TSPY_ICEIX.A
Windows 2000, Windows XP, Windows Server 2003
- マルウェアタイプ: スパイウェア
- 破壊活動の有無: なし
- 暗号化: はい
- 感染報告の有無: はい
概要
トレンドマイクロは、このスパイウェアをNoteworthy(要注意)に分類しました。
このスパイウェアは、メディアで注目を集めているボットネット「Ice IX」に関連した情報収集型不正プログラムです。このスパイウェアは、ボットネット「Zeus 2.0」以降のソースコードをもとに作成されたため、このスパイウェアの動作は、従来のツールキット「ZeuS」の動作に新たな機能が追加された不正活動を行います。スパイウェアは、フックしたAPIを利用し、ユーザのオンラインバンキング取引の様子を監視する機能を備えています。また、スパイウェアは、「PFXImportCertStore API」を変更し、ユーザの個人証明書を収集する機能も備えています。
スパイウェアは、自身の不正活動を実行するためにAPIをフックします。
スパイウェアは、特定のURLにアクセスし、自身の環境設定ファイルをダウンロードします。
スパイウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。 スパイウェアは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。 スパイウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。
スパイウェアは、すべての実行中プロセスに組み込まれ、システムのプロセスに常駐します。
詳細
侵入方法
スパイウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。
スパイウェアは、リモートサイトから他のマルウェア、グレイウェアまたはスパイウェアにダウンロードされ、コンピュータに侵入します。
スパイウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。
インストール
スパイウェアは、以下のファイルを作成します。
- %Application Data%\{random2}\{random}.{random}
(註:%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\<ユーザ名>\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Application Data" です。)
スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %Application Data%\{random1}\{random}.exe
(註:%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\<ユーザ名>\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Application Data" です。)
スパイウェアは、以下のフォルダを作成します。
- %Application Data%\{random1}
- %Application Data%\{random2}
(註:%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\<ユーザ名>\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Application Data" です。)
スパイウェアは、すべての実行中プロセスに組み込まれ、システムのプロセスに常駐します。
スパイウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- Global\{GUID}
- Local\{GUID}
自動実行方法
スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{35D54A61-7071-B7F6-1D93-58D85F80CF3F} = "%Application Data%\{random1}\{random}.exe"
他のシステム変更
スパイウェアは、インストールの過程で、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
{random}
{random1} = "{hex values}"
HKEY_CURRENT_USER\Software\Microsoft\
{random}
{random2} = "{hex values}"
スパイウェアは、以下のレジストリ値を変更します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\0
1609 = "0"
(註:変更前の上記レジストリ値は、「1」となります。)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\1
1406 = "0"
(註:変更前の上記レジストリ値は、「1」となります。)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\1
1609 = "0"
(註:変更前の上記レジストリ値は、「1」となります。)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\2
1609 = "0"
(註:変更前の上記レジストリ値は、「1」となります。)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\3
1406 = "0"
(註:変更前の上記レジストリ値は、「3」となります。)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\3
1609 = "0"
(註:変更前の上記レジストリ値は、「1」となります。)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\4
1406 = "0"
(註:変更前の上記レジストリ値は、「3」となります。)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\4
1609 = "0"
(註:変更前の上記レジストリ値は、「1」となります。)
スパイウェアは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
C:\WINDOWS\explorer.exe = "C:\WINDOWS\explorer.exe:*:Enabled:Windows Explorer"
情報漏えい
スパイウェアは、自身の不正活動を実行するために、以下のAPIをフックします。以下のAPIには、情報を収集するために利用されるものも含まれています。
- ntdll.dll
- NtCreateThread
- LdrLoadDll
- kernel32.dll
- GetFileAttributesExW
- USER32.dll
- ReleaseDC
- GetDC
- TranslateMessage
- GetWindowDC
- GetMessageW
- PeekMessageW
- GetCapture
- RegisterClassW
- RegisterClassExW
- OpenInputDesktop
- SwitchDesktop
- DefDlgProcW
- GetMessageA
- RegisterClassExA
- DefWindowProcW
- BeginPaint
- EndPaint
- GetCursorPos
- GetMessagePos
- CallWindowProcW
- PeekMessageA
- GetUpdateRect
- CallWindowProcA
- DefWindowProcA
- SetCapture
- ReleaseCapture
- GetDCEx
- RegisterClassA
- GetUpdateRgn
- DefFrameProcW
- DefMDIChildProcW
- GetClipboardData
- DefDlgProcA
- DefFrameProcA
- DefMDIChildProcA
- SetCursorPos
- WS2_32.dll
- closesocket
- send
- WSASend
- CRYPT32.dll
- PFXImportCertStore
- WININET.dll
- InternetCloseHandle
- HttpSendRequestA
- HttpQueryInfoA
- InternetReadFile
- InternetReadFile
- HttpSendRequestExW
- InternetQueryDataAvailable
- InternetReadFileExA
- HttpSendRequestW
- HttpSendRequestExA
- NSPR4.dll
- PR_OpenTCPSocket
- PR_Close
- PR_Read
- PR_Write
スパイウェアは、以下のボットに関連する情報を含みます。
- ボット名: ice9
- ボットのバージョン: 1.0.5.0
スパイウェアは、以下のURLにアクセスします。
- http://{BLOCKED}utcaffee2.net/photos/zb1/cc/ccc.php
スパイウェアがこのURLにアクセスすると、自身の環境設定ファイルを含むバイナリをサーバから受け取ります。
この環境設定ファイルには、暗号化された情報が含まれており、復号されると、このスパイウェアが、自身のコピーの更新版ファイルをダウンロードする先のURL情報が記載されています。
- http://{BLOCKED}utcaffee.net/photos/zb1/cc/bot.exe
またこの環境設定ファイルは、以下の情報も含みます。
- スパイウェアが収集した情報の送信先サーバ
- http://{BLOCKED}utcaffee.net/photos/zb1/gate.php
- 環境設定ファイルのダウンロード先URL
- http://{BLOCKED}utcaffee2.net/photos/zb1/cc/ccc.php
- スパイウェアが監視するURL
- *.abbeynational.co.uk/*
- *.barclays.co.uk*
- *.firstdirect.com/*splash*trusteer*
- *.firstdirect.com/1/2/*
- *.hsbc.co.uk/1/2/!ut/*
- *.mybank.alliance-leicester.co.uk*
- *.rbsdigital.com*
- *barclaycard.co.uk*initialLogon*
- *commissioncontrol.net*
- *coventrybuildingsociety.co.uk*
- *halifax-online.co.uk*
- *halifax-online.co.uk/_mem_bin/*ormslogin.asp*
- *halifax-online.co.uk/CustomerManage/MyAccounts.aspx*
- *npbs.co.uk*
- *nwolb.co*
- *retail.santander.co.uk*
- *securebank.cahoot.com*
- *tuxedomoney.com*
- http*://*alliance-leicester.co.uk*
- http*://*cbonline.co.uk*
- http*://*co-operativebank.co.uk*
- http*://*smile.co.uk*
- http*halifax-online.co.uk/**/
- https://cardservicing.tescofinance.com/RBSG_Consumer/UserLogin.do*
- https://cardservicing.tescofinance.com/RBSG_Consumer/VerifyLogin.do*
- https://database.acornmediauk.com/*
- https://ibank.cahoot.com/*
- https://my.if.com/_mem_bin/formslogin.asp*
- https://online.islamic-bank.com/online/aspscripts/secretenter.asp*
- https://secure.ingdirect.co.uk/InitialINGDirect.html*
- https://secure.natweststockbrokers.co.uk/nws-secure2/*
- https://service.oneaccount.com/*/OSV2?event=login&pt=3
- https://uk.virginmoney.com/virgin/service/credit-card/*
- https://welcome23.smile.co.uk/SmileWeb/*
- https://welcome23.smile.co.uk/SmileWeb/passcode.do
- https://welcome27.co-operativebank.co.uk/CBIBSWeb/*
- https://welcome27.co-operativebank.co.uk/CBIBSWeb/passcode.do
- https://www.accessmycardonline.com/RBS_Consumer/*
- https://www.barclayswealth.com/login/action/logon/unauthenticated/personal/loginDetailsNotStored
- https://www.barclayswealth.com/login/action/logon/unauthenticated/personal/loginSigning
- https://www.caterallenonline.co.uk/WebAccess.dll
- https://www.edirectdebit.com/administration/client/logon.aspx
- https://www.mybusinessbank.co.uk/cs70_banking/*
- https://www.mybusinessbank.co.uk/cs70_banking/logon*
- https://www.mybusinessbank.co.uk/cs70_banking/logon/challenge/submit
- https://www.mybusinessbank.co.uk/cs70_banking/logon/logon/enrollPassword
- https://www.mybusinessbank.co.uk/cs70_banking/logon/logon/password
- https://www.mybusinessbank.co.uk/cs70_banking/logon/logon/pmPassword
- https://www.mybusinessbank.co.uk/cs70_banking/logon/sbuser/getPassword
- https://www.nochex.com/*
- https://www.offshore.hsbc.com/1/2/!ut/p/kcxml/*
- https://www.offshore.hsbc.com/1/2/idv.Authentication
- スパイウェアが標的とする金融機関
- Acorn Media
- Alliance & Leicester
- Banco Santander
- Barclays
- Cahoot Bank
- Cater Allen Online
- Clydesdale Bank
- Co-operative Bank
- E-Direct Debit
- First Direct
- Halifax
- HSBC UK
- Islamic Bank
- My Business Bank
- Natwest
- Nochex
- Royal Bank of Scotland
- Tesco Finance
- Virgin Money UK
なお、環境設定ファイルの内容は、常時変更されます。
スパイウェアは、フックしたAPIを利用して、ユーザのオンラインバンキング取引の様子を監視する機能を備えています。また、スパイウェアは、「PFXImportCertStore API」を変更し、ユーザの個人証明書を収集する機能も備えています。収集された個人証明書は、以下の形式として保存されます。
- certs\{computername}|{username}\grabbed_dd_mm_yyyy.pfx
スパイウェアは、「WSASend」および「send」のAPIをフックしたり、「Windows のアドレス帳(WAB)」や「Microsoft Outlook」のファイルを確認したりすることによって、Eメールアドレスを収集する機能を備えています。
スパイウェアは、以下のレジストリに保存されているパスワードを収集します。
HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\Active Directory GC
HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\Bigfoot
HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\VeriSign
HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\WhoWhere
スパイウェアは、収集したすべての情報を暗号化し、以下のファイルに保存します。そして上記のサーバへ送信します。
- %Application Data%\{random2}\{random}.{random}
その他
スパイウェアは、実行中のプロセスが自身の作成したコピーであるかを確認します。自身のコピーではなかった場合、スパイウェアは、以下のバッチファイルを作成し、実行します。そして自身を停止し、削除します。
- %User Temp%\tmp{random}.bat
このバッチファイルは、最後に自身を削除します。
対応方法
手順 1
Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアのパス名およびファイル名を確認します。
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用いてウイルス検索を実行してください。「TSPY_ICEIX.A」で検出したパス名およびファイル名を確認し、メモ等をとってください。
手順 3
Windowsをセーフモードで再起動します。
手順 4
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- {35D54A61-7071-B7F6-1D93-58D85F80CF3F} = "%Application Data%\{random1}\{random}.exe"
- {35D54A61-7071-B7F6-1D93-58D85F80CF3F} = "%Application Data%\{random1}\{random}.exe"
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List- C:\WINDOWS\explorer.exe = "C:\WINDOWS\explorer.exe:*:Enabled:Windows Explorer"
- C:\WINDOWS\explorer.exe = "C:\WINDOWS\explorer.exe:*:Enabled:Windows Explorer"
手順 5
変更されたレジストリ値を修正します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Internet Settings\Zones\0- From: 1609 = "0"
To: 1609 = "1"
- From: 1609 = "0"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Internet Settings\Zones\1- From: 1406 = "0"
To: 1406 = "1"
- From: 1406 = "0"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Internet Settings\Zones\1- From: 1609 = "0"
To: 1609 = "1"
- From: 1609 = "0"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Internet Settings\Zones\2- From: 1609 = "0"
To: 1609 = "1"
- From: 1609 = "0"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Internet Settings\Zones\3- From: 1406 = "0"
To: 1406 = "3"
- From: 1406 = "0"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Internet Settings\Zones\3- From: 1609 = "0"
To: 1609 = "1"
- From: 1609 = "0"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Internet Settings\Zones\4- From: 1406 = "0"
To: 1406 = "3"
- From: 1406 = "0"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Internet Settings\Zones\4- From: 1609 = "0"
To: 1609 = "1"
- From: 1609 = "0"
手順 6
以下のファイルを検索し削除します。
- %Application Data%\{random2}\{random}.{random}
手順 7
以下のフォルダを検索し削除します。
- %Application Data%\{random1}
- %Application Data%\{random2}
手順 8
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TSPY_ICEIX.A」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください