解析者: Marfel Tiamzon   

 プラットフォーム:

Windows 2000, XP, Server 2003

 危険度:
 感染確認数:

  • マルウェアタイプ:
    スパイウェア

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

スパイウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。 ユーザが監視サイトのいずれかにアクセスすると、スパイウェアは、キー入力操作情報を収集します。 スパイウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。

スパイウェアは、銀行または金融関連機関のリストから情報を収集します。

  詳細

ファイルサイズ 146,432 b bytes
タイプ EXE
メモリ常駐 はい
発見日 2010年8月19日

作成活動

スパイウェアは、以下のファイルを作成します。

  • %Application Data%\{random1}\{random}.exe
  • %Application Data%\{random2}\{random}.dic

(註:%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\<ユーザ名>\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Application Data" です。)

ダウンロード活動

スパイウェアは、以下のWebサイトにアクセスして自身の環境設定ファイルをダウンロードします。

  • http://{BLOCKED}kte.ru/eu5.bin
  • http://{BLOCKED}e/eu5.bin
  • http://{BLOCKED}.{BLOCKED}.211.117/eu5.bin
  • http://www.{BLOCKED}oston1974.com/eu5.bin
  • http://{BLOCKED}.{BLOCKED}.211.116/eu5.bin

情報漏えい

スパイウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。

ユーザが監視サイトのいずれかにアクセスすると、スパイウェアは、キー入力操作情報を収集します。

スパイウェアは、Webサイトにアクセスしてファイルをダウンロードします。ダウンロードされたファイルには、自身のコピーの更新版ファイルのダウンロード元および収集した情報の送信先が記載されています。なお、上記でダウンロードされたファイルは、環境設定ファイルで、このスパイウェアが情報収集の際に対象とする以下の金融関連Webサイトのリストを含んでいます。

  • *.co-operativebank.co.uk/CBIBSWeb/login.do
  • *.co-operativebank.co.uk/CBIBSWeb/start.do
  • *.microsoft.com/*
  • *.smile.co.uk/SmileWeb/login.do
  • *.smile.co.uk/SmileWeb/start.do
  • */atl.osmp.ru/*
  • */login.osmp.ru/*
  • *aforronet.igcp.pt/Iimf.AforroNet.UI/Services/Login/Login.aspx
  • *barclays.pt/barclaysnet/indexHomeCod.jsp
  • *barclays.pt/business/welcome/main*
  • *bbva.pt/TLEU/tleu/jsp/pt/porN/bbvanet/index.jsp
  • *bes-sec.bes.pt/wclientes/axb*
  • *bes-sec.bes.pt/wclientes/axb/tpl.asp?SRV=*
  • *bigonline.pt/pt/logon_*/logon_user.asp
  • *bpinet.pt*
  • *bpinetempresas.pt*
  • *caixadirecta.cgd.pt/CaixaDirecta/login*
  • *caixadirecta.cgd.pt/CaixaDirecta/profile.do*
  • *caixaebanking.cgd.pt/cebApp/Login_input.action
  • *caixaebanking.cgd.pt/cebApp/Main.action
  • *caonline.credito-agricola.pt/*
  • *corp.millenniumbcp.pt/_login/MPTCPlogin.aspx*
  • *creditoagricola.pt*
  • *empresas.santandertotta.pt/canalempresas/finance/login*
  • *finibanco.pt/hbp/BemVindo.jsp?idSessao*
  • *grupobanif.pt/xsite_be/BE/home/Autenticacao.jsp*
  • *homebanking.bpn.pt*login.aspx
  • *hsbc.co.uk/1/2*
  • *hsbc.co.uk/1/2/!ut*
  • *login_redirect_process*
  • *millenniumbcp.pt/secure*jsessionid=*
  • *mybank.alliance-leicester.co.uk/helpinfo/help_pop.asp*
  • *mybank.alliance-leicester.co.uk/index.as*
  • *mybank.alliance-leicester.co.uk/login/PM4point*
  • *mybusinessbank.co.uk*
  • *net24.montepio.pt/Net24-Web/func/homePages/executa.jsp?*
  • *net24.montepio.pt/Net24-Web/func/login/*Login*
  • *npbs.co.uk*
  • *offshore.hsbc.com/1/2/*
  • *online-business.lloydstsb.co.uk/customer*
  • *online-offshore.lloydstsb.com*
  • *online.lloydstsb.co.uk*
  • *particulares.santandertotta.pt/bepp/sanpt/usuarios/login*
  • *priv.activobank7.pt/v10/PT/jsp/privado/loginHomePagePasso2.jsp*
  • *secure.ingdirect.co.uk/InitialINGDirect.html*
  • http*://*first-direct.com*
  • http://*
  • http://*myspace.com*
  • http://*odnoklassniki.ru/*
  • http://195.78.108.180/yabs/ex_jabber.php?q=
  • http://195.78.108.180/yabs/sf_bachat.php?
  • http://careerbuilder.co.uk*
  • http://careerbuilder.com*
  • http://careerbuilder.es*
  • http://careerbuilder.fr*
  • http://careerbuilder.it*
  • http://careerbuilder.nl*
  • http://careerbuilder.no*
  • http://kariera.gr*
  • http://vkontakte.ru/*
  • http://www.banif.pt*
  • http://www.grupobanif.pt*
  • http://www.montepio.pt/imagens/13/cabecalho.gif
  • https://*grupobanif.pt/xsite_be/BE/home/xlets/popupmsg.jsp*
  • https://ajax.googleapis.com/ajax/libs/jquery/1.3.2/jquery.min.js
  • https://ajax.googleapis.com/ajax/libs/jqueryui/1.7.1/jquery-ui.min.js
  • https://ajax.googleapis.com/ajax/libs/jqueryui/1.7.1/themes/redmond/ui.all.css
  • https://ajax.googleapis.com/ajax/libs/jqueryui/1.7.1/themes/smoothness/ui.all.css
  • https://bes-sec.bes.pt/wclientes/axb/Resources/executive/matriz/corner_lb.gif
  • https://bes-sec.bes.pt/wclientes/axb/Resources/executive/matriz/corner_lt.gif
  • https://bes-sec.bes.pt/wclientes/axb/Resources/executive/matriz/corner_rb.gif
  • https://bes-sec.bes.pt/wclientes/axb/Resources/executive/matriz/corner_rt.gif
  • https://bes-sec.bes.pt/wclientes/axb/Resources/executive/matriz/square_tit.gif);
  • https://bes-sec.bes.pt/wclientes/axb/Resources/executive/matriz/square_tit_select.gif);
  • https://bes-sec.bes.pt/wclientes/axb/resources/executive/logo_bes360.gif
  • https://bes-sec.bes.pt/wclientes/axb/tpl.asp?srv=04601
  • https://caixadirecta.cgd.pt/CaixaDirecta/web/images/logo_caixadirecta.gif
  • https://caixaebanking.cgd.pt/cebApp/web/pics/Header_azul.jpg
  • https://caixaebanking.cgd.pt/cebApp/web/pics/Header_azul.jpg);
  • https://corporate.bpn.pt/corporatebanking/v10/PT/aspx/empresas/recenseamento/autenticacao*
  • https://ibank.barclays.co.uk/t//glo/img/logo/barclays.gif
  • https://ibank.barclays.co.uk/u//glo/img/logo/barclays.gif
  • https://ibank.cahoot.com/Aquarius/web/en/core_banking/log_in/frameset_top_log_in.html
  • https://ibank.cahoot.com/Aquarius/web/images/buttons/continue_cerulean_text.gif
  • https://ibank.cahoot.com/Aquarius/web/images/misc/spacer.gif
  • https://ibank.cahoot.com/servlet/com*
  • https://net24.montepio.pt/cwsint/imagens/13/cabecalho.gif
  • https://net24.montepio.pt/imagens/alerta.jpg
  • https://priv.activobank7.pt/v10/PT/jsp/privado/autenticacao.jsp
  • https://w3.grupobbva.com/PORTUGALNET/mult/logo_bbva.gif
  • https://www.bancobest.pt/ptg/start.swe?SWECmd=GotoView&SWEView=BEST+Login+View*
  • https://www.barclays.pt/barclaysnet/welcome/main.jsp
  • https://www.bpinetempresas.pt/images/hb_logo.gif
  • https://www.citbank.co.uk/JSO/chcq/questandansw.php
  • https://www.citibank.co.uk/GBGCB/JPS/apps/challques/MainValidateFailure.d*
  • https://www.citibank.co.uk/GBGCB/JSO/signon/uname/HomePage.do*
  • https://www.finibanco.pt/hbp/imagens/NI_logo_Finibanco_hb_particula.gif
  • https://www.finibanco.pt/hbp/imagens/NI_logo_Finibanco_hb_particula.gif
  • https://www.finibanco.pt/hbp/imagens/NI_logo_Finibanco_hb_particula.gif);
  • https://www.google.com/accounts/callmejabber/*
  • https://www.google.com/accounts/callmejabber/?q=www.offshore.hsbc.com;Username:^
  • https://www.google.com/accounts/ihateyouall/*
  • https://www.gruposantander.es/*

なお、このファイルの内容である監視Webサイトのリストは、常時変更されます。

スパイウェアは、以下の銀行もしくは金融機関で利用される個人情報を収集します。

  • Alliance & Leicester
  • Banco Best
  • Banco Bilbao Vizcaya Argentaria
  • Banco Espirito Santo
  • Banif
  • Barclays
  • Citibank
  • Co-Operativebank
  • Crédito Agrícola On-Line
  • First Direct
  • HSBC
  • ING Direct
  • Lloyds
  • Microsoft
  • Myspace
  • OSPM
  • Odnoklassniki
  • Raiffeisen
  • Santander
  • Smile
  • Vkontakte

攻撃対象

スパイウェアは、銀行または金融関連機関のリストから情報を収集します。

情報の送信先

上記ファイルは、HTTPポストを介し、以下のURLに送信されます。

  • http://{BLOCKED}.{BLOCKED}.211.116/zs/gate.php

ハッシュ値情報

スパイウェアは、以下のMD5ハッシュ値を含んでいます。

  • a1b194b3fe229c7da764c57d4c00b94f

スパイウェアは、以下のSHA1ハッシュ値を含んでいます

  • 75ee72fdf68705e8e7f375a96cb25735eb7eab24

  対応方法

手順 1

Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このレジストリキーを削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

RESTORE
  • 「レジストリエディタ」を閉じます。
  • 手順 3

    最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TSPY_ZBOT.TAP」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


    ご利用はいかがでしたか? アンケートにご協力ください