TSPY_ZBOT.BFZ

解析者:

プラットフォーム:

Windows 2000, XP, Server 2003

危険度:

感染確認数:

システムへの影響:

情報漏えい:

マルウェアタイプ: Spyware
破壊活動の有無: なし
暗号化:
感染報告の有無: はい

概要

マルウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。
マルウェアは、ルートキット機能を備えており、他の不正プログラムもしくはアドウェア等に利用されます。
マルウェアは、'Outpost Personal Firewall' および 'ZoneLabs Firewall Client' に関連した以下のプロセスの存在を確認します。

outpost.exe
zlclient.exe

マルウェアは、上記の何れかのプロセスの存在を確認すると、プロセスを終了します。これにより、プロセスの実行が中断されます。また、ルートキット機能を備えており、自身に関連したプロセスおよびファイルを隠匿し、ユーザによる検出および削除を避けます。
マルウェアは、レジストリ値を変更し、Windowsのファイアウォールを無効にします。これにより、マルウェアは、自身を検出されることなく不正活動を実行することが可能になります。

詳細

発見日 0001年1月1日

侵入方法

マルウェアは、上記プロセスが確認されると、そのプロセスを停止します。これにより、感染コンピュータ上で連続して自身の実行を確実にします。

マルウェアは、以下のリモートサイトからダウンロードされ、コンピュータに侵入します。

http://{BLOCKED}nahui.cn/bot.exe

自動実行方法

マルウェアは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
Userinit=%System%userinit.exe, %System%sdra64.exe,

（註：このレジストリ値のデフォルトは、 %System%userinit.exe, となります。）

ダウンロード活動

マルウェアは、以下のWebサイトにアクセスして自身の環境設定ファイルをダウンロードします。

http://{BLOCKED}nahui.cn/config.bin

情報漏洩

マルウェアは、以下の銀行もしくは金融機関で利用される個人情報を収集します。

Alliance & Leicester

BBVA

BG Net Plus

Banca Intesa

Bancaja

Banco Herrero

Banco Pastor

Banco Popular

Banesto

Banif

Bank of America

Banque Populaire

Barclays

Caixa Girona

Caixa Laietana

Caixa Ontinyent

Caixa Sabadell

Caixa Tarragona

Caja Badajoz

Caja Canarias

Caja Circulo

Caja Granada

Caja Laboral

Caja Madrid

Caja Murcia

Caja Vital

Caja de Avila

Caja de Jaen

Cajarioja

Cajasol

Chase

Citibank

Citizens

Clavenet

Clydesdale

Co-Operativebank

E-Gold

Ebay

Fibanc Mediolanum

Fifth Third

First Direct

Gruppo Carige

HSBC

Halifax

IS Bank

IW Bank

Iside

Lloyds

Microsoft

Myspace

National City

Nationwide

Natwest

OSPM

Odnoklassniki

Openbank

PayPal

PosteItaliane

Procredit

Qui UBI

Rupay

Sabadell Atlantico

Santander

Scrigno

Secservizi

Smile

Suntrust

TD Canada Trust

US Bank

Ueberweisung

Unicaja

Uno-E

Wachovia

Washington Mutual

Webmoney Keeper Light

Wells Fargo

Yandex

Yorkshire

マルウェアは、ルートキット機能を備えており、他の不正プログラムもしくはアドウェア等に利用されます。

マルウェアは、Webサイトにアクセスしてファイルをダウンロードします。このファイルは、不正プログラムがアップデートされた自身のコピーをダウンロードする場所に関する情報を含んでいます。

*/my.ebay.com/*CurrentPage=MyeBayPersonalInfo*

*.ebay.com/*eBayISAPI.dll?*

https://www.us.hsbc.com/*

https://www.e-gold.com/acct/li.asp

https://online.wellsfargo.com/das/cgi-bin/session.cgi*

https://www.wellsfargo.com/*

https://online.wellsfargo.com/login*

https://online.wellsfargo.com/signon*

https://www.paypal.com/*/webscr?cmd=_account

https://www.paypal.com/*/webscr?cmd=_login-done*

https://www#.usbank.com/internetBanking/LoginRouter

https://easyweb*.tdcanadatrust.com/servlet/*FinancialSummaryServlet*

https://www#.citizensbankonline.com/*/index-wait.jsp

https://onlinebanking.nationalcity.com/OLB/secure/AccountList.aspx

https://www.suntrust.com/portal/server.pt*parentname=Login*

https://www.53.com/servlet/efsonline/index.html*

https://web.da-us.citibank.com/*BS_Id=MemberHomepage*

https://onlineeast#.bankofamerica.com/cgi-bin/ias/*/GotoWelcome

https://online.wamu.com/Servicing/Servicing.aspx?targetPage=AccountSummary

https://onlinebanking#.wachovia.com/myAccounts.aspx?referrer=authService

https://resources.chase.com/MyAccounts.aspx

https://bancaonline.openbank.es/servlet/PProxy?*

https://extranet.banesto.es/*/loginParticulares.htm

https://banesnet.banesto.es/*/loginEmpresas.htm

https://empresas.gruposantander.es/WebEmpresas/servlet/webempresas.servlets.*

https://www.gruposantander.es/bog/sbi*?ptns=acceso*

https://www.bbvanetoffice.com/local_bdno/login_bbvanetoffice.html

https://www.bancajaproximaempresas.com/ControlEmpresas*

https://www.citibank.de*

https://probanking.procreditbank.bg/main/main.asp*

https://ibank.internationalbanking.barclays.com/logon/icebapplication*

https://ibank.barclays.co.uk/olb/x/LoginMember.do

https://online-offshore.lloydstsb.com/customer.ibc

https://online-business.lloydstsb.co.uk/customer.ibc

https://www.dab-bank.com*

http://www.hsbc.co.uk/1/2/personal/internet-banking*

https://www.nwolb.com/Login.aspx*

https://home.ybonline.co.uk/login.html*

https://home.ybonline.co.uk/login.html*

https://home.cbonline.co.uk/login.html*

https://welcome27.co-operativebank.co.uk/CBIBSWeb/start.do

https://welcome23.smile.co.uk/SmileWeb/start.do

https://www.halifax-online.co.uk/_mem_bin/formslogin.asp*

https://www2.bancopopular.es/AppBPE/servlet/servin*

https://www.bancoherrero.com/es/*

https://pastornetparticulares.bancopastor.es/SrPd*

https://intelvia.cajamurcia.es/2043/entrada/01entradaencrip.htm

https://www.caja-granada.es/cgi-bin/INclient_2031

https://www.fibancmediolanum.es/BasePage.aspx*

https://carnet.cajarioja.es/banca3/tx0011/0011.jsp

https://www.cajalaboral.com/home/acceso.asp

https://www.cajasoldirecto.es/2106/*

https://www.clavenet.net/cgi-bin/INclient_7054

https://www.cajavital.es/Appserver/vitalnet*

https://banca.cajaen.es/Jaen/INclient.jsp

https://www.cajadeavila.es/cgi-bin/INclient_6094

https://www.caixatarragona.es/esp/sec_1/oficinacodigo.jsp

http://caixasabadell.net/banca2/tx0011/0011.jsp

https://www.caixaontinyent.es/cgi-bin/INclient_2045

https://www.caixalaietana.es/cgi-bin/INclient_2042

https://www.cajacirculo.es/ISMC/Circulo/acceso.jsp

https://areasegura.banif.es/bog/bogbsn*

https://www.bgnetplus.com/niloinet/login.jsp

https://www.caixagirona.es/cgi-bin/INclient_2030*

https://www.unicaja.es/PortalServlet*

https://www.sabadellatlantico.com/es/*

https://oi.cajamadrid.es/CajaMadrid/oi/pt_oi/Login/login

https://www.cajabadajoz.es/cgi-bin/INclient_6010*

https://extranet.banesto.es/npage/OtrosLogin/LoginIBanesto.htm

https://montevia.elmonte.es/cgi-bin/INclient_2098*

https://www.cajacanarias.es/cgi-bin/INclient_6065

https://oie.cajamadridempresas.es/CajaMadrid/oie/pt_oie/Login/login_oie_1

https://www.gruppocarige.it/grps/vbank/jsp/login.jsp

https://bancopostaonline.poste.it/bpol/bancoposta/formslogin.asp

https://privati.internetbanking.bancaintesa.it/sm/login/IN/box_login.jsp

https://hb.quiubi.it/newSSO/x11logon.htm

https://www.iwbank.it/private/index_pub.jhtml*

https://web.secservizi.it/siteminderagent/forms/login.fcc

https://www.isideonline.it/relaxbanking/sso.Login*

https://scrigno.popso.it*

https://www.halifax-online.co.uk/MyAccounts/MyAccounts.aspx*

https://ibank.barclays.co.uk/olb/x/LoginMember.do

https://www.halifax-online.co.uk/_mem_bin/*

https://online*.lloydstsb.co.uk/logon.ibc

https://home.ybonline.co.uk/ral/loginmgr/*

https://www.mybank.alliance-leicester.co.uk/login/*

https://www.ebank.hsbc.co.uk/main/IBLogon.jsp

https://www.isbank.com.tr/Internet/ControlLoader.aspx*

https://light.webmoney.ru/default.aspx

https://olb2.nationet.com/MyAccounts/frame_MyAccounts_WP2.asp*

https://www*.banking.first-direct.com/1/2/*

https://cardsonline-consumer.com/RBSG_Consumer/VerifyLogin.do

*//money.yandex.ru/index.xml

*//money.yandex.ru/

*//mail.yandex.ru/index.xml

*//mail.yandex.ru/

https://www.rbsdigital.com/Login.asp*

https://banking*.anz.com/*

https://olb2.nationet.com/signon/signon*

https://www.nwolb.com/Login.asp*

https://home2ae.cd.citibank.ae/CappWebAppAE/producttwo/capp/action/signoncq.do

https://internetbanking.aib.ie/hb1/roi/signon

https://lot-port.bcs.ru/names.nsf?#ogin* " *wellsfargo.com/*

https://web.da-us.citibank.com/cgi-bin/citifi/portal/l/l.do

https://web.da-us.citibank.com/cgi-bin/citifi/portal/l/autherror.do*

https://rupay.com/index.php

https://light.webmoney.ru/default.aspx & *banquepopulaire.fr/*

http://*.osmp.ru/

https://www.uno-e.com/local_bdnt_unoe/Login_unoe2.html

https://www.ccm.es/cgi-bin/INclient_6105

インストール

マルウェアは、%SYSTEM%フォルダに自身のコピーを作成し、作成したコピーの末尾に判別不可能なコードを追記します。これにより、検出を避けます。作成したコピーには、以下のファイル名が使われます。

sdra64.exe

マルウェアは、以下の無害なファイルを作成します。

%System%lowseclocal.ds

%System%lowsecuser.ds

%System%lowsecuser.ds.lll

その他

マルウェアは、以下のプロセスに組み込まれシステムのプロセスに常駐します。

SVCHOST.EXE

WINLOGON.EXE

マルウェアは、'Outpost Personal Firewall' および 'ZoneLabs Firewall Client' に関連した以下のプロセスの存在を確認します。

outpost.exe
zlclient.exe

マルウェアは、上記の何れかのプロセスの存在を確認すると、プロセスを終了します。これにより、プロセスの実行が中断されます。また、ルートキット機能を備えており、自身に関連したプロセスおよびファイルを隠匿し、ユーザによる検出および削除を避けます。

他のシステム変更

マルウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionNetwork
UID={Computer name}_{Random numbers}

マルウェアは、以下のレジストリ値を変更し、Windowsのファイアウォールを無効にします。$$DATA_REGISTRY$$

情報収集

マルウェアは、HTTP POST を介して収集された情報を以下のURLに送信します。

http://{BLOCKED}nahui.cn/game.php

マルウェアは、以下のファイル内に収集した情報を保存します。

%System%lowsecuser.ds

ハッシュ値情報

マルウェアは、以下のSHA1ハッシュ値を含んでいます

46c98d15425041d45cce11cf6c29b0c96167c578

マルウェアは、以下のWebサイトからダウンロードしたファイルとして、コンピュータに侵入します。

対応方法

対応検索エンジン: 8.900

VSAPI パターンファイル: 7.424.01

VSAPI パターンリリース日: 0424年7月1日

VSAPI パターンリリース日: 7.424.01

手順 1
Windows ME および XPユーザは、パソコンから不正プログラムもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2
スタートアップディスク、または、回復コンソールを使用し、「TSPY_ZBOT.BFZ」として検出されたファイルを確認し削除します。手順=

マルウェアのファイルの確認および削除：

• Windows 98およびME の場合

最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用いてウイルス検索を実行し、検出したファイル名を確認し、メモ等をとってください。
[スタート]-[設定]-[コントロールパネル]をクリックします。
[コントロールパネル]で[アプリケーションの追加と削除]を開き、[スタートアップディスク]のタブをクリックします。
フロッピーディスクを挿入し、WindowsのインストールCDを挿入後、[ディスクの作成]をクリックしてください。
（註：これによりフロッピーディスク内のデータはすべて削除されます。）
スタートアップディスクモードでコンピュータを再起動してください。
「コマンドプロンプト」に、上記で確認したマルウェアのファイルが検出されたフォルダ名を入力します。
以下のコマンドを入力し、[Enter]を押します。
DEL ＜上記で確認したマルウェアのファイル名＞

※DEL と＜上記で確認したマルウェアのファイル名＞の間に半角スペースを入れてください。

コマンドプロンプトに EXIT と入力し、コンピュータを再起動してください。

• Windows NT、2000、XP、Server 2003 および Vistaの場合

最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用いてウイルス検索を実行し、検出したマルウェアのパス名およびファイル名を確認し、メモ等をとってください。
Windows のインストールCDを使用して、コンピュータを再起動します。
[セットアップへようこそ] 画面で、修復の R キーを押します。
キーボードを選択します。
修復する Windows がインストールされているドライブを選択します（通常は 1 を選択します）。
管理者のパスワードを入力し、Enter キーを押します。管理者パスワードがない場合は、何も入力せずに Enter キーを押します。
コマンドプロンプトに、上記で確認した不正プログラムが検出されたフォルダ名を入力します。
以下のコマンドを入力し、Enter キーを押します。
DEL ＜上記で確認したマルウェアのパス名およびファイル名＞
※DEL と＜上記で確認したマルウェアのパス名およびファイル名＞の間に半角スペースを入れてください。
同様の方法で、上記で確認した不正プログラムのファイルをすべて削除してください。
コマンドプロンプトに EXIT と入力し、コンピュータを再起動してください。

手順 3
変更されたレジストリ値を修正します。

[ 詳細 ]

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- From: Userinit = %System%\userinit.exe, %System%\sdra64.exe,
  To: Userinit = %System%\userinit.exe,

このマルウェアが変更したレジストリ値の修正：

「レジストリエディタ」を起動します。
[スタート]-[ファイル名を指定して実行]を選択し、'regedit' と入力し、[OK]をクリックします。
'regedit' は半角英数字で入力する必要があります（大文字／小文字は区別されません）。
レジストリエディタの左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Winlogon
右側のパネルで以下のレジストリ値を検索します。
Userinit = %System%\userinit.exe, %System%\sdra64.exe,
[値の名前]上で右クリックし、[修正]または[変更]を選択します。[文字列の編集]ダイアログボックスが表示されたら、[値のデータ]を以下に変更します。
Userinit = %System%\userinit.exe,
レジストリエディタを閉じます。

手順 4
このレジストリ値を削除します。ここでは、マルウェアにより追加されたレジストリ値を削除します。

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network
- UID = {Computer name}_{Random numbers}
In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
- EnableFirewall = 0

このマルウェアが追加したレジストリ値の削除：

「レジストリエディタ」を起動します。
[スタート]-[ファイル名を指定して実行]を選択し、'regedit' と入力し、[OK]をクリックします。
'regedit' は半角英数字で入力する必要があります（大文字／小文字は区別されません）。
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Network
右側のパネルで以下のレジストリ値を検索し、削除します。
UID = {Computer name}_{Random numbers}
「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>SharedAccess>Parameters>FirewallPolicy>StandardProfile
右側のパネルで以下のレジストリ値を検索し、削除します。
EnableFirewall = 0
「レジストリエディタ」を閉じます。

手順 5
以下のフォルダを検索し削除します。ここでは、このマルウェアが作成したフォルダを検索し、削除します。 [詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。 %System%lowsec

マルウェアのフォルダの削除：

[スタート]-[検索]-[ファイルとフォルダすべて]を選択します。
註：Windowsのバージョンによって異なります。
[ファイル名のすべてまたは一部]に、以下のフォルダ名を入力してください。
%System%lowsec
[探す場所]の一覧から[マイコンピュータ]を選択し、[検索]を押します。
検索が終了したら、フォルダを選択し、SHIFT+DELETEを押します。これにより、フォルダが完全に削除されます。

手順 6
最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TSPY_ZBOT.BFZ」と検出したファイルはすべて削除してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。ただし、念のため、隔離されたファイルを削除してください。詳しくは、こちらをご確認下さい。

ご利用はいかがでしたか？　アンケートにご協力ください