TSPY_ZBOT.CDC

2012年10月8日

解析者: Kathleen Notario

プラットフォーム:

Windows 2000, XP, Server 2003

危険度:

感染確認数:

システムへの影響:

情報漏えい:

マルウェアタイプ: スパイウェア
破壊活動の有無: なし
暗号化: なし
感染報告の有無: はい

概要

スパイウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。

詳細

ファイルサイズ 156,160 bytes

タイプ PE

メモリ常駐はい

発見日 2010年11月29日

ペイロードファイルの作成

侵入方法

スパイウェアは、以下の悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

http://{BLOCKED}t.net:81/sx14nx7/fda.exe

インストール

スパイウェアは、以下のフォルダを追加します。

%Application Data%\{random1}
%Application Data%\{random2}

(註：%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\＜ユーザ名＞\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Application Data" です。)

スパイウェアは、以下のプロセスに自身を組み込み、システムのプロセスに常駐します。

dwm.exe
rdpclip.exe
ctfmon.exe
wscntfy.exe
taskeng.exe
taskhost.exe

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random CLSID} = %Application Data%\{random1}\{random}.exe

他のシステム変更

スパイウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
{random}

作成活動

スパイウェアは、以下のファイルを作成します。

%Application Data%\{random1}\{random}.exe
%Application Data%\{random2}\{random}.{random}

ダウンロード活動

スパイウェアは、以下のWebサイトにアクセスして自身の環境設定ファイルをダウンロードします。

http://{BLOCKED}t.net:81/sx14nx7/fda.bin

情報漏えい

スパイウェアは、Webサイトにアクセスしてファイルをダウンロードします。ダウンロードされたファイルには、自身のコピーの更新版ファイルのダウンロード元および収集した情報の送信先が記載されています。なお、上記でダウンロードされたファイルは、環境設定ファイルで、このスパイウェアが情報収集の際に対象とする以下の金融関連Webサイトのリストを含んでいます。

*.citibank.com/US/JPS/portal/Index.do*
*.citibank.com/US/JRS/portal/accountSummary.do
*login.live.com*
*login.yahoo.com*
*online.wellsfargo.com/das/cgi-bin/session.cgi*
*online.wellsfargo.com/login*
*wellsfargo.com/
*www.bankofamerica.com*
*www.bankofamerica.com/*
htt*://www.citi*com/*
http*chase.com/
http://www.facebook.com/index.ph*
https://*.bankofamerica.com/cgi-bin/ias/*
https://*.chase.com/MyAccounts.aspx*
https://*chase.com/*
https://banking.chase.com/.*
https://banking.chase.com/AccountActivity/AccountDetails.aspx?AI=*
https://businessonline.tdbank.com/CorporateBankingWeb/Core/CustomerService/CustomerService.aspx
https://businessonline.tdbank.com/CorporateBankingWeb/Core/CustomerService/ModifySecurityQuestions.aspx
https://businessonline.tdbank.com/CorporateBankingWeb/Core/InformationReporting/AccountPortfolio.aspx
https://chaseonline.chase.com/MyAccounts.aspx
https://chaseonline.chase.com/images//ChaseNew.gif
https://chaseonline.chase.com/images//logoff.gif
https://chaseonline.chase.com/images/bolprogress.gif
https://chaseonline.chase.com/secure/ServiceActivation/LOBServiceController.aspx?_context=wire
https://chaseonline.chase.com/secure/serviceactivation/confirmation/confirm.aspx
https://chaseonline.chase.com/secure/serviceactivation/confirmation/error.aspx
https://chaseonline.chase.com/secure/serviceactivation/legalagreements/legalagreement.aspx
https://chaseonline.chase.com/secure/serviceactivation/primaryaccount/primaryaccount.aspx
https://chaseonline.chase.com/secure/serviceactivation/secauth/otpdeliverymode.aspx
https://chaseonline.chase.com/secure/serviceactivation/secauth/otpdeliverymodeconfirmation.aspx
https://chaseonline.chase.com/secure/serviceactivation/secauth/secauthinformation.aspx
https://chaseonline.chase.com/secure/serviceactivation/secauth/validateotp.aspx
https://online.citibank.com/JRS/cm/img/top_nav/logo.gif
https://online.citibank.com/US/*/portal/Home.do*
https://online.citibank.com/US/*/portal/menu.do*
https://online.wamu.com/Servicing/Servicing.aspx?*
https://online.wellsfargo.com/das/cgi-bin/session.cgi*
https://onlineeast#.bankofamerica.com/cgi-bin/ias/*/CustomerServiceMenuEntryPoint?custAction=75
https://onlineeast#.bankofamerica.com/cgi-bin/ias/*/GotoCustomerServiceMenu
https://onlineeast#.bankofamerica.com/cgi-bin/ias/*/GotoWelcome
https://onlineeast1.bankofamerica.com/cmsContent/en_US/TransferFunds/Model/WhyDoWeAskForThisInfoPopUp.html
https://payments.chase.com/Wire/wireaddconfirm.aspx
https://payments.chase.com/Wire/wireaddform2.asp*
https://payments.chase.com/Wire/wireaddverify.aspx
https://payments.chase.com/Wire/wirerecipientaddconfirm.aspx
https://payments.chase.com/Wire/wirerecipientaddform2.aspx
https://payments.chase.com/Wire/wirerecipientaddroutingnumber.aspx
https://payments.chase.com/Wire/wirerecipientaddverify.aspx
https://sitekey.bankofamerica.com/sas-docs/images/clr.gif
https://sitekey.bankofamerica.com/sas/challengeQandA.do
https://sitekey.bankofamerica.com/sas/maint.do
https://sitekey.bankofamerica.com/sas/sas-docs/js/commonscript.js
https://sitekey.bankofamerica.com/sas/signonSetup.do
https://stmts.chase.com/StmtList.aspx?*
https://www.ibsnetaccess.com/NASApp/NetAccess/LoginValidation
https://www.wellsfargo.com/help/faqs/signon_faqs

スパイウェアは、以下の銀行もしくは金融機関で利用される個人情報を収集します。

Bank of America
Chase
Citibank
Facebook
TD Bank
Washington Mutual
Wells Fargo
Yahoo

情報収集

スパイウェアは、HTTPポストを介して、収集した情報を以下のURLに送信します。

http://{BLOCKED}s.net:81/zxaz437.php

ハッシュ値情報

スパイウェアは、以下のMD5ハッシュ値を含んでいます。

416bd6a2390c9c713e192df9a7ce47a4

スパイウェアは、以下のSHA1ハッシュ値を含んでいます

d087225849283555bfc16bf524ee90ace6ad9c71

対応方法

対応検索エンジン: 8.900

VSAPI パターンファイル: currently processing

手順 1

Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

回復コンソールを使用して、TSPY_ZBOT.CDC として検出されるファイルを確認し、削除します。

[ 詳細 ]

手順 3

このレジストリ値を削除します。

[ 詳細 ]

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- {random CLSID}=%Application Data%\{random1}\{random}.exe

手順 4

コンピュータを通常モードで再起動し、最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、「TSPY_ZBOT.CDC」と検出したファイルの検索を実行してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 5

最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TSPY_ZBOT.CDC」と検出したファイルはすべて削除してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

ご利用はいかがでしたか？　アンケートにご協力ください

TSPY_ZBOT.CDC

概要

詳細

対応方法

関連URL