• Email
• Facebook
• Twitter
• Google+
• Linkedin

TSPY_ZBOT.AZL

---

• マルウェアタイプ: スパイウェア
• 破壊活動の有無: なし
• 暗号化: なし
• 感染報告の有無: はい

---

  概要

スパイウェアは、他のマルウェアに作成され、コンピュータに侵入します。

ただし、情報公開日現在、このWebサイトにはアクセスできません。

スパイウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。

---

  詳細

侵入方法

スパイウェアは、他のマルウェアに作成され、コンピュータに侵入します。

インストール

スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %System Root%\Documents and Settings\All Users\Application Data\Microsoft\Windows\Network\MSPDB30.DLL

(註：%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

スパイウェアは、以下のファイルを作成します。

• %System Root%\Documents and Settings\All Users\Application Data\Microsoft\Windows\Network\mspdb80.dll

(註：%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

スパイウェアは、以下のフォルダを作成します。

• %System Root%\Documents and Settings\All Users\Application Data\Microsoft\Windows\Network

(註：%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

スパイウェアは、以下のプロセスに組み込まれ、システムのプロセスに常駐します。

• EXPLORER.EXE
• FIREFOX.EXE
• IEXPLORE.EXE
• MSIMN.EXE
• OUTLOOK.EXE
• SVCHOST.EXE

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Windows
AppInit_DLLs = %System Root%\Documents and Settings\All Users\Application Data\Microsoft\Windows\Network\mspdb30.dll

(註：変更前の上記レジストリ値は、「 」となります。)

他のシステム変更

スパイウェアは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
DirectDraw\Parameters.A
(Default) =  

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
DirectDraw\Parameters.B
(Default) =  

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Windows
LoadAppInit_DLLs = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Windows
RequireSignedAppInit_DLLs = 0

ダウンロード活動

ただし、情報公開日現在、このWebサイトにはアクセスできません。

情報漏えい

スパイウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。

情報収集

スパイウェアは、以下のファイル内に収集した情報を保存します。

• %System Root%\Documents and Settings\All Users\Application Data\Microsoft\Windows\Network\mspdb80.dll

(註：%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

• https://{BLOCKED}gatti2012.ru/forum/Q47A1.php

その他

このスパイウェアのコードから、スパイウェアは、以下の機能を備えています。

• Browse and upload files from the affected system
• Download files, save them as temp files in %User Temp% folder then execute these files
• Drop a batch file named NTLDR.BAT. This .BAT file contains a command to delete files found in the Windows folder and in the root folder, which is usually C:\ (may include system files which in turn may cause the system unbootable)
• Log running processes and save it to the dropped file MSPDB80.DLL
• Steal and delete Cookies
• Steal FTP and POP credentials

(註：%User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\＜ユーザー名＞\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\TEMP" です。)

---

  対応方法

ご利用はいかがでしたか？　アンケートにご協力ください