TSPY_ZBOT.YEZ

スパイウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。

侵入方法

スパイウェアは、以下の悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

• http://nicr0s0ft.org/z/update.exe

インストール

スパイウェアは、以下のフォルダを追加します。

• %Application Data%\{random1}
• %Application Data%\{random2}

(註：%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\＜ユーザ名＞\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Application Data" です。)

スパイウェアは、以下のプロセスに自身を組み込み、システムのプロセスに常駐します。

• dwm.exe
• rdpclip.exe
• ctfmon.exe
• wscntfy.exe
• taskeng.exe
• taskhost.exe

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random CLSID} = %Application Data%\{random1}\{random}.exe

他のシステム変更

スパイウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
{random}

作成活動

スパイウェアは、以下のファイルを作成します。

• %Application Data%\{random1}\{random}.exe
• %Application Data%\{random2}\{random}.{random}

(註：%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\＜ユーザ名＞\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Application Data" です。)

ダウンロード活動

スパイウェアは、以下のWebサイトにアクセスして自身の環境設定ファイルをダウンロードします。

• http://nicr0s0ft.org/z/update.bin

情報漏えい

スパイウェアは、Webサイトにアクセスしてファイルをダウンロードします。ダウンロードされたファイルには、自身のコピーの更新版ファイルのダウンロード元および収集した情報の送信先が記載されています。なお、上記でダウンロードされたファイルは、環境設定ファイルで、このスパイウェアが情報収集の際に対象とする以下の金融関連Webサイトのリストを含んでいます。

• http*://*bancaincasa.sba.bcc.it*footer_ita.html*
• http*://*bancaincasa.sba.bcc.it*index_ita.html*
• http*://*bancaincasa.sba.bcc.it/htdocs/homemain_ita.html*
• http*://*csebanking.it/ibportal/*
• http*://*gbw*.it*
• http*://*in-biz.it*
• http*://*isideonline.it*
• http*://*linksimprese.sanpaoloimi.com/pmiweb/LoginServlet*
• http*://*wbank2.fmbcc.bcc.it*
• http*://*webanking.it*
• http*://*webanking.it/htdocs/*_websitelogin_nocert.html*
• https://hbnet*.cedacri.it/*
• https://hbnet*.cedacri.it/HBNET/login.nsf/03043_iframe*
• https://hbnet*.cedacri.it/HBNET/login.nsf/03177_iframe*
• https://hbnet*.cedacri.it/HBNET/login.nsf/05704_iframe*
• https://hbnet*.cedacri.it/HBNET/login.nsf/06045_iframeITA*
• https://hbnet*.cedacri.it/HBNET/login.nsf/06115_iframe*
• https://hbnet*.cedacri.it/HBNET/login.nsf/06120-iframe*
• https://hbnet*.cedacri.it/HBNET/login.nsf/06155*
• https://hbnet*.cedacri.it/HBNET/login.nsf/06205-iframe*
• https://hbnet*1.cedacri.it/HBNET/login.nsf/03124_iframe*
• http*://*bancaincasa.sba.bcc.it*footer_ita.html*
• http*://*bancaincasa.sba.bcc.it*index_ita.html*
• http*://*bancaincasa.sba.bcc.it/htdocs/homemain_ita.html*
• http*://*csebanking.it/ibportal/*
• http*://*gbw*.it*
• http*://*in-biz.it*
• http*://*isideonline.it*
• http*://*linksimprese.sanpaoloimi.com/pmiweb/LoginServlet*
• http*://*wbank2.fmbcc.bcc.it*
• http*://*webanking.it*
• http*://*webanking.it/htdocs/*_websitelogin_nocert.html*
• https://hbnet*.cedacri.it/*
• https://hbnet*.cedacri.it/HBNET/login.nsf/03043_iframe*
• https://hbnet*.cedacri.it/HBNET/login.nsf/03177_iframe*
• https://hbnet*.cedacri.it/HBNET/login.nsf/05704_iframe*
• https://hbnet*.cedacri.it/HBNET/login.nsf/06045_iframeITA*
• https://hbnet*.cedacri.it/HBNET/login.nsf/06115_iframe*
• https://hbnet*.cedacri.it/HBNET/login.nsf/06120-iframe*
• https://hbnet*.cedacri.it/HBNET/login.nsf/06155*
• https://hbnet*.cedacri.it/HBNET/login.nsf/06205-iframe*
• https://hbnet*1.cedacri.it/HBNET/login.nsf/03124_iframe*

スパイウェアは、以下の銀行もしくは金融機関で利用される個人情報を収集します。

• Banca in Casa
• Cedacri
• Iside
• SEB
• Sanpaoloimi

情報収集

スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

• http://nicr0s0ft.org/z/updater.php

ハッシュ値情報

スパイウェアは、以下のMD5ハッシュ値を含んでいます。

• a94e946349e24b77900d716eacf6a9cd

スパイウェアは、以下のSHA1ハッシュ値を含んでいます

• 89fe48ef03c2caed8051b90e248964f739051bbe