TSPY_ZBOT.PRE

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。 スパイウェアは、リモートサイトから他の不正プログラムにダウンロードされ、コンピュータに侵入します。

スパイウェアは、すべての実行中プロセスに組み込まれ、システムのプロセスに常駐します。

スパイウェアは、ファイル、プロセスまたはレジストリ値を隠ぺいします。

スパイウェアは、感染コンピュータや感染ユーザから特定の情報を収集します。

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェアは、リモートサイトから以下の不正プログラムによりダウンロードされ、コンピュータに侵入します。

• TROJ_UPATRE.PRE

インストール

スパイウェアは、以下の無害なファイルを作成します。

• %Application Data%\Microsoft\Address Book\{user name}.wab
• %Application Data%\{random filename 2}.{random}

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %User Temp%\{random folder name}\{random filename 1}.exe

(註：%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

スパイウェアは、以下のフォルダを作成します。

• %Application Data%\Microsoft\Address Book
• %User Temp%\{random folder name}

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。. %User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

スパイウェアは、すべての実行中プロセスに組み込まれ、システムのプロセスに常駐します。

スパイウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• Local\{GUID}
• Global\{GUID}

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random} = ""%User Temp%\{random folder name}\{random filename 1}.exe""

他のシステム変更

スパイウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
{random}

HKEY_CURRENT_USER\Software\Microsoft\
WAB

HKEY_CURRENT_USER\Software\Microsoft\
WAB\WAB4

HKEY_CURRENT_USER\Software\Microsoft\
WAB\WAB4\Wab File Name

スパイウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
{random}
{random} = "{random}"

HKEY_CURRENT_USER\Software\Microsoft\
WAB\WAB4
OlkContactRefresh = "0"

HKEY_CURRENT_USER\Software\Microsoft\
WAB\WAB4
OlkFolderRefresh = "0"

HKEY_CURRENT_USER\Software\Microsoft\
WAB\WAB4\Wab File Name
(Default) = "%Application Data%\Microsoft\Address Book\{user name}.wab"

スパイウェアは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Windows%\explorer.exe = "%Windows%\explorer.exe:*:Enabled:Windows Explorer"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\GloballyOpenPorts\
List
{random port 1}:UDP = "{random port 1}:UDP:*:Enabled:UDP {random port 1}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\GloballyOpenPorts\
List
{random port 2}:TCP = "{random port 2}:TCP:*:Enabled:TCP {random port 2}"

ルートキット機能

スパイウェアは、ファイル、プロセスまたはレジストリ値を隠ぺいします。

ダウンロード活動

スパイウェアは、以下のWebサイトにアクセスして自身の環境設定ファイルをダウンロードします。

• http://{random generated URL}

情報漏えい

スパイウェアは、以下の情報を収集します。

• Data on cookie files (URLs)
• Email-related information such as account names, email addresses, passwords, server data, and server port
• Email information stored in the user’s Windows Address Book (WAB) file
• Online banking credentials
• Personal digital cerificates

その他

スパイウェアは、以下のWebサイトにアクセスしてインターネット接続を確認します。

• http://www.google.com
• http://www.bing.com
• http://www.bm.com

スパイウェアは、以下のファイルを作成します。

• %System%\driver\{random}.sys - detected as RTKT_NECURS.PRE

(註：%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)