TSPY_ZBOT.PCA

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェアは、すべての実行中プロセスに組み込まれ、システムのプロセスに常駐します。

スパイウェアは、ワーム活動の機能を備えていません。

スパイウェアは、バックドア活動の機能を備えていません。

スパイウェアは、Internet Explorer（IE）のセキュリティ設定を変更します。これにより、スパイウェアは、悪意のあるWebサイトへのアクセスが可能になり、感染コンピュータはさらなる脅威にさらされることとなります。

ただし、情報公開日現在、このWebサイトにはアクセスできません。

スパイウェアは、特定のWebサイトにアクセスし、情報を送受信します。 スパイウェア マルウェアは、自身（コンピュータに侵入して最初に自身のコピーを作成した スパイウェア ）を削除します。

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %Application Data%\{random folder name 1}\{random file name 1}.exe

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

スパイウェアは、以下のファイルを作成します。

• %Application Data%\{random folder name 2}\{random file name 2}.{random file extension} - contains encrypted stolen information
• %User Temp%\tmp{random}.bat - Used to delete its initially executed copy

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。. %User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

スパイウェアは、以下のフォルダを作成します。

• %Application Data%\{random folder name 1}
• %Application Data%\{random folder name 2}

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

スパイウェアは、すべての実行中プロセスに組み込まれ、システムのプロセスに常駐します。

スパイウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• Global\{GUID}
• Local\{GUID}

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random} = "%Application Data%\{random folder name 1}\{random file name 1}.exe"

他のシステム変更

スパイウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
{random}

HKEY_CURRENT_USER\Software\Microsoft\
WAB

スパイウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Privacy
CleanCookies = "0"

感染活動

スパイウェアは、ワーム活動の機能を備えていません。

バックドア活動

スパイウェアは、バックドア活動の機能を備えていません。

Webブラウザのホームページおよび検索ページの変更

スパイウェアは、IEのゾーン設定を変更します。

ダウンロード活動

スパイウェアは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。

• http://{BLOCKED}emesedahl.com/images/cacax.exe

ただし、情報公開日現在、このWebサイトにはアクセスできません。

情報漏えい

スパイウェアは、以下のWebサイトにアクセスし、自身の環境設定ファイルをダウンロードします。

• http://{BLOCKED}ing-offices.com/pmserver/browse.php
• http://{BLOCKED}2013.org/pmserver/browse.php

その他

スパイウェアは、以下のWebサイトにアクセスしてインターネット接続を確認します。

• http://www.google.com/webhp

スパイウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• http://{BLOCKED}ing-offices.com/pmserver/get.php
• http://{BLOCKED}013.org/pmserver/get.php

スパイウェア は、自身（コンピュータに侵入して最初に自身のコピーを作成した スパイウェア ）を削除します。

スパイウェアが作成するファイルは以下のとおりです。

• %Application Data%\＜ランダムなフォルダ名2＞\＜ランダムなファイル名2＞.＜ランダムなファイル拡張子＞ - 暗号化された収集された情報を含む
• %User Temp%\tmp＜ランダム＞.bat - 最初に実行された自身のコピーの削除に利用される

スパイウェアがダウンロードする環境設定ファイルには、スパイウェアが自身のコピーの更新版ファイルをダウンロードしてくるURLや収集した情報を送信するURLが含まれている可能性があります。また、この環境設定ファイルには、スパイウェアが情報収集をするために標的とする銀行や金融関連のWebサイトのURLも含まれていることが考えられます。

スパイウェアは、侵入したコンピュータから以下の情報を収集します。

• クッキーファイル内の情報(URL)
• Eメールに関連する情報（アカウント名、Eメールアドレス、パスワード、サーバの情報、サーバのポート）
• ユーザのWindowsアドレス帳のデータファイル（拡張子WAB）に保存されているEメールに関連する情報

また、スパイウェアはランダムに生成されたIPアドレスにもアクセスします。

マルウェアは、ルートキット機能を備えていません。

マルウェアは、脆弱性を利用した感染活動を行いません。