TSPY_ZBOT.SMQH
PWS:Win32/Zbot.gen!AF (Microsoft); Mal/FakeAV-NS (Sophos); PWS-Zbot.gen.jn (Mcafee)
Windows 2000, Windows XP, Windows Server 2003
マルウェアタイプ:
スパイウェア
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい
概要
スパイウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。 スパイウェアは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。 スパイウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。
スパイウェアは、プロセスに組み込まれ、システムのプロセスに常駐します。
スパイウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。 スパイウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。
スパイウェアは、実行後、自身を削除します。
詳細
侵入方法
スパイウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。
スパイウェアは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。
スパイウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。
スパイウェアは、以下のリモートサイトからダウンロードされ、コンピュータに侵入します。
- http://{BLOCKED}emical.com/w.php?f=55&e=3
インストール
スパイウェアは、以下のファイルを作成します。
- %User Profile%\Application Data\{random2}\{random filename}.{random} - contains encrypted stolen data
(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>" です。)
スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %User Profile%\Application Data\{random1}\{random filename}.exe
(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>" です。)
スパイウェアは、以下のフォルダを作成します。
- %User Profile%\Application Data\{random1}
- %User Profile%\Application Data\{random2}
(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>" です。)
スパイウェアは、プロセスに組み込まれ、システムのプロセスに常駐します。
自動実行方法
スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{GUID of mount point of %Windows%} = %User Profile%\Application Data\{random1}\{random filename}.exe
他のシステム変更
スパイウェアは、以下のレジストリキーを追加します。
HKEY_CURRENT_USER\Software\Microsoft\
{random}
情報漏えい
スパイウェアは、感染したコンピュータ上でInternet Explorer(IE)の使用状況を監視します。スパイウェアは、特にIEのアドレスバーまたはタイトルバー情報を監視しますが、ユーザが銀行関連Webサイトを閲覧しそのサイトのアドレスバーまたはタイトルバーに以下の文字列が含まれていた場合、正規Webサイトを装った偽のログインページを作成します。
- *.facebook.com/*
- *.microsoft.com/*
- *.myspace.com/*
- *.twitter.com/*
- *.youtube.com/*
- *abcjmp.com*
- *bebo.com*
- *chat.*
- *erate/eventreport.asp*
- *hi5.com
- *hotbar.com*
- *http://musicservices.myspacecdn.com*
- *mcafee.com*
- *mochiads.com
- *mochiads.com!*nasza-klasa.pl*
- *musicservices.myspacecdn.com*
- *my-etrust.com*
- *nasza-klasa.pl*
- *punjabijanta.com/*
- *scanscout.com*
- *streamstats1.blinkx.com*
- https://*.cedacri.it/*
- https://*.ebanking-services.com/*/signin.aspxauthTkn
- https://*.mcafee.com/*
- https://53.com/
- https://accountonline.com/
- https://authmaster.nationalcity.com/tmgmt/
- https://bancopostaimpresaonline.poste.it/bpiol/lastFortyMovementsBalance.do?method=loadLastFortyMovementList
- https://banking.sparda.de/wps/spardamodern-banking
- https://bankofamerica.com/
- https://chase.com/
- https://chatserver.comm100.com/*
- https://citibank.com/
- https://client.schwab.com/accounts/summary/summary.aspx
- https://clients4.google.com/*
- https://cm.netteller.com/login2008/Authentication/Views/Login.aspx
- https://dbonline.deutsche-bank.it/*
- https://fx.sbisec.co.jp/*
- https://hbnet1.cedacri.it/06045/*
- https://it.mcafee.com*
- https://login.yahoo.com/
- https://mail.google.com/mail/?shva=
- https://mail.goole.com/*
- https://market.android.com/account
- https://match2.me.dium.com/*
- https://mfasa.chase.com/
- https://online.wellsfargo.com/das/cgi-bin/session.cgi
- https://onlinebanking.capitalone.com/
- https://onlinebanking.wachovia.com/myAccounts.aspx
- https://paypal.com/
- https://pnc.com/
- https://qweb.quercia.com/*
- https://regions.com/
- https://server.iad.liveperson.net/*
- https://suntrust.com/PersonalBanking
- https://suntrust.com/portal
- https://telematici.agenziaentrate.gov.it*
- https://us.hsbc.com/
- https://usaa.com/
- https://usbank.com/
- https://wellsfargo.com/
- https://www.1fbusa.com/
- https://www.autobus.it*
- https://www.bancagenerali.it/*
- https://www.csebo.it/*
- https://www.direktprint.de/*
- https://www.macys.com/
- https://www.myaccountaccess.com/onlineCard/
- https://www.myaccountaccess.com/onlineCard/AcctSummary.aspx
- https://www.myaccountaccess.com/onlineCard/postLogin.do?phase=start
- https://www.mycardstatement.com/AcctSummary.aspx
- https://www.nordstromcard.com/fdr_nr.service?TRANTYPE
- https://www.nordstromcard.com/fdr_nr.service?TRANTYPEU
- https://www.partnercardservices.com/ecare/control/generic.js
- https://www.partnercardservices.com/ecare/customerservice/updatepersonalinfo?&locale=en_US&brand=RZ_500_501
- https://www.partnercardservices.com/ecare/viewaccount
- https://www.partnercardservices.com/ecare/viewaccount?
- https://www.paypal.com/
- https://www.pnccardservicesonline.com/pages/AccountSummary.aspx
- https://www.sparkasse.it/*
- https://www.statementlook.com/fdr_ge.service?TRANTYPE
- https://www.statementlook.com/fdr_ge.service?TRANTYPEU
- https://www.usbank.com/internetBanking/RequestRouter
- https://www.vodafone.it/*
- https://www3.csebo.it/*
- www.gbw-gruppe.de
スパイウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。
スパイウェアは、以下のWebサイトにアクセスし、自身の環境設定ファイルをダウンロードします。
- {BLOCKED}.{BLOCKED}.4.120
- {BLOCKED}.{BLOCKED}.108.227
- {BLOCKED}.{BLOCKED}.2.142
- {BLOCKED}.{BLOCKED}.33.213
- {BLOCKED}.{BLOCKED}.82.126
- {BLOCKED}.{BLOCKED}.186.114
- {BLOCKED}.{BLOCKED}.114.123
- {BLOCKED}.{BLOCKED}.118.167
- {BLOCKED}.{BLOCKED}.41.162
- {BLOCKED}.{BLOCKED}.105.183
- {BLOCKED}.{BLOCKED}.219.203
- {BLOCKED}.{BLOCKED}.119.48
- {BLOCKED}.{BLOCKED}.226.168
- {BLOCKED}.{BLOCKED}.220.62
- {BLOCKED}.{BLOCKED}.17.22
- {BLOCKED}.{BLOCKED}.116.164
- {BLOCKED}.{BLOCKED}.61.110
- {BLOCKED}.{BLOCKED}.153.19
- {BLOCKED}.{BLOCKED}.142.187
- {BLOCKED}.{BLOCKED}.211.100
なお、リストは常時変更されます。
スパイウェアは、以下の銀行もしくは金融機関で利用される個人情報を収集します。
- Auto Bus
- Banca Generali
- Bebo
- Blinx
- CA Technologies
- Comm100
- Csebo
- Deutsche Bank
- Gruppo Cedacri
- HB-Next
- Hi5
- Hotbar
- McAfee
- Microsoft
- Mochi Media
- Myspace
- NK Community Service
- Online CopyShop
- PosteItaliane
- Punjabi Janta Forums
- Revenue Agency
- SBI Securities
- SEB
- ScanScout
- South Tyrolean Sparkasse AG
- Vodafone
- Youtube
- db Corporate Banking Web
- 1FBUSA
- Android Market
- Bank of America
- Capital One Online Banking
- Charles Schwab
- Chase
- Citibank
- Citi® Credit Cards
- Fifth Third Bank
- GBW-Gruppe
- GEMoney
- HSBC
- Macys
- NetTeller
- Nordstrom Card Services
- Online Account Access
- PNC Bank
- PNC Card Services Online
- Partner Card Services
- Paypal
- Regions
- Sparda Net Banking
- Sun Trust
- U.S. Bank
- U.S. Bank Internet Banking
- USAA
- Wells Fargo
- Yahoo
情報収集
スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。
- http://{BLOCKED}lertmos.com/gameover2.php
- http://{BLOCKED}ncientmos.com/gameover2.php
その他
スパイウェアは、実行後、自身を削除します。
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアのパス名およびファイル名を確認します。
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用いてウイルス検索を実行してください。「TSPY_ZBOT.SMQH」で検出したパス名およびファイル名を確認し、メモ等をとってください。
手順 3
Windowsをセーフモードで再起動します。
手順 4
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- {GUID of mount point of %Windows%} = %User Profile%\Application Data\{random1}\{random filename}.exe
- {GUID of mount point of %Windows%} = %User Profile%\Application Data\{random1}\{random filename}.exe
手順 5
このレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\
- {random}
- {random}
手順 6
以下のフォルダを検索し削除します。
- %User Profile%\Application Data\{random1}
手順 7
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TSPY_ZBOT.SMQH」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください