Trend Micro Security

SYMBOS_ZBOT.B

2011年2月24日
 解析者: Karl Dominguez   
 脅威タイプ:

情報収集型

 プラットフォーム:

Symbian OS

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: スパイウェア
  • 破壊活動の有無: なし
  • 暗号化: はい
  • 感染報告の有無: はい

  概要


トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。その理由として、ダメージ度や感染力、あるいは、その両方の脅威レベルの高くなったことが挙げられます。具体的には、これは、ショート・メッセージ・サービス(SMS)からユーザの認証情報を収集する携帯機器向け情報収集型不正プログラム「ZBOT」です。

マルウェアは、感染した携帯機器用オペレーティングシステム(OS)「Symbian」のSMSを監視します。また、マルウェアは、監視リストに送信者が記載されている場合、メッセージを転送します。マルウェアの主な目的は、オンライン銀行の認証コードを収集することです。

マルウェアは、特定の電話番号からのコマンドを受信、および情報を送信します。

スパイウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

  詳細

ファイルサイズ 19,696 bytes
タイプ SIS
メモリ常駐 はい
発見日 2011年2月22日
ペイロード システムセキュリティへの感染活動, 情報収集

侵入方法

スパイウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

インストール

スパイウェアは、以下のファイルを作成します。

  • C:\system\apps\u.dat
  • C:\system\apps\u.sisx
  • C:\private\20039E30\firststart.dat
  • C:\private\20039E30\settings2.dat
  • {install path}\CertificateUpdate.exe
  • C:\private\20039E30\NumbersDB.db

スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • C:\sys\bin\SmsControl.exe

スパイウェアは、以下のフォルダを作成します。

  • C:\private\20039E30

その他

マルウェアは、感染した携帯機器用オペレーティングシステム(OS)「Symbian」のショート・メッセージ・サービス(SMS)を監視します。また、マルウェアは、監視リストに送信者が記載されている場合、メッセージを転送します。マルウェアの主な目的は、オンライン銀行の認証コードを収集することです。

マルウェアは、以下の電話番号からのコマンドを受信、および情報を送信します。

  • {BLOCKED}481813

マルウェアは、以下のメッセージをバックドアのコマンドとして処理します。

  • ON/OFF - マルウェアの状態の設定
  • SET ADMIN - コマンド&コントロール(C&C)として電話番号の設定
  • REM SENDER ALL - 監視リストからすべての送信者の削除
  • ADD SENDER ALL - 監視リストにすべてのコンタクトを追加
  • BLOCK ON - 電話の着信拒否機能を有効にする
  • BLOCK OFF - 電話の着信拒否機能を無効にする
  • UNINSTALL - "C:\system\apps\u.dat" を "C:\system\apps\u.sisx" に改称および上記で作成したパッケージ(拡張子SISX)のインストール
  • ADD SENDER - 監視リストに電話番号の追加
  • REM SENDER - 監視リストの電話番号の削除
  • SET SENDER - 監視リストのすべての電話番号を新規の電話番号に置き換える

マルウェアは、以下のメッセージのいずれかを送信することで、不正リモートユーザに現在のマルウェアの状況を通知します。

  • App installed ok
  • state is On
  • state is Off
  • monitoring all
  • blocking is on
  • blocking is off

マルウェアが作成したファイル "C:\private\20039E30\settings2.dat" は、状況、ブロック、監視および不正リモートユーザの電話番号などマルウェアの設定を含みます。

マルウェアが作成したファイル "C:\private\20039E30\NumbersDB.db" は、以下に監視されるコンタクト、電話番号および履歴についての情報を含みます。

  • tbl_contact: index
    name
    descr
    pb_contact_id
  • tbl_phone_number: contact_id
    phone_number
  • tbl_history: event_id
    pn_id
    date
    description
    contact_info
    contact_id

  対応方法

対応検索エンジン: 8.900
初回 VSAPI パターンバージョン 7.854.13
初回 VSAPI パターンリリース日 2011年2月23日
VSAPI OPR パターンバージョン 7.855.00
VSAPI OPR パターンリリース日 2011年2月23日

手順 1

Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「SYMBOS_ZBOT.B」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください