PE_LICAT.B-O

2010年12月8日

解析者: jasperm

別名:

Kaspersky: Trojan-Spy.Win32.Zbot.autj ; Symantec: Trojan.Zbot ; Sophos: Mal/FakeAV-BW

プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

危険度:

ダメージ度:

感染力:

感染確認数:

マルウェアタイプ: ファイル感染型
破壊活動の有無: なし
暗号化: はい
感染報告の有無: はい

概要

感染経路ファイルに感染

ウイルスは、他のマルウェアに作成され、コンピュータに侵入します。ウイルスは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

ウイルスは、プロセスに組み込まれ、システムのプロセスに常駐します。

ウイルスは、ホストファイル内の未使用の領域に自身のコードを挿入することにより感染活動を実行します。

ウイルスは、ランダムにポートを開き、不正リモートユーザが感染コンピュータに接続できるようにします。接続されると、不正リモートユーザは、感染コンピュータ上でのコマンド実行が可能となります。

ウイルスは、Internet Explorer（IE）のゾーン設定を変更します。

ウイルスは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。ウイルスは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。

詳細

使用ポート Random TCP ports

ファイルサイズ 166,400 bytes

タイプ PE

メモリ常駐はい

発見日 2010年11月2日

ペイロードファイルのダウンロード, 情報収集

侵入方法

ウイルスは、他のマルウェアに作成され、コンピュータに侵入します。

ウイルスは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

インストール

ウイルスは、以下のファイルを作成します。

%Application Data%\{random1}\{random}.exe - copy of itself
%Application Data%\{random2}\{random}.{3 random alpha character extension name} - encrypted data

(註：%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\＜ユーザ名＞\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Application Data" です。)

ウイルスは、以下のフォルダを作成します。

%Application Data%\{random1}
%Application Data%\{random2}

ウイルスは、以下のプロセスに組み込まれ、システムのプロセスに常駐します。

ctfmon.exe
dwm.exe
explorer.exe
rdpclip.exe
taskeng.exe
taskhost.exe
wscntfy.exe

ウイルスは、プロセスに組み込まれ、システムのプロセスに常駐します。

自動実行方法

ウイルスは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{GUID} = %Application Data%\{random}\{random name}.EXE

他のシステム変更

ウイルスは、インストールの過程で、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
{random}

ウイルスは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%WINDOWS%\EXPLORER.EXE = %WINDOWS%\EXPLORER.EXE:*:Enabled:Windows Explorer

ファイル感染

ウイルスは、以下の形式のファイルに感染します。

ウイルスは、ホストファイル内の未使用の領域に自身のコードを挿入することにより感染活動を実行します。

バックドア活動

ウイルスは、ランダムにポートを開き、不正リモートユーザが感染コンピュータ上にアクセスするのを可能にします。接続されると、不正リモートユーザは、感染コンピュータ上でコマンドを実行します。

Webブラウザのホームページおよび検索ページの変更

ウイルスは、IEのゾーン設定を変更します。

情報漏えい

ウイルスは、感染したコンピュータ上でInternet Explorer（IE）の使用状況を監視します。ウイルスは、特にIEのアドレスバーまたはタイトルバー情報を監視しますが、ユーザが銀行関連Webサイトを閲覧しそのサイトのアドレスバーまたはタイトルバーに以下の文字列が含まれていた場合、正規Webサイトを装った偽のログインページを作成します。

