TSPY_ZBOT.XKY

スパイウェアは、フォルダを作成し、このフォルダ内に自身のファイルを作成します。

スパイウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。

感染ポイント

スパイウェアは、以下のWebサイトからダウンロードされたファイルとして、コンピュータに侵入します。

• http://sabadel4444z.org/ks/gg43gv33.exe

インストール

スパイウェアは、フォルダを作成し、このフォルダ内に自身のファイルを作成します。

スパイウェアは、以下のプロセスにコードを組み込み、システムのプロセスに常駐します。

• rdpclip.exe
• ctfmon.exe
• wscntfy.exe
• taskeng.exe
• taskhost.exe

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{51AE3B86-A74A-CFFD-E774-8987ADD49FBA} = %Application Data%\{random1}\{random}.exe

スパイウェアは、以下のファイルを作成します。

• %Application Data%\{random1}\{random}.exe
• %Application Data%\{random2}\{random}.luv

(註：%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\＜ユーザ名＞\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Application Data" です。)

ダウンロード活動

スパイウェアは、以下のWebサイトにアクセスして自身の環境設定ファイルをダウンロードします。

• http://sabadel4444z.org/ks/df553435z.bin

情報漏えい

スパイウェアは、Webサイトにアクセスしてファイルをダウンロードします。ダウンロードされたファイルには、自身のコピーの更新版ファイルのダウンロード元および収集した情報の送信先が記載されています。なお、上記でダウンロードされたファイルは、環境設定ファイルで、このスパイウェアが情報収集の際に対象とする以下の金融関連Webサイトのリストを含んでいます。

• !*.microsoft.com/*
• !http://*myspace.com*
• !http://*odnoklassniki.ru/*
• !http://vkontakte.ru/*
• !*tuenti.com*
• !*facebook*
• @*ingdirect.es/*
• @*bbk.es/*
• @*clavenet.net/*
• @*kutxa.net/*
• @*caixanova*
• @*barclays.es/*
• @*lacajadecanarias.net*
• @*cajacanarias.es*
• @*cajamar.es*
• @*cajasoldirecto*
• @*pastornetparticulares.bancopastor.es*
• @*sabadellatlantico.com*
• @*cajamadrid*
• @https://*cu.org*
• @https://*cu.com*
• http://*poste.it/
• https://www.poste.it/online/personale/loginPrivati.fcc
• *sitekey.bankofamerica.com*
• *cajaespana.ne*
• https://www.sabadellatlantico.com/cs/Satellite/SabAtl/*
• https://www.sabadellatlantico.com/txbs/start.doLogin.bs
• https://www.cajamar.es/es/particulares/*
• https://www.cajamar.es/es/comun/acceder-a-banca-electronica-reintentar/*
• https://pastornetparticulares.bancopastor.es*
• https://be.homecem.com/BEWeb/2041/2041/login_identificacion.action*
• https://telematic.caixamanlleu.es/*
• https://www.iwbank.it/private/index_pub.jhtml?ID_NODE=login*
• https://wbank2.fmbcc.bcc.it/htdocs/index2.html*
• https://bancaincasa.sba.bcc.it/htdocs/homemain_ita.html*
• https://*gruppocarige.it/*/jsp/login.jsp*
• https://my.if.com/_mem_bin/formslogin.asp*
• https://my.if.com/PlanReviewAct/plan.asp*
• https://my.if.com/*
• https://www.365online.com/servlet/Dispatcher/login.htm
• https://www.365online.com/servlet/Dispatcher/login2.htm
• https://www.365online.com/servlet/Dispatcher/validate.htm
• https://service.oneaccount.com/*/OSV2?event=login&pt=3
• https://www.accessmycardonline.com/RBS_Consumer/*
• https://www.nochex.com/*
• *npbs.co.uk*
• https://*mybusinessbank.co.uk*

スパイウェアは、以下の銀行もしくは金融機関で利用される個人情報を収集します。

• Accessmycardonline
• Alliance and Leicester Commercial Bank
• Banca in Casa
• Banco Pastor
• Bank of America
• Bank of Ireland
• Barclays
• Bilbao Bizkaia Kutxa
• Caixanova
• Caja Canarias
• Caja España
• Caja Madrid
• Cajamar
• Cajasol
• Clavenet
• Credit Union
• Facebook
• Gruppo Carige
• HOMECEM
• ING Direct
• IW Bank
• Intelligent Finance
• Kutxanet
• La Caja de Canarias
• Microsoft
• Myspace
• Nochex
• Norwich and Peterborough Building Society
• Odnoklassniki
• OneAccount
• PosteItaliane
• Sabadell Atlantico
• Simplybank
• Tuenti
• Unnim Caixa Manlleu
• Vkontakte

情報収集

スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

• http://sabadel4444z.org/ks/bb434erh77.php

ハッシュ値情報

スパイウェアは、以下のMD5ハッシュ値を含んでいます。

• 108dc5b7d4e5902818fb050183b7722a

スパイウェアは、以下のSHA1ハッシュ値を含んでいます

• 1eddc920aecfcd00d82cc5ef308cdbdfa106c2da