TSPY_ZBOT.QRQA

スパイウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。

侵入方法

スパイウェアは、以下のリモートサイトからダウンロードされ、コンピュータに侵入します。

• http://bubbleseao.com/eso/isp.exe

インストール

スパイウェアは、以下のフォルダを追加します。

• %Application Data%\{random1}
• %Application Data%\{random2}

(註：%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\＜ユーザ名＞\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Application Data" です。)

スパイウェアは、以下のプロセスに自身を組み込み、システムのプロセスに常駐します。

• explorer.exe
• taskhost.exe
• taskeng.exe
• Dwm.exe
• wscntfy.exe
• ctfmon.exe
• rdpclip.exe

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{GUID of mount point of %Windows%} = %Application Data%\{random1}\{random}.exe

スパイウェアは、以下のファイルを作成します。

• %Application Data%\{random1}\{random}.exe - copy of itself
• %Application Data%\{random2}\{random} - contains encrypted stolen data

(註：%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\＜ユーザ名＞\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Application Data" です。)

他のシステム変更

スパイウェアは、インストールの過程で、以下のレジストリキーを追加します。

HKEY_CURRENT_USER

スパイウェアは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%WINDOWS%\\EXPLORER.EXE = %WINDOWS%\EXPLORER.EXE:*:Enabled:Windows Explorer

情報漏えい

スパイウェアは、感染したコンピュータ上でInternet Explorer（IE）の使用状況を監視します。スパイウェアは、特にIEのアドレスバーまたはタイトルバー情報を監視しますが、ユーザが銀行関連Webサイトを閲覧しそのサイトのアドレスバーまたはタイトルバーに以下の文字列が含まれていた場合、正規Webサイトを装った偽のログインページを作成します。

• *arquia.es*flash.asp
• *barclays.es*
• *bbvanetoffice.com*
• *caixacatalunya.com/*/Home/*,,00.html
• *caixacatalunya.com/*/benvinguda*
• *caixacatalunya.com/*/bienvenida*
• *caixapenedes.com*
• *caixasabadell.net*
• *caixasabadell.net*teclado.js
• *caixatarragona.es*
• *cajaduero.es*
• *cajalaboral.com*acceso_es.js
• *cajalaboral.com*home.aspx
• *cam.es*
• *cam.es*form_camdirecto.js
• *ce.caixalaietana.es*inicio_identificacion.action
• *https://caixadirecta.cgd.pt/CaixaDirecta/profile.do*
• *iurisbank.com/isum/Main?ISUM_SCR=login*
• *iurisbank.com/js/checkUsuPass.js
• *iurisbank.com/js/interface.js
• *kutxa.net*loginkn.jsp*
• *lloyds*
• *lloyds*layout.js
• *net.kutxa.net*styles_acceso.css
• *ruralvia.com/isum/Main?ISUM_SCR=login*
• *ruralvia.com/js/checkUsuPass.js
• *ruralvia.com/js/interface.js
• http*cajamadridempresas.es*login_nuevo_oie.js
• http*cajamadridempresas.es*login_oie_*
• http*empresas.gruposantander.es*login.js
• http*empresas.gruposantander.es/WebEmpresas/servlet/webempresas.servlets.CompressJSP?JSP=nueva_imagen/inicio.jsp*
• http*inversis.com*
• http*inversis.com*/js/inversiones/common.js
• http*online.halifax.es*
• https://login.facebook.com/*

スパイウェアは、以下のWebサイトにアクセスし、自身の環境設定ファイルをダウンロードします。

• http://cyansquadg.com/eso/esa.sp
• http://mmobucksfg.ru/eso/esa.sp
• http://amberclans.ru/eso/esa.sp

スパイウェアは、以下の銀行もしくは金融機関で利用される個人情報を収集します。

• BBVA
• Barclays
• Caixa Laietana
• Caixa Sabadell
• Caixa Tarragona
• Caja Laboral
• Caja Madrid
• IS Bank
• Kutxanet
• Santander

情報の送信先

収集された情報は、以下のWebサイトにアップロードされます。

• http://azuregroup.ru/isp/gujoh.php

ハッシュ値情報

スパイウェアは、以下のMD5ハッシュ値を含んでいます。

• 9535f78b5ba69d2d5724d6aea12bf9f4

スパイウェアは、以下のSHA1ハッシュ値を含んでいます

• 566264c02a86daef3563f578f1cf3ecfb9b82305