解析者: JasperM   
 プラットフォーム:

Windows 2000, XP, Server 2003

 危険度:
 感染確認数:
 システムへの影響:
 情報漏えい:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

マルウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。

  詳細

ファイルサイズ 137,797 bytes
タイプ PE
メモリ常駐 はい
発見日 2010年9月13日

侵入方法

マルウェアは、以下の悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

  • http://gfguhsdig.com/itworks/works2.exe

情報漏えい

マルウェアは、感染したコンピュータ上でInternet Explorer(IE)の使用状況を監視します。マルウェアは、特にIEのアドレスバーまたはタイトルバー情報を監視しますが、ユーザが銀行関連Webサイトを閲覧しそのサイトのアドレスバーまたはタイトルバーに以下の文字列が含まれていた場合、正規Webサイトを装った偽のログインページを作成します。

  • https://secure.ingdirect.com/myaccount/INGDirect/login_pinpad.vm*
  • https://secure.ingdirect.com*account_summary.vm*
  • https://cbs.firstcitizens.com/cb/servlet/cb/loginfcbnc.jsp*
  • https://cbs.firstcitizens.com/cb/jsp-ns/inc/auth/fp.js*
  • http*.webcashmgmt.com*Login*
  • http*.webcashmanager.com*Login*
  • http*/phcp/servlet*Login*
  • http*/wcmfd/*Login*
  • http*/phcp/econnection/login/js/login.htm*
  • http*/wcmfd/js/LoginCSS.js*
  • http*treasury.pncbank.com/portal/esec/login.ht*
  • http*treasury.pncbank.com/portal/service/js/loginproc.js*
  • http*sso.uboc.com/obc/forms/login.fcc*
  • http*sso.uboc.com/js/ub-common.js*
  • http*bolb.associatedbank.com*
  • http*bolb.associatedbank.com/js/jquery.js*
  • http*ebanking-services.com/*
  • http*ebanking-services.com/AUTH/WebResource.axd*
  • https://businessonline.huntington.com/BOLHome/BusinessOnlineLogin.aspx*
  • https://businessonline.huntington.com/common/scripts/common.js*
  • https*/pub/html/login.html*
  • https://*/cmserver*verify.cfm*
  • https://*/cmserver*verify.cfm*
  • https://*cmserver/include/ui/uiScripts.js*
  • https://*login_ui_includes/login_brandScripts.js*
  • https://premierview.membersunited.org/Core/login.aspx*
  • https://premierview.membersunited.org/WebResource.axd*
  • https://*.web-access.com*welcome.cgi*
  • https://*/onlineserv/CM/*
  • https://*/onlineserv/CM/std/js/en/disofactor.js*
  • https://businessonline.tdbank.com/corporatebankingweb/core/login.aspx*
  • https://businessonline.tdbank.com/CorporateBankingWeb/VAM/2_0_2/VAM.js*
  • https://authmaster.nationalcity.com/tmgmt/wslogin.jsp*
  • https://www.nationalcity.com/consultnc/*
  • https://authmaster.nationalcity.com/tmgmt/js/bharosa_uio.js*
  • https://www.nationalcity.com/sharedApp/js/isEmpty.js*
  • https://*blilk.com/Core/Authentication/MFA*.aspx*
  • https://*blilk.com/include/Utils.js*
  • https://olb.gnty.com/Login/Username.aspx*
  • https://securentrycorp.*/Authentication/zbf/k/*
  • https://securentrycorp.*/Authentication/lib.js*
  • https://ecash.*
  • https://*Cashman*
  • https://*cashman*
  • http*business-eb.ibanking-services.com/K1/*login*jsp*
  • http*business-eb.ibanking-services.com*general.js*
  • https://commercial.wachovia.com/Online/Financial/Business/Service?action=Login*
  • https://commercial.wachovia.com/Online/Registration/jsinclude/bidata.js
  • http*www.northerntrust.com/*
  • http*www3683.ntrs.com*
  • http*www.northerntrust.com/incs/scripts.js
  • https://www3683.ntrs.com/ptl/ptl/javascript/NavigationMenuScripts.js*
  • https://www8.comerica.com/*
  • https://www8.comerica.com/images/sdc.js
  • https://direct.bankofamerica.com/Core/servlet/BofaDirect.BankofAmericaDirect.BankofAmericaDirectServlet?page=PgLogin*
  • https://direct.bankofamerica.com/BofaDirect/javascript/js.util.uiutils.js*
  • https://www.us.hsbc.com/1/2/3/business/online/business-internet-banking/log-on*
  • https://www.us.hsbc.com/1/themes/html/hbus_common/HSBC-top_section.js*
  • https://www.commercial.hsbc.com.hk/1/2/!ut/p/kcxml/*
  • https://www.commercial.hsbc.com.hk/1/themes/html/b2gjs/WT_top_section.js*
  • https://www.corporatebanking.firsttennessee.com/cb/servlet/cb/jsp-ns/login.jsp*
  • https://internetbanking.firsttennessee.biz/webcm/customer1.asp*
  • https://cashmgt.firsttennessee.biz/cb/servlet/cb/login.jsp*
  • https://treas-mgt.frostbank.com/rdp/cgi-bin/welcome.cgi*
  • https://singlepoint.usbank.com/cs70_banking/logon/sbuser*
  • https://singlepoint.usbank.com/cs70_banking/user/script/login.js*
  • https://secure.ingdirect.com*account_summary.vm*
  • https://secure.ingdirect.com/myaccount/INGDirect/myinfo.vm*
  • *ingdirect.com*
  • https://secure.ingdirect.com*account_summary.vm*

マルウェアは、以下の銀行もしくは金融機関で利用される個人情報を収集します。

  • ING DIRECT USA
  • First Citizens Bank
  • Eastwest Bank
  • Web Cash Manager
  • PNC Bank
  • Union Bank
  • Associated Bank
  • Business Internet Banking
  • Huntington National Bank
  • Members United
  • TD Bank
  • National City
  • NewBridge Bank
  • Guaranty Bond Bank
  • Vectra Bank
  • Wachovia
  • Northern Trust
  • Comerica
  • Bank of America
  • HSBC
  • First Tennessee
  • Frost Bank
  • US Bank

情報収集

マルウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

  • http://{BLOCKED}dig.com/itworks/wert.php

  対応方法

対応検索エンジン: 8.900
VSAPI パターンファイル: under testing

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TSPY_ZBOT.ZQA 」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください