解析者: Michael Cabel   

 別名:

Microsoft : PWS:Win32/Zbot.gen!Y; Kaspersky: Trojan-Spy.Win32.Zbot.attd

 プラットフォーム:

Windows 2000, XP, Server 2003

 危険度:
 感染確認数:
 システムへの影響:
 情報漏えい:

  • マルウェアタイプ:
    スパイウェア

  • 破壊活動の有無:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

  概要

スパイウェアは、他のマルウェアに作成され、コンピュータに侵入します。 スパイウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

スパイウェアは、フォルダを作成し、このフォルダ内に自身のファイルを作成します。

スパイウェアは、Internet Explorer(IE)のゾーン設定を変更します。

スパイウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。 スパイウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。

  詳細

ファイルサイズ 128,000 bytes
タイプ PE
メモリ常駐 はい
発見日 2010年11月17日

侵入方法

スパイウェアは、他のマルウェアに作成され、コンピュータに侵入します。

スパイウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

スパイウェアは、以下のリモートサイトからダウンロードされ、コンピュータに侵入します。

  • http://188.95.159.128/tmp/update_4812648.exe

インストール

スパイウェアは、以下のファイルを作成します。

  • %Application Data%\{random1}\{random}.exe - copy of itself
  • %Application Data%\{random2}\{random}.{3 random alpha character extension name} - encrypted file

(註:%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\<ユーザ名>\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Application Data" です。)

スパイウェアは、フォルダを作成し、このフォルダ内に自身のファイルを作成します。

スパイウェアは、以下のプロセスに組み込まれ、システムのプロセスに常駐します。

  • ctfmon.exe
  • dwm.exe
  • explorer.exe
  • rdpclip.exe
  • taskeng.exe
  • taskhost.exe
  • wscntfy.exe

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{GUID} = {malware path and file name}

他のシステム変更

スパイウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Privacy
CleanCookies = 0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Windows%\EXPLORER.EXE = %Windows%\EXPLORER.EXE:*:Enabled:Windows Explorer

Webブラウザのホームページおよび検索ページの変更

スパイウェアは、IEのゾーン設定を変更します。

情報漏えい

スパイウェアは、感染したコンピュータ上でInternet Explorer(IE)の使用状況を監視します。スパイウェアは、特にIEのアドレスバーまたはタイトルバー情報を監視しますが、ユーザが銀行関連Webサイトを閲覧しそのサイトのアドレスバーまたはタイトルバーに以下の文字列が含まれていた場合、正規Webサイトを装った偽のログインページを作成します。