https://*.ebanking-services.com/*/signin.aspx
https://express.53.com/express/logon.jsp
ttps://wellsoffice.wellsfargo.com/ceoportal/signon/index.jsp
https://www.accountcentralonline.com
https://secure.americanexpress.com
https://www.bankofamerica.com
https://chaseonline.chase.com
https://www.accountonline.com
https://www.cajalaboral.com
https://customer.eu.clickandbuy.com
https://www.discovercard.com/cardmembersvcs/personalprofile/pp/GetInitialInfo
https://www.ezcardinfo.com
https://signin.fiabusinesscard.com
https://www.accountcentralonline.com
https://www.ibsnetaccess.com
https://www.macys.com
ttps://www.moneybookers.com
https://www.myaccountaccess.com
https://www.partnercardservices.com
https://www.paypal.com
ttps://www.pnccardservicesonline.com
https://client.schwab.com
https://www.suntrust.com
https://content.usaa.com
cey-ebanking.com
treasury.pncbank.com/portal/esec/login.ht
https://www.us.hsbc.com/1/2/
https://bnycash.bankofny.com/
ebanking-services.com
https://www.usaa.com/inet
https://www.saferpay.com/vt/pay.asp
https://express.53.com/express/logon
https://www.business.hsbc.co.uk/1/2/
https://www.paypal.com/gates/google
https://direct.53.com/logon53Direct.jsp
https://www.gotomycard.com/accounts.asp
https://www.saferpay.com/gates/google
https://ibank.barclays.co.uk/olb/u/Login
https://www.moneybookers.com/app/profile.pl
Zhttps://www.myaccountaccess.com/onlineCard/
https://www.ezcardinfo.com/AcctSummary.aspx
https://www.moneybookers.com/gates/google
https://chsec.wellsfargo.com/login/login.fcc
https://securentrycorp.amegybank.com
https://ssl.selectpayment.com/
https://chaseonline.chase.com/MyAccounts.aspx
https://www.paypal.com/C/cgi-bin/webscr
https://sitekey.bankofamerica.com/sas/maint.do
https://online.citibank.com/US/</portal/Home.do
https://www.hsbccreditcard.com/ecare/viewaccount
https://www.suntrust.com/portal/server.pt?mode=2
https://www.mycardstatement.com/AcctSummary.aspx
https://customer.eu.clickandbuy.com/gates/google
https://onlinebankingC.wachovia.com/myAccounts.aspx
https://www.accountcentralonline.com/cmuser/myacct/
https://www.discovercard.com/cardmembersvcs/achome/
https://online.wellsfargo.com/das/cgi-bin/session.cgi
https://www.nordstromcard.com/fdr_nr.service?TRANTYPE
https://www.statementlook.com/fdr_ge.service?TRANTYPE
https://wwwC.usbank.com/internetBanking/RequestRouter
https://www.partnercardservices.com/ecare/viewaccount
https://client.schwab.com/accounts/summary/summary.aspx
https://www.paypal.com/C/cgi-bin/webscr?cmd=_login-done
https://www.hsbccreditcard.com/ecare/control/generic.js
https://singlepoint.usbank.com/cs70_banking/logon/sbuser
https://www.paypal.com/de/cgi-bin/webscr?cmd=_login-done
https://www.fiabusinesscard.com/cgi-bin/ias/
https://www.linksimprese.sanpaoloimi.com/pmiweb/LoginServlet
https://www.partnercardservices.com/ecare/control/generic.js
https://wellsoffice.wellsfargo.com/ceoportal/signon/index.jsp
https://www.barclaycardus.com/app/ccsite/action/switchAccount
https://businessaccess.citibank.citigroup.com/cbusol/signon.do
https://banking.commercebank.com/CBI/Accounts/CBI/Summary.aspxU
https://onlineeastC.bankofamerica.com/cgi-bin/ias/
https://www.pnccardservicesonline.com/pages/AccountSummary.aspx
https://authmaster.nationalcity.com/tmgmt/
https://treas-mgt.frostbank.com/rdp/cgi-bin/
https://sitekey.bankofamerica.com/sas/sas-docs/js/commonscript.js
https://cm.netteller.com/login2008/Authentication/Views/Login.aspx
https://www.myaccountaccess.com/onlineCard/postLogin.do?phase=start
https://access.jpmorgan.com/appmanager/jpmalogonportal/jpmalogonhome
ttps://businessonline.tdbank.com/corporatebankingweb/core/login.aspx
https://www.comerica.com/
https://wwwB.comerica.com/
https://businessonline.huntington.com/BOLHome/BusinessOnlineLogin.aspx
https://www.ibsnetaccess.com/NASApp/NetAccess/RegisteredAccountsDisplay
https://businessaccess.citibank.citigroup.com/cbusol/sign
https://www.discovercard.com/cardmembersvcs/personalprofile/pp/GetInitialInfo
https://customer.eu.clickandbuy.com/surfer/spring/accounthome-flow
https://www.ibsnetaccess.com/NASApp/NetAccess/updateQandA.action?target=updtQA
https://www.paypal.com/C/cgi-bin/webscr?cmd=_profile-credit-card-new-clickthru
https://onlineeastC.bankofamerica.com/cgi-bin/ias/
https://online.americanexpress.com/myca/acctsumm/us/action?request_type=authreg_acctAccountSummary
https://www.hsbccreditcard.com/ecare/customerservice/updatepersonalinfo?&locale=en_US&brand=HB_090_750
https://www.partnercardservices.com/ecare/customerservice/updatepersonalinfo?&locale=en_US&brand=RZ_500_501

ウイルスは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。

ウイルスは、以下のWebサイトにアクセスし、自身の環境設定ファイルをダウンロードします。

http://{BLOCKED}pzrjrge.org/news/?s={random number}

ウイルスは、以下の銀行もしくは金融機関で利用される個人情報を収集します。

Fifth Third Direct
Wellsfargo
HSBC
American Express
Bank of America
Chase
Citi
Caja Laboral
ClickandBuy
Discover Card
eZCardInfo
Card Information Online
FIA Card Services
Macy's
Moneybookers
Online Account Access
Partner Card Services
Paypal
PNC Card Services
Charles Schwab
Suntrust
USAA
Mountain National Bank
PNC Bank
Business Internet Banking
Saferpay
GoToMyCard
Barclays
Amegy Bank
Profit Stars
Wachovia
Nordstrom Credit Services
Statementlook
US Bank
Commerce Bank
Frost Bank
National City
Net Teller
JP Morgan
TD Bank
Comerica
Huntington National Bank

情報収集

ウイルスは、HTTPポストを介して、収集した情報を以下のURLに送信します。

http://{BLOCKED}pzrjrge.org

その他

ウイルスは、実行中プロセスと関連するファイルに感染します。

感染したファイルは、以下として検出します。

「PE_LICAT.B」

対応方法

対応検索エンジン: 8.900

VSAPI OPR パターンバージョン 7.671.00

VSAPI OPR パターンリリース日 2010年12月3日

手順 1

Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

この「PE_LICAT.B-O」が作成、あるいは、ダウンロードした以下のファイルを検索し、検索した場合は削除してください。

手順 3

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 4

このレジストリ値を削除します。

[ 詳細 ]

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- {GUID}=%Application Data%\{random}\{random name}.EXE
In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
- %WINDOWS%\EXPLORER.EXE=%WINDOWS%\EXPLORER.EXE:*:Enabled:Windows Explorer

手順 5

このレジストリキーを削除します。

[ 詳細 ]

In HKEY_CURRENT_USER\Software\Microsoft
- {random}

手順 6

Internet Explorer（IE）のセキュリティ設定を修正します。

[ 詳細 ]

手順 7

以下のフォルダを検索し削除します。

[ 詳細 ]

註：このフォルダは、隠しフォルダとして設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

%Application Data%\{random1}
%Application Data%\{random2}

手順 8

コンピュータを通常モードで再起動し、最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、「PE_LICAT.B-O」と検出したファイルの検索を実行してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

ご利用はいかがでしたか？　アンケートにご協力ください

PE_LICAT.B-O

概要

詳細

対応方法

関連マルウェア

関連URL