Trend Micro Security

TROJ_ZBOT.BXW

2010年7月27日
 解析者:   

 プラットフォーム:

Windows 2000, XP, Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化: なし
  • 感染報告の有無: はい

  概要


マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

マルウェアは、ランダムにポートを開きます。 マルウェアは、不正リモートユーザからリモートで受信する特定のコマンドを実行します。これにより、感染コンピュータおよび同コンピュータ上の情報は危険にさらされることとなります。

マルウェアは、ダウンロードしたファイルを実行します。

マルウェアは、ユーザ名およびパスワードといったオンラインバンキング情報に関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。


  詳細

ファイルサイズ 40,960 bytes
タイプ PE
メモリ常駐 はい
発見日 2010年7月26日
ペイロード Steals information, Bypasses Windows Firewall, Steals private keys from certificates, Drops files

インストール

マルウェアは、以下のフォルダを作成します。

  • %Application Data%\{random1}
  • %Application Data%\{random2}

(註:%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 ""C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"" 、 Windows NTの場合 ""C:\WINNT\Profiles\<ユーザ名>\Application Data""、Windows 98 および MEの場合、""C:\Windows\Profiles\<ユーザ名>\Application Data"" です。)

マルウェアは、以下のプロセスに組み込まれ、システムのプロセスに常駐します。

  • ctfmon.exe
  • dwm.exe
  • explorer.exe
  • rdpclip.exe
  • taskeng.exe
  • taskhost.exe
  • wscntfy.exe

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{GUID} = {malware path and file name}

他のシステム変更

マルウェアは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Windows%\\Explorer.exe = "%Windows%\Explorer.exe:*:Enabled:Windows Explorer"

バックドア活動

マルウェアは、ランダムにポートを開き、不正リモートユーザが感染コンピュータに接続できるようにします。接続されると、不正リモートユーザは、感染コンピュータ上でのコマンド実行が可能となります。

マルウェアは、不正リモートユーザから以下のコマンドを実行します。

  • Gets the Flash player data
  • Steals passwords from FlashFXP, total_commander, ws_ftp, fileZilla, FAR2, winscp, ftp_commander, coreFTP, and smartftp
  • Set the browser’s home page
  • Disable and enable access to certain URLs
  • Remove certificate
  • Steal digital certificates
  • Delete browser cookies
  • Upload cookies
  • Download and execute a file
  • Removes a back door connection
  • Download and update bot configuration
  • Uninstall bot
  • Restart the system
  • Shutdown the system
  • Disable and enable web injection
  • Search local drives

作成活動

マルウェアは、以下のファイルを作成します。

  • %Application Data%\{random1}\{random}.exe - copy of itself
  • %Application Data%\{random2}\{random}.{3 random alpha character extension name} - encrypted file

(註:%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 ""C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"" 、 Windows NTの場合 ""C:\WINNT\Profiles\<ユーザ名>\Application Data""、Windows 98 および MEの場合、""C:\Windows\Profiles\<ユーザ名>\Application Data"" です。)

ダウンロード活動

マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。

  • %User Temp%\kjfhgjdsfgsd.exe - also detected as TROJ_ZBOT.BXW

(註:%User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\<ユーザー名>\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\TEMP" です。)

マルウェアは、ダウンロードしたファイルを実行します。

情報漏洩

マルウェアは、ユーザ名およびパスワードといったオンラインバンキング情報に関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。

マルウェアは、以下のWebサイトにアクセスし、自身の環境設定ファイルをダウンロードします。

  • http://{BLOCKED}et.cn/zeka/cfg9sksl.jpg

その他

このコードを分析した結果、マルウェアは、以下の機能を備えています。

  • Saves its encrypted configuration file in a random key created under the registry, HKEY_CURRENT_USER\Software\Microsoft
  • Injects codes to online banking Web sites included in its configuration file. However, as of this moment the downloaded configuration file only contains the links to its updated copy and drop zone, http://{BLOCKED}et.cn/zeka/getbotdata930sdla.php
  • Takes screenshots and log keystrokes
  • Exploits the vulnerability, Microsoft Security Advisory (2286198) which is detected as LNK_STUXNET.SM


  対応方法

対応検索エンジン: 8.900
VSAPI OPR パターンバージョン 7.339.00
VSAPI OPR パターンリリース日 2010年7月27日

手順 1

Windowsの検索機能([スタート] → [検索] → [ファイルとフォルダすべて] を選択)などを使用して、この「TROJ_ZBOT.BXW」が作成、あるいは、ダウンロードした以下のファイルを検索し、検索した場合は削除してください。

     LNK_STUXNET.SM 

手順 2

このマルウェアのパス名およびファイル名を確認します。
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用いてウイルス検索を実行してください。「TROJ_ZBOT.BXW」で検出したパス名およびファイル名を確認し、メモ等をとってください。

手順 3

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 4

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • {GUID} = {malware path and file name}
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
    • %Windows%\Explorer.exe = %Windows%\Explorer.exe:*:Enabled:Windows Explorer

手順 5

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TROJ_ZBOT.BXW」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。ただし、念のため、隔離されたファイルを削除してください。詳しくは、こちらをご確認下さい。


ご利用はいかがでしたか? アンケートにご協力ください