• Email
• Facebook
• Twitter
• Google+
• Linkedin

TROJ_ZBOT.CCB

---

• マルウェアタイプ: トロイの木馬型
• 破壊活動の有無: なし
• 暗号化: なし
• 感染報告の有無: はい

---

  概要

マルウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。 マルウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。

---

  詳細

インストール

マルウェアは、以下のファイルを作成します。

• %Application Data%\{random1}\{random}.exe
• %Application Data%\{random2}\{random}.ygo

(註：%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\＜ユーザ名＞\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Application Data" です。)

マルウェアは、以下のフォルダの属性をシステムフォルダおよび隠しフォルダに設定します。これにより、自身のコンポーネントの検出および削除を避けます。

• %Application Data%\{random1}
• %Application Data%\{random2}

(註：%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\＜ユーザ名＞\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Application Data" です。)

マルウェアは、以下のプロセスに自身を組み込み、システムのプロセスに常駐します。

• explorer.exe

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{3AD5097F-CF7F-65FA-D0CD-6E7903491FE9} = %Application Data%\{random1}\{random}.exe

ダウンロード活動

マルウェアは、以下のWebサイトにアクセスし、ファイルをダウンロードします。

• http://{BLOCKED}3.{BLOCKED}1.194.175/us2070/obamas.doc

情報漏えい

マルウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。

マルウェアは、以下のWebサイトにアクセスし、自身の環境設定ファイルをダウンロードします。

マルウェアは、Webサイトにアクセスしてファイルをダウンロードします。ダウンロードされたファイルには、自身のコピーの更新版ファイルのダウンロード元および収集した情報の送信先が記載されています。なお、上記でダウンロードされたファイルは、環境設定ファイルで、このマルウェアが情報収集の際に対象とする以下の金融関連Webサイトのリストを含んでいます。

• !*.microsoft.com/*
• !http://*myspace.com*
• !http://*odnoklassniki.ru/*
• !http://vkontakte.ru/*
• *.citibank.com/US/JPS/portal/Index.do*
• *.citibank.com/US/JRS/portal/accountSummary.do
• *bankofamerica.com*
• *bankofamerica.com/*
• *bankofamerica.com/cgi-bin/ias/*GotoCustomerServiceMenu
• *bankofamerica.com/cgi-bin/ias/A/*/CustomerServiceMenuControl?custAction=75
• *online.wellsfargo.com/das/cgi-bin/session.cgi*
• *online.wellsfargo.com/login*
• *wellsfargo.com/
• @*/atl.osmp.ru/*
• @*/login.osmp.ru/*
• http*chase.com/
• http://ajax.googleapis.com/ajax/libs/jquery/1.4/jquery.min.js
• https://*.bankofamerica.com/cgi-bin/ias/*
• https://*.chase.com/MyAccounts.aspx*
• https://*chase.com/*
• https://a248.e.akamai.net/7/248/3608/1f8b6f7a060359/online.wellsfargo.com/das/common/images/ico_alertInput.gif
• https://ajax.googleapis.com/ajax/libs/jquery/1.4/jquery.min.js
• https://banking.chase.com/.*?
• https://banking.chase.com/AccountActivity/AccountDetails.aspx?AI=*
• https://businessonline.tdbank.com/CorporateBankingWeb/Core/CustomerService/CustomerService.aspx
• https://businessonline.tdbank.com/CorporateBankingWeb/Core/CustomerService/ModifySecurityQuestions.aspx
• https://businessonline.tdbank.com/CorporateBankingWeb/Core/InformationReporting/AccountPortfolio.aspx
• https://chaseonline.chase.com/MyAccounts.aspx
• https://chaseonline.chase.com/images//ChaseNew.gif
• https://chaseonline.chase.com/images//logoff.gif
• https://chaseonline.chase.com/images/bolprogress.gif
• https://chaseonline.chase.com/secure/ServiceActivation/LOBServiceController.aspx?_context=wire
• https://chaseonline.chase.com/secure/serviceactivation/confirmation/confirm.aspx
• https://chaseonline.chase.com/secure/serviceactivation/confirmation/error.aspx
• https://chaseonline.chase.com/secure/serviceactivation/legalagreements/legalagreement.aspx
• https://chaseonline.chase.com/secure/serviceactivation/primaryaccount/primaryaccount.aspx
• https://chaseonline.chase.com/secure/serviceactivation/secauth/otpdeliverymode.aspx
• https://chaseonline.chase.com/secure/serviceactivation/secauth/otpdeliverymodeconfirmation.aspx
• https://chaseonline.chase.com/secure/serviceactivation/secauth/secauthinformation.aspx
• https://chaseonline.chase.com/secure/serviceactivation/secauth/validateotp.aspx
• https://gbsrv.com/bofa/icq.php?id=
• https://gbsrv.com/bofa/in.php
• https://gbsrv.com/ch/icq.php?dr=
• https://gbsrv.com/ch/in.php
• https://online.citibank.com/JRS/cm/img/top_nav/logo.gif
• https://online.citibank.com/US/*/portal/Home.do*
• https://online.citibank.com/US/*/portal/menu.do*
• https://online.wamu.com/Servicing/Servicing.aspx?*
• https://online.wellsfargo.com/das/cgi-bin/session.cgi*
• https://onlineeast*.bankofamerica.com/*WeasRedirectControl?bofaAction=70
• https://onlineeast*.bankofamerica.com/cgi-bin/ias/A/*/InterbankTransfersServiceAgreementControl
• https://onlineeast*.bankofamerica.com/cgi-bin/ias/A/*GotoWelcome
• https://onlineeast1.bankofamerica.com/cmsContent/en_US/TransferFunds/Model/WhyDoWeAskForThisInfoPopUp.html
• https://payments.chase.com/Wire/wireaddconfirm.aspx
• https://payments.chase.com/Wire/wireaddform2.asp*
• https://payments.chase.com/Wire/wireaddverify.aspx
• https://payments.chase.com/Wire/wirerecipientaddconfirm.aspx
• https://payments.chase.com/Wire/wirerecipientaddform2.aspx
• https://payments.chase.com/Wire/wirerecipientaddroutingnumber.aspx
• https://payments.chase.com/Wire/wirerecipientaddverify.aspx
• https://sitekey.bankofamerica.com/sas-docs/images/clr.gif
• https://sitekey.bankofamerica.com/sas/challengeQandA.do
• https://sitekey.bankofamerica.com/sas/helpScreen.do?nextAction=invalidImgHelp
• https://sitekey.bankofamerica.com/sas/maint.do
• https://sitekey.bankofamerica.com/sas/otp
• https://sitekey.bankofamerica.com/sas/signon*
• https://stmts.chase.com/StmtList.aspx?*
• https://transfers.bankofamerica.com/jsp/bofa/account_add_ft.jsp
• https://transfers.bankofamerica.com/jsp/bofa/account_add_ft.jsp?topNavigation=2&subNavigation=22
• https://transfers.bankofamerica.com/jsp/bofa/addAccountAjaxProcessor.jsp
• https://transfers.bankofamerica.com/jsp/bofa/email_validate.js*
• https://transfers.bankofamerica.com/jsp/bofa/funds_transfer_signup.js*
• https://transfers.bankofamerica.com/jsp/bofa/logout_ft.jsp?RET_URL=5&startEvent=Yes&endEvent=Yes&CEpage=TF03.01E
• https://transfers.bankofamerica.com/jsp/bofa/make_transfer.jsp
• https://transfers.bankofamerica.com/jsp/bofa/make_transfer.jsp?topNavigation=2&subNavigation=23
• https://transfers.bankofamerica.com/jsp/bofa/make_transfer_confirm.jsp
• https://www.bankofamerica.com/www/global/mvc_objects/images/1pixel_clear.gif
• https://www.bankofamerica.com/www/global/mvc_objects/images/1pixel_clear.gif
• https://www.gruposantander.es/*
• https://www.paypal.com/*/cgi-bin/webscr?cmd=_login-done&login_access=*
• https://www.paypal.com/us/cgi-bin/webscr?cmd=_profile-ach
• https://www.paypal.com/us/cgi-bin/webscr?cmd=_profile-credit-card-new-clickthru&flag_from_account_summary=1
• https://www.paypal.com/us/cgi-bin/webscr?cmd=_show-limits&req_from=view_limits
• https://www.wellsfargo.com/help/faqs/signon_faqs

なお、このファイルの内容である監視Webサイトのリストは、常時変更されます。

マルウェアは、以下の銀行もしくは金融機関で利用される個人情報を収集します。

• Bank of America
• Chase
• Citibank
• Microsoft
• Myspace
• OSPM
• Odnoklassniki
• PayPal
• Raiffeisen
• Santander
• Vkontakte
• Washington Mutual
• Wells Fargo

情報収集

マルウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

• http://{BLOCKED}3.{BLOCKED}5.174.58/twitter/aga.php

その他

このマルウェアのコードから、マルウェアは、以下の機能を備えています。

• Arrives as a file downloaded from the following URL: http://{BLOCKED}3.{BLOCKED}1.194.175/us2070/usow.exe

解析の結果、マルウェアによるバックドア活動は確認されませんでした。

ハッシュ値情報

マルウェアは、以下のMD5ハッシュ値を含んでいます。

• 6856c93428c81cc6e1cccab7661cc626

マルウェアは、以下のSHA1ハッシュ値を含んでいます

• 826c02de7c06fd38fe2055572ec1422922aa575b

---

  対応方法

ご利用はいかがでしたか？　アンケートにご協力ください