TSPY_ZBOT.CAQ
Windows 2000, XP, Server 2003
- マルウェアタイプ: スパイウェア
- 破壊活動の有無: なし
- 暗号化: はい
- 感染報告の有無: はい
概要
スパイウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。
詳細
侵入方法
スパイウェアは、以下のリモートサイトからダウンロードされ、コンピュータに侵入します。
- http://{BLOCKED}chme.ru/upload/update.exe
インストール
スパイウェアは、以下のフォルダを追加します。
- %Application Data%\{random folder name 1}
- %Application Data%\{random folder name 2}
(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。)
スパイウェアは、以下のプロセスに自身を組み込み、システムのプロセスに常駐します。
- explorer.exe
- taskhost.exe
- taskeng.exe
- Dwm.exe
- wscntfy.exe
- ctfmon.exe
- rdpclip.exe
自動実行方法
スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{GUID} = %Application Data%\{random folder name 1}\{random file name}.exe
スパイウェアは、以下のファイルを作成します。
- %Application Data%\{random folder name 1}\{random file name}.exe - copy of itself
- %Application Data%\{random folder name 2}\{random file name} - contains encrypted stolen data
(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。)
他のシステム変更
スパイウェアは、インストールの過程で、以下のレジストリキーを追加します。
HKEY_CURRENT_USER\Software\Microsoft\
{random characters}
スパイウェアは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Windows%\EXPLORER.EXE = %Windows%\EXPLORER.EXE:*:Enabled:Windows Explorer
情報漏えい
スパイウェアは、感染したコンピュータ上でInternet Explorer(IE)の使用状況を監視します。スパイウェアは、特にIEのアドレスバーまたはタイトルバー情報を監視しますが、ユーザが銀行関連Webサイトを閲覧しそのサイトのアドレスバーまたはタイトルバーに以下の文字列が含まれていた場合、正規Webサイトを装った偽のログインページを作成します。
- *bancomediolanum.es*
- *bancomediolanum.es*2011*
- *caixatarragona.es/*oficinacodigo.jsp*
- *cajacanariasonline.cajacanarias.es*
- *e-pueyo.com*centro*
- *https://lineacb.cajabadajoz.es/BEWeb/*/inicio_identificacion.action*
- *inversis.com*
- *online.halifax.es/main*
- *ruralvia.com*
- http://datainfo.es/templates/Art/img/navi/images/bancamarch.php
- http://datainfo.es/templates/Art/img/navi/images/bancocaixageral.php
- http://datainfo.es/templates/Art/img/navi/images/bankoanet.php
- http://datainfo.es/templates/Art/img/navi/images/bankpymenet.php
- http://datainfo.es/templates/Art/img/navi/images/bk.php
- http://datainfo.es/templates/Art/img/navi/images/cai.php
- http://datainfo.es/templates/Art/img/navi/images/caixalaietana.php
- http://datainfo.es/templates/Art/img/navi/images/caixamanlleu.php
- http://datainfo.es/templates/Art/img/navi/images/cajacirculo.php
- http://datainfo.es/templates/Art/img/navi/images/cajaduero.php
- http://datainfo.es/templates/Art/img/navi/images/cajasegovia.php
- http://datainfo.es/templates/Art/img/navi/images/cam.php
- http://datainfo.es/templates/Art/img/navi/images/ccm.php
- http://datainfo.es/templates/Art/img/navi/images/cjgranada.php
- http://datainfo.es/templates/Art/img/navi/images/cxped.php
- http://datainfo.es/templates/Art/img/navi/images/db.php
- http://datainfo.es/templates/Art/img/navi/images/ingeniero.php
- http://datainfo.es/templates/Art/img/navi/images/lacan.php
- http://datainfo.es/templates/Art/img/navi/images/rur.php
- http://datainfo.es/templates/Art/img/navi/images/san.php
- http://datainfo.es/templates/Art/img/navi/images/solbank.php
- http://datainfo.es/templates/Art/img/navi/images/val.php
- https://*.caja-granada.es*
- https://*activa24.ccm.es*
- https://*bancae.caixapenedes.com*
- https://*bancocaixageral.es*
- https://*bancodevalencia.es*
- https://*bankoanet.com/*
- https://*bankpymenet.com*
- https://*barclays.es*
- https://*bbvanetoffice.com*
- https://*bbvanetoffice.com/DFAUTH/slod/DFServlet*
- https://*bbvanetoffice.com/local_bdno/login_bbvanetoffice.html
- https://*cai.es*
- https://*caionline.cai.es*
- https://*caixalaietana.es*
- https://*caixatarragona.es*
- https://*caja-granada.es*
- https://*caja-ingenieros.es*
- https://*cajacanariasonline.cajacanarias.es*
- https://*cajacirculo.es*
- https://*cajaduero.es*
- https://*cajaelectronica.cajadeavila.es*
- https://*cajarioja.es*
- https://*cajasegovia.es*
- https://*ccm.es*
- https://*ccm.es/*
- https://*deutsche-bank.es*
- https://*deutsche-bank.es/*
- https://*gruposantander.es/bog/sbi*
- https://*lacajadecanarias.es*
- https://*lineacb.cajabadajoz.es*
- https://*mediolanum.es*
- https://*oficina24hores.caixagirona.es*
- https://*ruralvia.com/isum/Main*
- https://*sanostra.es*
- https://*servicash.cajaextremadura.es*
- https://*solbank.com*
- https://*telematic.caixamanlleu.es*
- https://*uno-e.com/*
- https://*vitalnet.cajavital.es*
- https://banca.cajaguadalajara.biz/ISMC/Guadalajara/INclient.jsp*
- https://be.bancogallego.es/inithome*
- https://cajaelectronica.caja-granada.es*
- https://net.kutxa.net/*/tmpl/es/loginkn*
- https://online.halifax.es/main*
- https://seguro.cam.es/camd/SvlLoginCAM*
- https://telemarch.bancamarch.es/*
- https://vitalnet.cajavital.es/BEWeb/*/inicio_identificacion.action*
- https://www.iknet.iparkutxa.es/intro*
スパイウェアは、以下のWebサイトにアクセスし、自身の環境設定ファイルをダウンロードします。
- http://{BLOCKED}rrel.net/cfg/9sdffreebarrel.jpg
- http://{BLOCKED}beer.com/cfg/99sdsupplybeer.jpg
- http://{BLOCKED}eer.com/cfg/23sf3issuebeer.jpg
- http://{BLOCKED}eronline.net/cfg/933fafreebeeronline.jpg
- http://{BLOCKED}brecords.ru/cfg/lks34bestwebrecords.jpg
スパイウェアは、以下の銀行もしくは金融機関で利用される個人情報を収集します。
- BBVA
- Barclays
- CCM
- Caixa Girona
- Caixa Laietana
- Caixa Tarragona
- Caja Badajoz
- Caja Canarias
- Caja Circulo
- Caja Granada
- Caja Vital
- Caja de Avila
- Cajarioja
- Kutxanet
- Santander
- Uno-E
情報の送信先
収集された情報は、以下のWebサイトにアップロードされます。
- http://{BLOCKED}chme.ru/more/contacts.php
ハッシュ値情報
スパイウェアは、以下のMD5ハッシュ値を含んでいます。
- 123316184c1c2cdd67c7e5f0863ea12b
スパイウェアは、以下のSHA1ハッシュ値を含んでいます
- 03b8137a23c3111348173446c434770d3b03ced4
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
Windowsをセーフモードで再起動します。
手順 3
以下のフォルダを検索し削除します。
- %Application Data%\{random folder name 1}
- %Application Data%\{random folder name 2}
手順 4
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- {GUID} = %Application Data%\{random folder name 1}\{random file name}.exe
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
- %Windows%\EXPLORER.EXE = %Windows%\EXPLORER.EXE:*:Enabled:Windows Explorer
- In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\PhishingFilter
- Enabled = 0
- EnabledV8 = 0
手順 5
このレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft
- {random characters}
手順 6
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TSPY_ZBOT.CAQ」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください