TSPY_ZBOT.TEW

スパイウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。

侵入方法

スパイウェアは、以下の悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

• http://www.{BLOCKED}cker24.com.tw/biz2zs/ttss.exe

インストール

スパイウェアは、以下のフォルダを追加します。

• %Application Data%\{random1}
• %Application Data%\{random2}

(註：%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\＜ユーザ名＞\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Application Data" です。)

スパイウェアは、以下のプロセスに自身を組み込み、システムのプロセスに常駐します。

• dwm.exe
• rdpclip.exe
• ctfmon.exe
• wscntfy.exe
• taskeng.exe
• taskhost.exe

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random CLSID} = %Application Data%\{random1}\{random}.exe

他のシステム変更

スパイウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
{random}

作成活動

スパイウェアは、以下のファイルを作成します。

• %Application Data%\{random1}\{random}.exe
• %Application Data%\{random2}\{random}.{random}

(註：%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\＜ユーザ名＞\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Application Data" です。)

ダウンロード活動

スパイウェアは、以下のWebサイトにアクセスして自身の環境設定ファイルをダウンロードします。

• http://www.{BLOCKED}cker24.com.tw/bin/allis.js

情報漏えい

スパイウェアは、Webサイトにアクセスしてファイルをダウンロードします。ダウンロードされたファイルには、自身のコピーの更新版ファイルのダウンロード元および収集した情報の送信先が記載されています。なお、上記でダウンロードされたファイルは、環境設定ファイルで、このスパイウェアが情報収集の際に対象とする以下の金融関連Webサイトのリストを含んでいます。

• !http://*odnoklassniki.ru/*
• !http://vkontakte.ru/*
• *.bankofamerica.com*
• *bankofamerica.com/*
• https://*.bankofamerica.com/cgi-bin/ias/*
• https://*capitalone.com/*
• https://chaseonline.chase.com/*ogon.aspx*
• https://chaseonline.chase.com/images/logon.gif
• https://chaseonline.chase.com/images/spacer.gif
• https://online.citibank.com/US/*
• https://online.wellsfargo.com/*
• https://onlineeast#.bankofamerica.com/cgi-bin/ias/*/CustomerServiceMenuEntryPoint?custAction=75
• https://onlineeast#.bankofamerica.com/cgi-bin/ias/*/GotoCustomerServiceMenu
• https://onlineeast#.bankofamerica.com/cgi-bin/ias/*/GotoWelcome
• https://onlineeast1.bankofamerica.com/cmsContent/en_US/TransferFunds/Model/WhyDoWeAskForThisInfoPopUp.html
• https://sitekey.bankofamerica.com/sas-docs/images/clr.gif
• https://sitekey.bankofamerica.com/sas/challengeQandA.do
• https://sitekey.bankofamerica.com/sas/maint.do
• https://sitekey.bankofamerica.com/sas/maint.do
• https://sitekey.bankofamerica.com/sas/sas-docs/js/commonscript.js
• https://sitekey.bankofamerica.com/sas/signon*
• https://web.da-us.citibank.com/*BS_Id=MemberHomepage*
• https://web.da-us.citibank.com/cgi-b.../autherror.do*
• https://web.da-us.citibank.com/cgi-b.../portal/l/l.do
• https://web.da-us.citibank.com/cgi-bin/citifi/portal/l/autherror.do*
• https://web.da-us.citibank.com/cgi-bin/citifi/portal/l/l.do
• https://www.chase.com/cpp
• https://www.wellsfargo.com/*

スパイウェアは、以下の銀行もしくは金融機関で利用される個人情報を収集します。

• Bank of America
• Capital One
• Chase
• Citibank
• Odnoklassniki
• Vkontakte
• Wells Fargo

情報収集

スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

• http://www.{BLOCKED}cker24.com.tw/biz2zs/vrata.php

ハッシュ値情報

スパイウェアは、以下のMD5ハッシュ値を含んでいます。

• 8a90eea70deb1b278efdceb236025149

スパイウェアは、以下のSHA1ハッシュ値を含んでいます

• 3c5ded09f3f6185dc03c36b2906158df02286299