解析者: Nikko Tamana   
 更新者 : Alvin Bacani
 プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    スパイウェア

  • 破壊活動の有無:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

  概要

感染経路 他のマルウェアからの作成, インターネットからのダウンロード

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 387,664 bytes
タイプ EXE
メモリ常駐 はい
発見日 2013年7月16日

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %Application Data%\{random}\{random filename}.exe - detected as TSPY_ZBOT.SMIG
  • %Application Data%\{random}\{random filename}.{ramdom extension}

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。)

スパイウェアは、以下のプロセスに組み込まれ、システムのプロセスに常駐します。

  • explorer.exe

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Startup Name = "%User Temp%\file.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random numbers} = "%Application Data%\{random}\{random filename}.exe"

他のシステム変更

スパイウェアは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Windir%\explorer.exe = "%Windir%\explorer.exe:*:Enabled:Windows Explorer"

ダウンロード活動

スパイウェアは、以下のWebサイトにアクセスして自身の環境設定ファイルをダウンロードします。

    情報漏えい

    スパイウェアは、以下のWebサイトにアクセスし、自身の環境設定ファイルをダウンロードします。

    • http://{BLOCKED}neyzz.com/demo/cfg.bin

    環境設定ファイルは、以下の情報を含んでいます。

    • List of strings it will monitor usually related to banking
    • URL to send stolen information

    情報収集

    スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

    • http://{BLOCKED}neyzz.com/demo/gate.php

    その他

    この環境設定ファイルは、自身のコピーの更新版をダウンロードするURLおよび収集された情報の送信先のURLを含む場合があります。

      対応方法

    対応検索エンジン: 9.300

    手順 1

    Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

    手順 2

    Windowsをセーフモードで再起動します。

    [ 詳細 ]

    手順 3

    このマルウェアのパス名およびファイル名を確認します。
    最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用いてウイルス検索を実行してください。「TSPY_ZBOT.SUM」で検出したパス名およびファイル名を確認し、メモ等をとってください。

    手順 4

    「TSPY_ZBOT.SUM」として検出されたファイルを検索し削除します。

    [ 詳細 ]
    [詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

    手順 5

    以下のファイルを検索し削除します。

    [ 詳細 ]
    コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
    • %User Temp%\file.exe
    • %Application Data%\{random}\{random filename}.{ramdom extension}

    手順 6

    このレジストリ値を削除します。

    [ 詳細 ]

    警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
    レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
    レジストリの編集前にこちらをご参照ください。

    • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
      • {random numbers} = %Application Data%\{random}\{random filename}.exe
    • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
      • Startup Name = "%User Temp%\file.exe"
    • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
      • %Windir%\explorer.exe    "%Windir%\explorer.exe:*:Enabled:Windows Explorer"

    手順 7

    コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TSPY_ZBOT.SUM」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

    手順 8

    「TSPY_ZBOT.SUM」 を作成またはダウンロードする不正なファイルを削除します。

       
      • TSPY_ZBOT.SMIG


    ご利用はいかがでしたか? アンケートにご協力ください