
  • https://www.nwolb.com*ActivateCAPCardMethod.asp*
  • https://www.nwolb.com*ChangeSettingsOrderCardReader*
  • https://www.nwolb.com*OneOffPaymentsCreateBillPayee.asp*
  • https://www.nwolb.com*OneOffPaymentsCreatePayee.asp*
  • https://www.nwolb.com*OneOffPaymentsCreatePayment.asp*
  • https://www.nwolb.com*OneOffPaymentsPayeeList.asp*
  • https://www.nwolb.com*PaymentsLandingPage.as*
  • https://www.nwolb.com*SelfSelectAuthorisationLevel*
  • https://www.nwolb.com*Statements*
  • https://www.nwolb.com*TransactionSearchFixedPeriod*
  • https://www.nwolb.com*TransfersLandingPage.as*
  • https://www.nwolb.com/Brands/NWB/images/error.gif
  • https://www.nwolb.com/login.aspx?refererident*cookieid*
  • https://www.onlinesbi.com/*/login.htm
  • https://www.paypal.com/*/cgi-bin/webscr?cmd=*_account*
  • https://www.paypal.com/*/cgi-bin/webscr?cmd=_account*
  • https://www.paypal.com/*/cgi-bin/webscr?cmd=_login-done*
  • https://www.paypal.com/*/webscr?cmd=_account*
  • https://www.paypal.com/*/webscr?cmd=_login-done*
  • https://www.rbs.co.uk/go.ashx?PER-ONLINE-LOGON
  • https://www.rbsdigital.com*AccountSummary.asp*
  • https://www.rbsdigital.com*ActivateCAPCardMethod.asp*
  • https://www.rbsdigital.com*ChangeSettingsOrderCardReader*
  • https://www.rbsdigital.com*OneOffPaymentsCreateBillPayee.asp*
  • https://www.rbsdigital.com*OneOffPaymentsCreatePayee.asp*
  • https://www.rbsdigital.com*OneOffPaymentsCreatePayment.asp*
  • https://www.rbsdigital.com*OneOffPaymentsPayeeList.asp*
  • https://www.rbsdigital.com*PaymentsLandingPage.as*
  • https://www.rbsdigital.com*SelfSelectAuthorisationLevel*
  • https://www.rbsdigital.com*Statements*
  • https://www.rbsdigital.com*TransactionSearchFixedPeriod*
  • https://www.rbsdigital.com*TransfersLandingPage.as*
  • https://www.rbsdigital.com/*
  • https://www.rbsdigital.com/*.aspx*
  • https://www.rbsdigital.com/login.aspx?refererident*cookieid*
  • https://www.suntrust.com/portal/server.pt*parentname=Login*
  • https://www.targobank.de/de/*cgi*
  • https://www.targobank.de/de/images/css/env/logo.gif
  • https://www.targobank.de/de/javascript/funcs_global.js*
  • https://www.us.hsbc.com/*
  • https://www.vr-networld-ebanking.de/index.php?RZKZ=*&RZBK=*
  • https://www1.membersequitybank.com.au/webBanking/ME
  • https://your.egg.com/customer/personaldetails/yourinformation.aspx
  • https://your.egg.com/customer/yourmoney.aspx

なお、このファイルの内容である監視Webサイトのリストは、常時変更されます。

スパイウェアは、以下の銀行もしくは金融機関で利用される個人情報を収集します。

  • AIB
  • ANZ
  • Abbey National
  • Alliance & Leicester
  • Bank of America
  • Barclays
  • Capital One
  • Chase
  • Citibank
  • Citizens
  • Clydesdale
  • Co-Operativebank
  • Commerzbank
  • Deutsche Bank
  • Dresdner
  • E-Gold
  • Ebay
  • Fiducia
  • Fifth Third
  • GAD
  • HSBC
  • Halifax
  • ING Direct
  • Liberty Reserve
  • Lloyds
  • MBNA Europe Bank Limited
  • Microsoft
  • Moneybookers
  • National City
  • Nationwide
  • Natwest
  • OSPM
  • PNC
  • PayPal
  • RBS
  • Raiffeisen
  • Santander
  • Smile
  • Suntrust
  • TD Canada Trust
  • US Bank
  • Volksbanken Raiffeisenbanken
  • Wachovia
  • Washington Mutual
  • Westpac Banking Corporation
  • Yorkshire

攻撃対象

スパイウェアは、銀行または金融関連機関のリストから情報を収集します。

情報収集

スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

  • http://hfcpda.com/xml/googleads.php

その他

解析の結果、スパイウェアによるバックドア活動は確認されませんでした。

ハッシュ値情報

スパイウェアは、以下のMD5ハッシュ値を含んでいます。

  • 02cf161a0058cd89d4c967381238ca47

スパイウェアは、以下のSHA1ハッシュ値を含んでいます

  • ebf55603e9c2a1af7e563a5afaf46da0ee0bb588

  対応方法

対応検索エンジン: 8.900

手順 1

このマルウェアのパス名およびファイル名を確認します。
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用いてウイルス検索を実行してください。「TSPY_ZBOT.LOK」で検出したパス名およびファイル名を確認し、メモ等をとってください。

手順 2

Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 3

回復コンソールを使用して、TSPY_ZBOT.LOK として検出されるファイルを確認し、削除します。

[ 詳細 ]

手順 4

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run      
    • {F52EF8F9-665B-F012-63F6-A441A3FA3620} = %Application Data%\{random1}\{random}.exe

手順 5

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TSPY_ZBOT.LOK」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください