TSPY_ZBOT.ZXZ

2013年9月6日

解析者: Marfel Tiamzon

プラットフォーム:

Windows 2000, XP, Server 2003

危険度:

感染確認数:

システムへの影響:

情報漏えい:

マルウェアタイプ:
スパイウェア
破壊活動の有無:
なし
暗号化:
なし
感染報告の有無 :
はい

概要

スパイウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。ユーザが監視サイトのいずれかにアクセスすると、スパイウェアは、キー入力操作情報を収集します。スパイウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。

詳細

ファイルサイズ 144,384 bytes

タイプ EXE

メモリ常駐はい

発見日 2010年8月17日

感染ポイント

スパイウェアは、以下のWebサイトからダウンロードされたファイルとして、コンピュータに侵入します。

http://{BLOCKED}hooqu.ru/bin/koethood.exe

インストール

スパイウェアは、以下のファイルを作成します。

%Application Data%\{random1}\{random}.exe
%Application Data%\{random2}\{random}.ohe

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

スパイウェアは、以下のフォルダを作成します。

%Application Data%\{random1}
%Application Data%\{random2}

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{6D28A461-0014-C635-A5FF-728A3F093FBA} = %Application Data%\{random1}\{random}.exe

情報漏えい

スパイウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。

スパイウェアは、以下のWebサイトにアクセスし、自身の環境設定ファイルをダウンロードします。

http://{BLOCKED}hocal.ru/bin/koethood.bin
http://{BLOCKED}naeye.ru/bin/koethood.bin
http://{BLOCKED}eepew.ru/bin/koethood.bin
http://{BLOCKED}uedei.ru/bin/koethood.bin
http://{BLOCKED}queaz.ru/bin/koethood.bin
http://{BLOCKED}hooqu.ru/bin/koethood.bin

ユーザが監視サイトのいずれかにアクセスすると、スパイウェアは、キー入力操作情報を収集します。

ダウンロードされたファイルには、自身のコピーの更新版ファイルのダウンロード元および収集した情報の送信先が記載されています。

スパイウェアは、以下のWebサイトを対象とします。

*.ebay.com/*eBayISAPI.dll?*
*.microsoft.com/*
*/atl.osmp.ru/*
*/login.osmp.ru/*
*/my.ebay.com/*CurrentPage=MyeBayPersonalInfo*
*EBC_EBC1961*
*EBC_EBC1961/EBC_NEC/RSAEncrypt.js*
*amazon.com*
*bankofamerica.com/cgi-bin*
*blogger.com*
*ebc_ebc1961*
*ebc_ebc1961/EBC_NEC/RSAEncrypt.js*
*flickr.com*
*livejournal.com*
*myspace.com*
*youtube.com*
http*.webcashmanager.com*Login*
http*.webcashmgmt.com*Login*
http*/phcp/econnection/login/js/login.htm*
http*/phcp/servlet*Login*
http*/wcmfd/*Login*
http*/wcmfd/js/LoginCSS.js*
http*bolb.associatedbank.com*
http*bolb.associatedbank.com/js/jquery.js*
http*business-eb.ibanking-services.com*general.js*
http*business-eb.ibanking-services.com/K1/*login*jsp*
http*ebanking-services.com/*
http*ebanking-services.com/AUTH/WebResource.axd*
http*scripts/injScp.js*
http*sso.uboc.com/js/ub-common.js*
http*sso.uboc.com/obc/forms/login.fcc*
http*treasury.pncbank.com/portal/esec/login.ht*
http*treasury.pncbank.com/portal/service/js/loginproc.js*
http*www.northerntrust.com/*
http*www.northerntrust.com/incs/scripts.js
http*www3683.ntrs.com*
http://*
http://*/s/
http://*/u/
http://*odnoklassniki.ru/*
http://feedback.ebay.com/ws/eBayISAPI.dll?ViewFeedback&*
http://theida.ru/script.js
http://vkontakte.ru/*
https*/pub/html/login.html*
https://*.web-access.com*welcome.cgi*
https://*/IBWS/checkUser.do
https://*/cmserver*verify.cfm*
https://*/onlineserv/CM/*
https://*/onlineserv/CM/std/js/en/disofactor.js*
https://*Cashman*
https://*blilk.com/Core/Authentication/MFA*.aspx*
https://*blilk.com/include/Utils.js*
https://*cashman*
https://*cmserver/include/ui/uiScripts.js*
https://*login_ui_includes/login_brandScripts.js*
https://a248.e.akamai.net/6/248/3583/000/wellsoffice.wellsfargo.com/ceoportal/framework/skins/default/js/wria/wria-core-min.js*
https://access.jpmorgan.com/appmanager/jpmalogonportal/jpmalogonhome*
https://authmaster.nationalcity.com/tmgmt/js/bharosa_uio.js*
https://authmaster.nationalcity.com/tmgmt/wslogin.jsp*
https://businessaccess.citibank.citigroup.com/cbusol/do/htmlserver/js/env.js*
https://businessaccess.citibank.citigroup.com/cbusol/signon.do*
https://businessonline.huntington.com/BOLHome/BusinessOnlineLogin.aspx*
https://businessonline.huntington.com/common/scripts/common.js*
https://businessonline.tdbank.com/CorporateBankingWeb/VAM/2_0_2/VAM.js*
https://businessonline.tdbank.com/corporatebankingweb/core/login.aspx*
https://cashmgt.firsttennessee.biz/cb/servlet/cb/login.jsp*
https://cbs.firstcitizens.com/cb/jsp-ns/inc/auth/fp.js*
https://cbs.firstcitizens.com/cb/servlet/cb/loginfcbnc.jsp*
https://chaseonline.chase.com/MyAccounts.aspx
https://chsec.wellsfargo.com/login/login.fcc*
https://client.schwab.com/Accounts/Summary/Summary.aspx*
https://client.schwab.com/App_Themes/greenfield/images/logo.gif
https://cm.netteller.com/login2008/Authentication/Views/Login.aspx*
https://cm.netteller.com/login2008/Scripts/NetTellerCorners.js*
https://commercial.wachovia.com/Online/Financial/Business/Service?action=Login*
https://commercial.wachovia.com/Online/Registration/jsinclude/bidata.js
https://direct.53.com/logon53Direct.jsp*
https://direct.bankofamerica.com/BofaDirect/javascript/js.util.uiutils.js*
https://direct.bankofamerica.com/Core/servlet/BofaDirect.BankofAmericaDirect.BankofAmericaDirectServlet?page=PgLogin*
https://ecash.*
https://express.53.com/express/logon.action
https://express.53.com/express/logon.action*
https://express.53.com/express/rsa/RSAScript.js*
https://home.cbonline.co.uk/cbib/cbib/*
https://internetbanking.firsttennessee.biz/webcm/customer1.asp*
https://olb.gnty.com/Login/Username.aspx*
https://online.citibank.com/*
https://online.wamu.com/Servicing/Servicing.aspx?targetPage=AccountSummary
https://online.wellsfargo.com/das/cgi-bin/session.cgi*
https://onlinebanking.nationalcity.com/OLB/secure/AccountList.aspx
https://onlineeast#.bankofamerica.com/cgi-bin/ias/*/GotoWelcome
https://p6.secure.hostingprod.com/@www.39davidworld.com/ssl/bott.jpg
https://p6.secure.hostingprod.com/@www.39davidworld.com/ssl/head.jpg
https://premierview.membersunited.org/Core/login.aspx*
https://premierview.membersunited.org/WebResource.axd*
https://secure.ingdirect.com/myaccount/INGDirect.html
https://securentrycorp.*/Authentication/lib.js*
https://securentrycorp.*/Authentication/zbf/k/*
https://singlepoint.usbank.com/cs70_banking/logon/sbuser*
https://singlepoint.usbank.com/cs70_banking/user/script/login.js*
https://trading.scottrade.com/home/default.aspx
https://treas-mgt.frostbank.com/rdp/cgi-bin/welcome.cgi*
https://web.da-us.citibank.com/*BS_Id=MemberHomepage*
https://wellsoffice.wellsfargo.com/ceoportal/signon/index.jsp
https://wellsoffice.wellsfargo.com/ceoportal/signon/index.jsp*
https://www#.citizensbankonline.com/*/index-wait.jsp
https://www#.usbank.com/internetBanking/LoginRouter
https://www.53.com/servlet/efsonline/index.html*
https://www.53.com/wps/portal/*
https://www.53.com/wps/portal/cblogin*
https://www.bankofamerica.com/www/global/mvc_objects/images/mhd_reg_logo.gif
https://www.commercial.hsbc.com.hk/1/2/!ut/p/kcxml/*
https://www.commercial.hsbc.com.hk/1/themes/html/b2gjs/WT_top_section.js*
https://www.corporatebanking.firsttennessee.com/cb/servlet/cb/jsp-ns/login.jsp*
https://www.google.com/accounts/ig.gif
https://www.gruposantander.es/*
https://www.guard.scotiabank.com/guard/scolc/logon/loginAction
https://www.halifax-online.co.uk/MyAccounts/MyAccounts.aspx*
https://www.halifax-online.co.uk/_mem_bin/formslogin.asp
https://www.microsoft.com/library/media/1033/windows/images/internet-explorer/default/ie8_logo.gif\
https://www.nashvillecitizensbank.com/olbb/Login2FA.asp
https://www.nationalcity.com/consultnc/*
https://www.nationalcity.com/sharedApp/js/isEmpty.js*
https://www.paypal.com/*/webscr?cmd=_account
https://www.paypal.com/*/webscr?cmd=_login-done*
https://www.rbcroyalbank.com/includes/_assets-nonstandard/js/guj.js*
https://www.rbcroyalbank.com/onlinebanking/legal.html\
https://www.rbcroyalbank.com/onlinebanking/olbsecurity/index.html\
https://www.rbcroyalbank.com/onlinebanking/privacy.html\
https://www.rbcroyalbank.com/onlinebanking/trademarks/index.html\
https://www.schwab.com/
https://www.sterlingwires.com/
https://www.suntrust.com/portal/server.pt*parentname=Login*
https://www.ulsterbankanytimebanking.ie/login.aspx*
https://www.us.hsbc.com/*
https://www.us.hsbc.com/1/2/3/business/online/business-internet-banking/log-on*
https://www.us.hsbc.com/1/themes/html/hbus_common/HSBC-top_section.js*
https://www1.royalbank.com/cgi-bin/rbaccess/rb*
https://www1.royalbank.com/cgi-bin/rbaccess/rbcgi3m01
https://www1.royalbank.com/cgi-bin/rbaccess/rbcgi3m01
https://www3683.ntrs.com/ptl/ptl/javascript/NavigationMenuScripts.js*
https://www8.comerica.com/*
https://www8.comerica.com/images/sdc.js

なお、このファイルの内容である監視Webサイトのリストは、常時変更されます。

スパイウェアは、以下の銀行もしくは金融機関で利用される個人情報を収集します。

Amazon
Bank of America
Blogger
Chase
Citibank
Citizens
Citizens Bank
Clydesdale
Ebay
Fifth Third
Flickr
HSBC
Halifax
ING Direct
Live Journal
Microsoft
Myspace
National City
Net Banking
OSPM
Odnoklassniki
PNC
PayPal
RBC
Raiffeisen
Santander
Scotiabank
Suntrust
US Bank
Union Bank of California
Vkontakte
Wachovia
Washington Mutual
Wells Fargo
YouTube

情報収集

スパイウェアは、HTTPポストを介して、収集した情報を以下のURLに送信します。

http://{BLOCKED}aidie.ru/9xq/_gate.php

ハッシュ値情報

スパイウェアは、以下のMD5ハッシュ値を含んでいます。

92671afe999e12669315e220aa9e62c2

スパイウェアは、以下のSHA1ハッシュ値を含んでいます

e5548b67bede818bd90244aaf490f6408149584d

対応方法

対応検索エンジン: 8.900

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

以下のフォルダを検索し削除します。

[ 詳細 ]

フォルダが隠しフォルダ属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。 DATA_GENERIC

[探す場所]の一覧から[マイコンピュータ]を選択し、[検索]を押します。

検索が終了したら、フォルダを選択し、SHIFT+DELETE を押します。これにより、フォルダが完全に削除されます。

残りのフォルダに対して、このマルウェアまたはアドウェア等が作成したフォルダの削除の手順 2.）から 4.）を繰り返してください。

Windows Vista および 7 の場合：

[スタート]をクリックします。
[プログラムとファイルの検索]に、以下を入力します。
DATA_GENERIC
検索が終了したら、フォルダを選択し、SHIFT+DELETE を押して削除します。これにより、フォルダが完全に削除されます。
残りのフォルダに対して、このマルウェアまたはアドウェア等が作成したフォルダの削除の手順 2.）から 3.）を繰り返してください。
註：Windows 7 において上記の手順が正しく行われない場合、マイクロソフトのWebサイトをご確認ください。

手順 3

最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TSPY_ZBOT.ZXZ」と検出したファイルはすべて削除してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

ご利用はいかがでしたか？　アンケートにご協力ください

TSPY_ZBOT.ZXZ

概要

詳細

対応方法

リソース

サポート

会社概要

東京本社

TSPY_ZBOT.ZXZ

概要

詳細

対応方法

リソース

サポート

会社概要

東京本社

The Americas

Asia Pacific

Europe, Middle East & Africa