  • *.americanexpress.com/myca/acctsumm/us/*
  • *.bankofamerica.com/*
  • *.ebay.com/*eBayISAPI.dll?*
  • *.marinefederalhb.org/*
  • */CapitalOne_Consumer/*
  • */my.ebay.com/*CurrentPage=MyeBayPersonalInfo*
  • *azstcu.org*
  • *bankofamerica.com*
  • *bankofinternet.com*
  • *citibank.com*
  • *countrywide.com/*myCountrywide.aspx*
  • *southvalleybank.net*
  • *nassaued.org*
  • *navyfcu.*
  • */nubi/*
  • *dcu.com*
  • *firstib.com*
  • *gemoney.com*
  • *huntington.com*
  • *onlinebanking.capitalone.com*
  • *onlinesefcu.com*
  • *scotiaonline.scotiabank.com/online/start.jsp*
  • *sitekey.bankofamerica.com*
  • *sso.uboc.com/obc/forms/password*
  • *ufcu.org*
  • *usaa.com*
  • *vancity.com*
  • *websteronline.com*
  • *www3.citizensbankonline.com/efs/servlet/efs/default.jsp
  • @*//www.svbconnect.com/security/challengeVerify.do
  • @hiring.monster.com*
  • @https://secure.ingdirect.com/myaccount/INGDirect.html?command=displayCustomerAuthenticate*
  • @libertyreserve.com*
  • http://fbtonline.com/home/
  • http://feedback.ebay.com/ws/eBayISAPI.dll?ViewFeedback&*
  • http://sccu.com/*
  • http://www.ncsecu.org/*
  • https://*.alaskausa.org/*
  • https://*.ebanking-services.com/nubi/StrongAuth/SignInContinue_Register.aspx
  • https://*.libertyreserve.com/en/customer/login2/choice/*
  • https://*.scottrade.com/*
  • https://*.tdbank.com/*/AccountPortfolio.aspx
  • https://*.tdcanadatrust.com/*FinancialSummaryServlet*
  • https://*/IBWS/checkUser.do
  • https://*dcu.com*
  • https://*paypal.com/cgi-bin/webscr?cmd=_login-done*
  • https://*paypal.com/row/cgi-bin/webscr?cmd=_profile-address*
  • https://*treasury.pncbank.com/*/login.ht
  • https://*ulsterbankanytimebanking.*/login.aspx*
  • https://*wachovia.com*
  • https://alltimetreasury.pacificcapitalbank.com/TekPortfolio/servlet/TB_UI_Controller*
  • https://banking.calbanktrust.com/iLogin.jsp
  • https://businessonline.tdbank.com/CorporateBankingWeb/Core/Login.aspx*
  • https://cardsonline-consumer.com/RBSG_Consumer/VerifyLogin.do
  • https://cashmanagement.firstambank.com/iBank/cmserver/loginforwardtourl.cfm
  • https://cashmanagement.firstambank.com/iBank/cmserver/verify.cfm
  • https://cashmgt.firsttennessee.biz/WebID/IISWebAgentIF.dll
  • https://cashmgt.firsttennessee.biz/cb/servlet/cb/login.jsp
  • https://cbs.firstcitizens.com/cb/servlet/cb/loginfcbnc.jsp
  • https://chaseonline.chase.com/*ogon.aspx*
  • https://chaseonline.chase.com/MyAccounts.aspx
  • https://client.schwab.com/Accounts/Summary/Summary.aspx
  • https://cm.firstbankpr.com/cashplus/
  • https://cm.netteller.com/login*/Authentication/Views/LoginCM.aspx
  • https://commerceconnections.commercebank.com/ibank/cmserver/welcome/default/verify.cfm
  • https://contracostafcu.onlineaccounts.org/HBNet/accountinfo/balances.aspx?*
  • https://contracostafcu.onlineaccounts.org/HBNet/options/SecurityAuthentication.aspx*
  • https://contracostafcu.onlineaccounts.org/HBNet/options/SecurityAuthentication.aspx?*
  • https://cuonline.kemba.org/kemba/hbnet/accountinfo/balances.aspx*
  • https://cuonline.kemba.org/kemba/hbnet/accountinfo/balances.aspx?*
  • https://cuonline.kemba.org/kemba/hbnet/options/SecurityAuthentication.aspx*
  • https://cuonline.kemba.org/kemba/hbnet/options/SecurityAuthentication.aspx?*
  • https://e-access.compassbank.com/bbw/cmserver/welcome/default/verify.cfm
  • https://ffce.webcashmgmt.com/wcmfd/wcmpw/CustomerLogin
  • https://goldleafach.com/ach/Login.aspx*
  • https://ibank.scnb.com/inets/Login.cfm
  • https://internetbanking.unfcu.org/*
  • https://internetbanking.unfcu.org/*/sbuser/*
  • https://investing.schwab.com/trading/start
  • https://ktt.key.com/ktt/cmd/logon
  • https://lakecitybank.webcashmgmt.com/wcmfd/wcmpw/CustomerLogin
  • https://login.fidelity.com/* h  *ncsecu.org*
  • https://militarybankonline.bankofamerica.com/efs/servlet/militaryonline/index.jsp
  • https://militarybankonline.bankofamerica.com/efs/servlet/militaryonline/security-password-challengejtf.jsp
  • https://myib.firstmerchants.com/fi3039a_auth/sbuser/slogon
  • https://online.citibank.com/*
  • https://online.wellsfargo.com/*
  • https://online.wellsfargo.com/das/cgi-bin/session.cgi*
  • https://onlineaccess.ncsecu.org/login.aspx
  • https://onlinebanking*.wachovia.com/myAccounts.aspx?referrer=authService*
  • https://onlinebanking.nationalcity.com/*/AccountList.aspx
  • https://onlinebanking.nationalcity.com/OLB/secure/AccountList.aspx
  • https://onlineservices.ubs.com/olsauth/ex/pbl/ubso/pl
  • https://onlinetreasurymanager.suntrust.com/ibswebsuntrust/cmserver/welcome/default/verify.cfm
  • https://secure.ally.com/allyWebClient/accountList.do
  • https://secure.ally.com/allyWebClient/authChallenges.do
  • https://secure.ally.com/allyWebClient/login.do
  • https://secure.fundsxpress.com/piles/fxweb.pile/custom_login?template=login&no_top_url=1&iid=ABMWI
  • https://secure.ingdirect.com/myaccount/INGDirect.html
  • https://secure.ingdirect.com/myaccount/InitialINGDirect.html*
  • https://tinkerhb.tinkerfcu.org/TinkerHB/HBNet/accountinfo/balances.aspx*
  • https://tinkerhb.tinkerfcu.org/TinkerHB/HBNet/options/SecurityAuthentication.aspx*
  • https://tinkerhb.tinkerfcu.org/TinkerHB/HBNet/options/SecurityAuthentication.aspx?*
  • https://trading.scottrade.com/home/default.aspx
  • https://trading.scottrade.com/home/default.aspx*
  • https://web.da-us.citibank.com/*BS_Id=MemberHomepage*
  • https://web3.secureinternetbank.com/ebc_ebc1961/ebc1961.asp*
  • https://webexpress.tdbanknorth.com/wcmfd/wcmpw/CustomerLogin
  • https://www#.citizensbankonline.com/*/index-wait.jsp
  • https://www#.usbank.com/internetBanking/LoginRouter
  • https://www.53.com/*
  • https://www.53.com/wps/portal/cblogin
  • https://www.accessmycardonline.com/RBS_Consumer/*
  • https://www.accountonline.com/*
  • https://www.alertpay.com/AccountOverview.aspx*
  • https://www.americansavingsnj2.com/onlineserv/CM/
  • https://www.arizonastatecu.org/*
  • https://www.arizonastatecu.org/onlineserv/HB/Summary.cgi*
  • https://www.arizonastatecu.org/onlineserv/HB/UserOptions.cgi?runmode=ForgottenPassword
  • https://www.bankoffortbendonline.com/onlineserv/CM*
  • https://www.bankunitedbusinessexpress.blilk.com/Core/Authentication/MFAUsername.aspx
  • https://www.bbvacompass.com/contact/
  • https://www.businesse-cashmanager.web-access.com/natpenn/cgi-bin/welcome.cgi
  • https://www.cashu.com/CLogin/welcome
  • https://www.cashu.com/CLogin/welcome
  • https://www.columbiabankonline.com/onlineserv/CM/
  • https://www.eastwestbankhb.com/onlineserv/CM/*
  • https://www.ecathay.com/onlineserv/CM/
  • https://www.independentcm.com/onlineserv/CM/
  • https://www.isbnj.com/home/home
  • https://www.isbnj.com/onlineserv/CM/
  • https://www.libertyreserve.com/EN/customer/account*
  • https://www.mafcu.org/*
  • https://www.mafcu.org/onlineserv/HB/Summary.cgi*
  • https://www.mafcu.org/onlineserv/HB/UserOptions.cgi?runmode=ForgottenPassword*
  • https://www.marinefederalhb.org/*
  • https://www.marinefederalhb.org/onlineserv/HB/Summary.cgi*
  • https://www.marinefederalhb.org/onlineserv/HB/UserOptions.cgi?runmode=ForgottenPassword
  • https://www.moneybookers.com/app/my_account.pl
  • https://www.nationalcity.com/consultnc/
  • https://www.netspend.com/
  • https://www.netspend.com/account/authenticate*
  • https://www.netteller.com/*/hbMain.cfm*
  • https://www.onlinefpcu.org/HBNet/accountinfo/balances.aspx*
  • https://www.onlinefpcu.org/HBNet/accountinfo/balances.aspx?*
  • https://www.onlinefpcu.org/HBNet/options/SecurityAuthentication.aspx*
  • https://www.onlinefpcu.org/HBNet/options/SecurityAuthentication.aspx?*
  • https://www.onlinesefcu.com/*
  • https://www.onlinesefcu.com/onlineserv/HB/Summary.cgi*
  • https://www.onlinesefcu.com/onlineserv/HB/UserOptions.cgi?runmode=ForgottenPassword
  • https://www.paypal.com/*
  • https://www.paypal.com/*/webscr?cmd=_account
  • https://www.paypal.com/*/webscr?cmd=_login-done*
  • https://www.securechemicalbankmi.com/onlineserv/CM/
  • https://www.skagitonlinebanking.com/onlineserv/CM/
  • https://www.sterlingwires.com/
  • https://www.sunnb.blilk.com/Core/Authentication/MFAUsername.aspx
  • https://www.sunnbnj.com/onlineserv/HB/*
  • https://www.sunnbnj.com/onlineserv/HB/Summary.cgi*
  • https://www.sunnbnj.com/onlineserv/HB/UserOptions.cgi?runmode=ForgottenPassword
  • https://www.suntrust.com/*
  • https://www.suntrust.com/portal/server.pt*parentname=Login*
  • https://www.svbconnect.com/security/integratedLoginAuth.do
  • https://www.thriventbankonline.com/*
  • https://www.thriventbankonline.com/onlineserv/HB/Signon.cgi
  • https://www.thriventbankonline.com/onlineserv/HB/Summary.cgi*
  • https://www.thriventbankonline.com/onlineserv/HB/UserOptions.cgi?runmode=ForgottenPassword*
  • https://www.towerfcu.org/onlineserv/HB/HomeBanking.cgi
  • https://www.towerfcu.org/onlineserv/HB/Summary.cgi
  • https://www.towerfcu.org/onlineserv/HB/UserOptions.cgi?runmode=ForgottenPassword
  • https://www.treasurypathways.com/pub/html/pt/RSApm/loginID.html
  • https://www.us.hsbc.com/*
  • https://www.usaa.com/*
  • https://www.usaa.com/inet/ent_logon/*
  • https://www.whitneybank.web-access.com/whitney/cgi-bin/welcome.cgi
  • https://www8.comerica.com/cma/portal/mybusinessconnect
  • https://www8.comerica.com/out.html
  • https://wwws.ameritrade.com/cgi-bin/apps/Main
  • https://wwws.ameritrade.com/cgi-bin/apps/u/Home

スパイウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。

スパイウェアは、以下のWebサイトにアクセスし、自身の環境設定ファイルをダウンロードします。

  • http://contentserver001.info/images/img_1582.jpg
  • http://188.95.159.128/images/img_1582.jpg

ダウンロードされたファイルには、自身のコピーの更新版ファイルのダウンロード元および収集した情報の送信先が記載されています。

スパイウェアは、以下の銀行もしくは金融機関で利用される個人情報を収集します。

  • Alertpay
  • American Express
  • Ameritrade
  • Arizona State Credit Union
  • Bank of America
  • Bank of FortBend
  • California Bank & Trust
  • Capital One
  • Cathay Bank
  • Chase
  • Chemical Bank
  • Citibank
  • Citizens
  • Columbia Bank Online
  • Comerica
  • Commerce Bank
  • Compass Bank
  • Contra Costa Federal Credit Union
  • East West Bank
  • Ebay
  • Fifth Third
  • First American Bank
  • First Bank and Trust
  • First Citizens Bank
  • First Tennessee
  • HSBC
  • ING Direct
  • Investors Savings Bank
  • KEMBA Financial Credit Union
  • Key Total Treasury
  • Liberty Reserve
  • Marine Federal Credit Union
  • Mid-Atlantic Federal Credit Union
  • Moneybookers
  • National City
  • NetTeller
  • PNC
  • Pacific Capital Bank
  • PayPal
  • RBS
  • SEFCU
  • Schwab
  • Scottrade
  • Silicon Valley Bank
  • Skagit State Bank
  • State Employees' Credit Union
  • Suffolk County National Bank
  • Suntrust
  • TD Bank
  • TD Canada Trust
  • Tower Federal Credit Union
  • US Bank
  • USAA
  • Union Bank of California
  • United Nations Federal Credit Union
  • Wachovia
  • Wells Fargo

情報の送信先

収集された情報は、以下のWebサイトにアップロードされます。

  • http://contentserver001.info/forum/profile.php

ハッシュ値情報

スパイウェアは、以下のMD5ハッシュ値を含んでいます。

  • b58fcee9bcb86d023f998f481e82fd38

スパイウェアは、以下のSHA1ハッシュ値を含んでいます

  • d71cab9e9916b05787565d9d32fa41c0736efc12

  対応方法

対応検索エンジン: 8.900
VSAPI パターンファイル: 7.628.09
VSAPI パターンリリース日: 2010年11月17日
VSAPI パターンリリース日: 11/17/2010 12:00:00 AM

手順 1

Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアのパス名およびファイル名を確認します。
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用いてウイルス検索を実行してください。「TSPY_ZBOT.XXP」で検出したパス名およびファイル名を確認し、メモ等をとってください。

手順 3

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 4

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Privacy
    • CleanCookies = 0
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • {GUID} = {malware path and file name}
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
    • %Windows%\EXPLORER.EXE = %Windows%\EXPLORER.EXE:*:Enabled:Windows Explorer

手順 5

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TSPY_ZBOT.XXP」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 6

Internet Explorer(IE)のセキュリティ設定を修正します。

[ 詳細 ]

手順 7

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TSPY_ZBOT.XXP」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください