TSPY_ZBOT.SMMY

スパイウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。

侵入方法

スパイウェアは、以下の悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

• http://{BLOCKED}ok.com/lookup.exe

インストール

スパイウェアは、以下のフォルダを作成します。

• %Application Data%\{random1}
• %Application Data%\{random2}

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

スパイウェアは、以下のプロセスに自身を組み込み、システムのプロセスに常駐します。

• dwm.exe
• rdpclip.exe
• ctfmon.exe
• wscntfy.exe
• taskeng.exe
• taskhost.exe

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random CLSID} = "%Application Data%\{random1}\{random}.exe"

他のシステム変更

スパイウェアは、インストールの過程で、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
{random}

作成活動

スパイウェアは、以下のファイルを作成します。

• %Application Data%\{random1}\{random}.exe
• %Application Data%\{random2}\{random}.{random}

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

ダウンロード活動

スパイウェアは、以下のWebサイトにアクセスして自身の環境設定ファイルをダウンロードします。

• http://{BLOCKED}ok.com/static.html

情報漏えい

スパイウェアは、Webサイトにアクセスしてファイルをダウンロードします。ダウンロードされたファイルには、自身のコピーの更新版ファイルのダウンロード元および収集した情報の送信先が記載されています。なお、上記でダウンロードされたファイルは、環境設定ファイルで、このスパイウェアが情報収集の際に対象とする以下の金融関連Webサイトのリストを含んでいます。

• https*/ach/*
• https*/wire/*
• https*/wires/*
• https*53.com*
• https*banking-services.com*
• https*bankofamerica.com*
• https*bbt.com*
• https*bnymellon*
• https*brdoffice*
• https*businessonline.tdbank.com*
• https*capitalone.com*
• https*capitalonebank*
• https*cashplus*
• https*chase.com*
• https*citigroup.com*
• https*cmserver*
• https*comerica.com*
• https*directnet
• https*ebc_ebc*
• https*enternetbank*
• https*firstplacebankecomm*
• https*fiservsa4*
• https*fnbgranbury*
• https*fremontnational*
• https*goldleaf*
• https*gs.com/*
• https*gsfundadmin.com/*
• https*hsbcnet*
• https*iebanking*
• https*internetbanking*
• https*jpmorgan.com*
• https*jpmorganchase*
• https*key.com*
• https*morganstanley*
• https*northerntrust.com*
• https*onlinecashmanagement*
• https*pnc.com*
• https*pncbank.com*
• https*raiffeisendirect*
• https*raiffeisenonline*
• https*rbc*
• https*rbs.com*
• https*regions.com*
• https*scotiabank*
• https*secure.ally.com*
• https*singlepoint.usbank.com*
• https*statestreet.com*
• https*suntrust*
• https*svbconnect*
• https*tdcommercialbanking*
• https*unicreditbank*
• https*volksbankromania*
• https*wachovia.com*
• https*webcashmgmt*
• https*wellsfargo.com*

スパイウェアは、以下の銀行もしくは金融機関で利用される個人情報を収集します。

• Ally Bank
• BB&T
• BNY Mellon
• BRD Office
• Bank of America
• CASHplus
• Capital One
• Chase
• Citibank
• Comerica
• DirectNET
• Fifth Third
• First Commonwealth Bank
• First National Bank
• First Place Bank
• Fremont National
• Goldleaf
• HSBC
• JP Morgan
• Morgan Stanley
• Northern Trust
• PNC
• RBS
• Raiffeisen
• Regions
• Royal Bank of Canada
• Scotiabank
• Silicon Valley Bank
• State Street
• Suntrust
• TD Bank
• TD Commercial Banking
• US Bank
• UniCredit Bank
• Volksbank Romania
• Wachovia
• Wells Fargo

情報収集

スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

• http://{BLOCKED}ok.com/static.php