TSPY_ZBOT.CFS
2012年10月8日
プラットフォーム:
Windows 98, ME, NT, 2000, XP, Server 2003
危険度:
感染確認数:
システムへの影響:
情報漏えい:
- マルウェアタイプ: スパイウェア
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
スパイウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。 ユーザが監視サイトのいずれかにアクセスすると、スパイウェアは、キー入力操作情報を収集します。 スパイウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。
スパイウェアは、銀行または金融関連機関のリストから情報を収集します。
詳細
ファイルサイズ 147,968 bytes
タイプ EXE
メモリ常駐 はい
感染ポイント
スパイウェアは、以下のWebサイトからダウンロードされたファイルとして、コンピュータに侵入します。
- http://91.216.215.77/uk/win7.exe
インストール
スパイウェアは、以下のフォルダを作成します。
- %Application Data%\{random1}
- %Application Data%\{random2}
(註:%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\<ユーザ名>\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Application Data" です。)
自動実行方法
スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{3AD5097F-CF7F-65FA-D0CD-6E7903491FE9} = %Application Data%\{random1}\{random}.exe
他のシステム変更
スパイウェアは、以下のレジストリキーを追加します。
HKEY_CURRENT_USER\Software\Microsoft\
{random}
{Default} =
作成活動
スパイウェアは、以下のファイルを作成します。
- %Application Data%\{random1}\{random}.exe
- %Application Data%\{random2}\{random}.imd
(註:%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\<ユーザ名>\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Application Data" です。)
情報漏えい
スパイウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。
スパイウェアは、以下のWebサイトにアクセスし、自身の環境設定ファイルをダウンロードします。
- http://91.216.215.77/uk/denwer.doc
ユーザが監視サイトのいずれかにアクセスすると、スパイウェアは、キー入力操作情報を収集します。
スパイウェアは、Webサイトにアクセスしてファイルをダウンロードします。ダウンロードされたファイルには、自身のコピーの更新版ファイルのダウンロード元および収集した情報の送信先が記載されています。なお、上記でダウンロードされたファイルは、環境設定ファイルで、このスパイウェアが情報収集の際に対象とする以下の金融関連Webサイトのリストを含んでいます。
- *.banking.firstdirect.com/1/2/!ut/p/kcxml/*
- *.banking.firstdirect.com/1/2/!ut/p/kcxml/04_Sj9SPykssy*
- *.ebay.*/*eBayISAPI.dll?*
- *.hsbc.co.uk/1/2/!ut/p/kcxml*QS_cmd_NewThirdPartyPaymentCommand*
- *.hsbc.co.uk/1/2/*idv.CustomerMigration
- *.hsbc.co.uk/1/2/personal*
- *.hsbc.co.uk/1/2/personal/internet-banking/payment*
- *.hsbc.co.uk/1/2/personal/internet-banking/payments*
- *.hsbc.co.uk/1/2/personal/internet-banking/recent-transactio*
- *.partnerandaffinitycards.co.uk/servicing/Logon.aspx?*
- */CapitalOne_Consumer/*
- */my.ebay.*/*
- */my.ebay.*/*CurrentPage=MyeBayPersonalInfo*
- *commissioncontrol.net*
- *coventrybuildingsociety.co.uk*
- *mybank.alliance-leicester.co.uk*
- *mybank.alliance-leicester.co.uk/move_money/*MM*.asp*
- *mybank.alliance-leicester.co.uk/view_accounts/VA*
- *mybank.alliance-leicester.co.uk/your_payees/YP1point1a.asp*
- *npbs.co.uk*
- *nwolb.com/*
- *nwolb.com//OneOffPaymentsCreatePayee.aspx
- *nwolb.com/AccountSummary.aspx
- *nwolb.com/OneOffPaymentsCreateBillPayee.aspx*
- *nwolb.com/OneOffPaymentsCreatePayment.aspx*
- *nwolb.com/OneOffPaymentsPayeeList.aspx
- *nwolb.com/StatementsFixedPeriod.aspx*
- *nwolb.com/login.aspx*
- *rbsdigital.com/*
- *rbsdigital.com//OneOffPaymentsCreatePayee.aspx
- *rbsdigital.com/AccountSummary.aspx
- *rbsdigital.com/OneOffPaymentsCreateBillPayee.aspx*
- *rbsdigital.com/OneOffPaymentsCreatePayment.aspx*
- *rbsdigital.com/OneOffPaymentsPayeeList.aspx
- *rbsdigital.com/StatementsFixedPeriod.aspx*
- *rbsdigital.com/login.aspx*
- *tuxedomoney.com*
- *www.hsbc.co.uk/1/2/!ut/p/kcxml*
- http*://*alliance-leicester.co.uk*
- http*://*cbonline.co.uk*
- http*://*co-operativebank.co.uk*
- http*://*lloydstsb.co.uk*
- http*://*smile.co.uk*
- http*://*ybonline.co.uk*
- http://brclscounter.com/all/balance.php?bank=alliance&action=get&login=
- http://feedback.ebay.ca/ws/eBayISAPI.dll?ViewFeedback&*
- http://feedback.ebay.co.uk/ws/eBayISAPI.dll?ViewFeedback&*
- http://feedback.ebay.com/ws/eBayISAPI.dll?ViewFeedback&*
- http://feedback.ebay.de/ws/eBayISAPI.dll?ViewFeedback&*
- http://feedback.ebay.es/ws/eBayISAPI.dll?ViewFeedback&*
- http://feedback.ebay.fr/ws/eBayISAPI.dll?ViewFeedback&*
- http://feedback.ebay.ie/ws/eBayISAPI.dll?ViewFeedback&*
- http://feedback.ebay.it/ws/eBayISAPI.dll?ViewFeedback&*
- http://feedback.ebay.nl/ws/eBayISAPI.dll?ViewFeedback&*
- http://feedback.ebaySummary
- http://smile.co.uk
- http://www.alliance-leicester.co.uk/internetbanking/index.asp?page=home&ct=primarymenu
- http://www.nativespeakers.ru/application/loading.gif
- http://www.natweststockbrokers.co.uk/securehelp/loginsecurity.htm
- http://www.natweststockbrokers.co.uk/securehelp/loginsecurity.htm#savetime
- http://www.rocketdivision.com/img/clients/halifax_logo.png
- http://xuliganusika.com/win7/_li/clear.php
- http://xuliganusika.com/win7/_li/get.php
- http://xuliganusika.com/win7/_li/log.php
- http://xuliganusika.com/win7/_li/settrans.php
- https://
- https://*.banking.first-direct.com/1/2/balances*
- https://*abbeynational.co.uk*
- https://*ibank.internationalbanking.barclays.com/*
- https://*ulsterbankanytimebanking.*/login.aspx*
- https://*ulsterbankanytimebanking.co.uk/*
- https://ajax.googleapis.com/ajax/libs/jquery/1.3.2/jquery.min.js
- https://ajax.googleapis.com/ajax/libs/jqueryui/1.7.1/jquery-ui.min.js
- https://ajax.googleapis.com/ajax/libs/jqueryui/1.7.1/themes/blitzer/ui.all.css
- https://ajax.googleapis.com/ajax/libs/jqueryui/1.7.1/themes/smoothness/ui.all.css
- https://banking.halifax-online.co.uk/Servicing/App/ViewStatement.asp*
- https://cardservicing.tescofinance.com/RBSG_Consumer/UserLogin.do*
- https://cardservicing.tescofinance.com/RBSG_Consumer/VerifyLogin.do*
- https://cardsonline-consumer.com/RBSG_Consumer/*
- https://database.acornmediauk.com/*
- https://gbsrv.com/bizdfbsdtrwert/icq.php?table=
- https://gbsrv.com/bizdfbsdtrwert/in.php
- https://gbsrv.com/bizdfbsdtrwert/in.php?set=1&did=
- https://gbsrv.com/boris/icq.php?table=
- https://gbsrv.com/boris/in.php
- https://gbsrv.com/boris/in.php?set=1&did=
- https://gbsrv.com/dfbsdtrwert/icq.php?table=
- https://gbsrv.com/dfbsdtrwert/in.php
- https://gbsrv.com/dfbsdtrwert/in.php?set=1&did=
- https://gbsrv.com/hf/icq.php?dr=
- https://gbsrv.com/hf/in.php
- https://gbsrv.com/slkdfjasdbfhuindasdf/icq.php?table=
- https://gbsrv.com/slkdfjasdbfhuindasdf/in.php
- https://gbsrv.com/slkdfjasdbfhuindasdf/in.php?id=
- https://home.cbonline.co.uk/ralu/loginmgr/loginQuestion.ctl
- https://home.cbonline.co.uk/ralu/loginmgr/loginSetup.ctl*
- https://home.cbonline.co.uk/ralu/loginmgr/partialPassword.ctl
- https://home.cbonline.co.uk/ralu/loginmgr/partialPassword.ctl*
- https://home.ybonline.co.uk/ralu/loginmgr/loginQuestion.ctl
- https://home.ybonline.co.uk/ralu/loginmgr/loginSetup.ctl*
- https://home.ybonline.co.uk/ralu/loginmgr/partialPassword.ctl
- https://home.ybonline.co.uk/ralu/loginmgr/partialPassword.ctl*
- https://ibank.barclays.co.uk/*
- https://ibank.barclays.co.uk/olb/
- https://ibank.barclays.co.uk/olb/*/LoginTFA.do
- https://ibank.barclays.co.uk/olb/*/NewPayee.do
- https://ibank.barclays.co.uk/olb/*/NewPaymentSuccess.do
- https://ibank.barclays.co.uk/olb/*/PayBill2.do
- https://ibank.barclays.co.uk/olb/*/PayBill3.do
- https://ibank.barclays.co.uk/olb/*/PayBill3a.do
- https://ibank.barclays.co.uk/olb/*/PersonalFinancialSummary.do?action=*
- https://ibank.barclays.co.uk/olb/*/SelectPaymentAccount.do
- https://ibank.barclays.co.uk/olb/*/SelectPaymentAccount.do?action=New+Payment||Pay+Someone
- https://ibank.barclays.co.uk/olb/*/Statement*
- https://ibank.cahoot.*/servlet/com.aquarius.security.authentication.servlet.LogonServlet*
- https://ibank.cahoot.com/*
- https://ibank.internationalbanking.barclays.com/logon*
- https://my.if.com/*
- https://my.if.com/PlanReviewAct/plan.asp*
- https://my.if.com/_mem_bin/formslogin.asp*
- https://myonlineaccounts*.abbeynational.co.uk/CentralLogonWeb/MyPersonalHomepage*
- https://myonlineaccounts2.abbeynational.co.uk/ffStatic/images/abbey_blue_logo.gif
- https://myonlineaccounts3.abbeynational.co.uk/GPCC_ENS/BtoChannelDriver.ssobto*
- https://olb2.nationet.com*
- https://olb2.nationet.com/MyAccounts/*
- https://olb2.nationet.com/images/nbslogo_dec08.gif
- https://online-business.lloydstsb.co.uk/customer.ibc*
- https://online-business.lloydstsb.co.uk/logon.ibc
- https://online-business.lloydstsb.co.uk/miheld.ibc
- https://online-offshore.lloydstsb.com/*
- https://online.islamic-bank.com/online/aspscripts/secret*.asp*
- https://online.lloydstsb.co.uk/logon.ibc
- https://online.ybs.co.uk/public/authentication/login2.do*
- https://onlinebanking.firsttrustbank.co.uk/*
- https://secure.ingdirect.co.uk/INGDirect.html?command=displayClientAccountSummary*
- https://secure.ingdirect.co.uk/InitialINGDirect.html*
- https://secure.lloydstsb.co.uk/personal/*
- https://secure.lloydstsb.co.uk/personal/*/logon/entermemorableinformation.jsp
- https://secure.natweststockbrokers.co.uk/nws-secure2/*
- https://service.oneaccount.com/*/OSV2?event=login&pt=3
- https://service.oneaccount.com/onlineV2/*
- https://service.oneaccount.com/onlineV2/*viewPortal*
- https://uk.virginmoney.com/virgin/service/credit-card/*
- https://welcome10.co-operativebankonline.co.uk/*security?*
- https://welcome23.smile.co.uk/SmileImages/images/backbutton.gif
- https://welcome23.smile.co.uk/SmileImages/images/backtosmilehomepage.gif
- https://welcome23.smile.co.uk/SmileImages/images/clearbutton.gif
- https://welcome23.smile.co.uk/SmileImages/images/okbutton.gif
- https://welcome23.smile.co.uk/SmileImages/images/spacer.gif
- https://welcome23.smile.co.uk/SmileWeb/*
- https://welcome23.smile.co.uk/SmileWeb/passcode.do
- https://welcome27.co-operativebank.co.uk/CBIBSImages/images/backbutton.gif
- https://welcome27.co-operativebank.co.uk/CBIBSImages/images/clearbutton.gif
- https://welcome27.co-operativebank.co.uk/CBIBSImages/images/okbutton.gif
- https://welcome27.co-operativebank.co.uk/CBIBSImages/images/spacer.gif
- https://welcome27.co-operativebank.co.uk/CBIBSWeb/*
- https://welcome27.co-operativebank.co.uk/CBIBSWeb/fundsTransferCreatePrepare.do*
- https://welcome27.co-operativebank.co.uk/CBIBSWeb/fundsTransferSummaryPrepare.do*
- https://welcome27.co-operativebank.co.uk/CBIBSWeb/loginSpi.do
- https://welcome27.co-operativebank.co.uk/CBIBSWeb/passcode.do
- https://www*.banking.first-direct.com/1/2/*
- https://www.365online.com/servlet/Dispatcher/*
- https://www.365online.com/servlet/Dispatcher/login.htm
- https://www.365online.com/servlet/Dispatcher/login2.htm
- https://www.365online.com/servlet/Dispatcher/validate.htm
- https://www.accessmycardonline.com/RBS_Consumer/*
- https://www.bankcardservices.co.uk/NASApp/NetAccessXX/*
- https://www.bankcardservices.co.uk/NASApp/NetAccessXX/AccountSnapshotScreen?acctID*
- https://www.bankline.coutts.com/CWSLogon/*
- https://www.bankline.coutts.com/CWSLogon/4P/CheckId.do
- https://www.bankline.coutts.com/CWSLogon/4P/CheckPPPP.do
- https://www.bankline.rbs.com/CWSLogon/4P/CheckId.do*
- https://www.bankline.rbs.com/CWSLogon/logon.do*
- https://www.barclayswealth.com/login/action/logon/unauthenticated/personal/loginDetailsNotStored
- https://www.barclayswealth.com/login/action/logon/unauthenticated/personal/loginSigning
- https://www.business.hsbc.co.uk/1/2*
- https://www.business.hsbc.co.uk/1/2/!ut/p/*cmd_confirm_Payment_bill=
- https://www.business.hsbc.co.uk/1/2/*cmd_account_list_more_details*
- https://www.business.hsbc.co.uk/1/2/*cmd_beneficiarylist=
- https://www.business.hsbc.co.uk/1/2/*cmd_choose_beneficiary_type=
- https://www.business.hsbc.co.uk/1/2/*cmd_non_majorben_input=
- https://www.business.hsbc.co.uk/1/2/*cmd_verify_bill_payment_minorben_continue=
- https://www.business.hsbc.co.uk/1/2/online-services/accounts/account-list*
- https://www.business.hsbc.co.uk/1/2/online-services/accounts/transactions*cmd_transactions_list_more_details=&BlitzToken=blitz
- https://www.business.hsbc.co.uk/1/2/online-services/payments-home/bill-payment*
- https://www.business.hsbc.co.uk/1/2/online-services/payments-home/bill-payment;jsessionid=
- https://www.capitaloneonline.co.uk/*
- https://www.cardonebanking.com/auth*
- https://www.caterallenonline.co.uk/WebAccess.dll
- https://www.citibank.co.uk/*/portal/Index*
- https://www.citibank.co.uk/*/signon/uname/HomePage*
- https://www.edirectdebit.com/administration/client/logon.aspx
- https://www.halifax-online.co.uk/*
- https://www.halifax-online.co.uk/MyAccounts/*
- https://www.halifax-online.co.uk/MyAccounts/MyAccounts.aspx*
- https://www.halifax-online.co.uk/_mem_bin/*
- https://www.hsbc.co.uk/1/2*
- https://www.hsbc.co.uk/1/2/!ut/p/kcxml/*cmd_InitialThirdPartyPaymentCommand=*
- https://www.hsbc.co.uk/1/2/personal/internet-banking/payments*
- https://www.hsbc.co.uk/1/2/personal/internet-banking/transfer*
- https://www.icicibank.co.uk/UKRET/BANKAWAY*
- https://www.moneybookers.com/app/my_account.pl
- https://www.mybank.alliance-leicester.co.uk
- https://www.mybank.alliance-leicester.co.uk/assets/internetbanking.gif
- https://www.mybank.alliance-leicester.co.uk/assets/logo.gif
- https://www.mybank.alliance-leicester.co.uk/move_money/MM1.asp
- https://www.mybank.alliance-leicester.co.uk/registration/r1point1.asp
- https://www.mybank.alliance-leicester.co.uk/view_accounts/VA1.asp
- https://www.mybusinessbank.co.uk/cs70_banking/*
- https://www.mybusinessbank.co.uk/cs70_banking/logon*
- https://www.mybusinessbank.co.uk/cs70_banking/logon/challenge/submit
- https://www.mybusinessbank.co.uk/cs70_banking/logon/logon/enrollPassword
- https://www.mybusinessbank.co.uk/cs70_banking/logon/logon/password
- https://www.mybusinessbank.co.uk/cs70_banking/logon/logon/pmPassword
- https://www.mybusinessbank.co.uk/cs70_banking/logon/sbuser/getPassword
- https://www.nochex.com/*
- https://www.nwolb.com/AccountSummary.aspx
- https://www.nwolb.com/OneOffPaymentsPayeeList.aspx
- https://www.paypal.com/*/cgi-bin/webscr?cmd=*_account*
- https://www.paypal.com/*/cgi-bin/webscr?cmd=_account*
- https://www.paypal.com/*/cgi-bin/webscr?cmd=_login-done*
- https://www.paypal.com/*/webscr?cmd=_login-done*
- https://www.rbsdigital.com/AccountSummary.aspx
- https://www.rbsdigital.com/OneOffPaymentsPayeeList.aspx
- https://www2.banking.firstdirect.com/1/2/;jsessionid=000012AY1c5sBT_Zhwxn3_8XZ2b:11jmjm8n8?idv_cmd=idv.OnlineCAMReset&OLRLink=CAM30ForgotPasswordLink
- https://your.egg.com/customer/personaldetails/yourinformation.aspx
- https://your.egg.com/customer/yourmoney.aspx
なお、このファイルの内容である監視Webサイトのリストは、常時変更されます。
スパイウェアは、以下の銀行もしくは金融機関で利用される個人情報を収集します。
- Abbey National
- Alliance & Leicester
- Barclays
- Capital One
- Citibank
- Clydesdale
- Co-Operativebank
- Ebay
- First Direct
- HSBC
- Halifax
- ING Direct
- Lloyds
- MBNA Europe Bank Limited
- Moneybookers
- Nationwide
- Natwest
- Net Banking
- PayPal
- RBS
- Raiffeisen
- Smile
- Yorkshire
攻撃対象
スパイウェアは、銀行または金融関連機関のリストから情報を収集します。
情報収集
スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。
- http://193.105.174.58/twitter/aga.php
その他
解析の結果、スパイウェアによるバックドア活動は確認されませんでした。
ハッシュ値情報
スパイウェアは、以下のMD5ハッシュ値を含んでいます。
- ce18869c40cb875a5ea457bf754d7779
スパイウェアは、以下のSHA1ハッシュ値を含んでいます
- f06ff3fdc1c58833549c1ffca5534d847a6ccaac
対応方法
対応検索エンジン: 8.900
手順 1
このマルウェアのパス名およびファイル名を確認します。
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用いてウイルス検索を実行してください。「TSPY_ZBOT.CFS」で検出したパス名およびファイル名を確認し、メモ等をとってください。
手順 2
Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 3
回復コンソールを使用して、TSPY_ZBOT.CFS として検出されるファイルを確認し、削除します。
[ 詳細 ]
手順 4
このレジストリ値を削除します。
[ 詳細 ]
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
手順 5
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TSPY_ZBOT.CFS」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください