TSPY_ZBOT.CIH

2012年10月8日

解析者: Kathleen Notario

プラットフォーム:

Windows 2000, XP, Server 2003

危険度:

感染確認数:

システムへの影響:

情報漏えい:

マルウェアタイプ: スパイウェア
破壊活動の有無: なし
暗号化: なし
感染報告の有無: はい

概要

スパイウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。

詳細

ファイルサイズ 131,584 bytes

タイプ PE

メモリ常駐はい

発見日 2010年11月7日

侵入方法

スパイウェアは、以下の悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

http://{BLOCKED}mpok.net/Scourchl.exe

インストール

スパイウェアは、以下のフォルダを追加します。

%Application Data%\{random1}
%Application Data%\{random2}

(註：%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\＜ユーザ名＞\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Application Data" です。)

スパイウェアは、以下のプロセスに自身を組み込み、システムのプロセスに常駐します。

dwm.exe
rdpclip.exe
ctfmon.exe
wscntfy.exe
taskeng.exe
taskhost.exe

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random CLSID} = %Application Data%\{random1}\{random}.exe

他のシステム変更

スパイウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
{random}

作成活動

スパイウェアは、以下のファイルを作成します。

%Application Data%\{random1}\{random}.exe
%Application Data%\{random2}\{random}.{random}

ダウンロード活動

スパイウェアは、以下のWebサイトにアクセスして自身の環境設定ファイルをダウンロードします。

http://{BLOCKED}vecommunities.com/nogsdmitedir/RCAisched/ingSerLing.php?doUpsnic

情報漏えい

スパイウェアは、Webサイトにアクセスしてファイルをダウンロードします。ダウンロードされたファイルには、自身のコピーの更新版ファイルのダウンロード元および収集した情報の送信先が記載されています。なお、上記でダウンロードされたファイルは、環境設定ファイルで、このスパイウェアが情報収集の際に対象とする以下の金融関連Webサイトのリストを含んでいます。

*.ebay.*/*eBayISAPI.dll?*
*.wellsfargo.com/*
*/my.ebay.*/*
*/my.ebay.*/*CurrentPage=MyeBayPersonalInfo*
*://online.wellsfargo.com/*
*alertpay.com/AccountOverview.aspx
http*://*bankofamerica.com*
http*://*geico.com*
https://*.chase.com/MyAccounts.aspx*
https://*.usbank.com/internetBanking/*
https://billpay.suntrust.com*
https://billpay.wellsfargo.com/*/billpay/application/Overview
https://cards.chase.com/AccountSelect.aspx?RedirectPage=/BalanceTransfer/BTOffer.aspx*
https://cardsonline-consumer.com/RBSG_Consumer/VerifyLogin.do
https://chaseonline.chase.com/MyAccounts.*
https://clients.chronopay.com*
https://easyweb*.tdcanadatrust.com/servlet/*FinancialSummaryServlet*
https://enroll.wachovia.com/AutoEnroll/AutoEnrollServlet*
https://light.webmoney.ru/Default.aspx*
https://online.citibank.com/US/JPS/portal/Home.do
https://online.citibank.com/US/JPS/portal/Home.do*
https://online.wamu.com/Servicing/Servicing.aspx?targetPage=AccountSummary
https://online.wellsfargo.com/das/cgi-bin/session.cgi*
https://onlinebanking#.wachovia.com/myAccounts.aspx?referrer=authService
https://onlinebanking*.wachovia.com/CreateATransfer*
https://onlinebanking.nationalcity.com/OLB/secure/AccountList.aspx
https://onlinebanking2.wachovia.com/myAccounts.aspx*
https://onlineeast#.bankofamerica.com/cgi-bin/ias/*/GotoWelcome
https://onlineeast#.bankofamerica.com/cgi-bin/ias/A/*
https://onlineservices.wachovia.com/identity/SIdentityMgr*
https://payments.chase.com/Transfer/TransferAddForm1.aspx*
https://perfectmoney.com/profile.html
https://sitekey.bankofamerica.com/sas/maint.do
https://sitekey.bankofamerica.com/sas/sas-docs/js/commonscript.js
https://solidtrustpay.com/index.php?a=account
https://trading.scottrade.com/home/default.aspx
https://trading.scottrade.com/myaccount/Balances.aspx
https://us.etrade.com/e/t/accounts/accountscombo$1*
https://www#.citizensbankonline.com/*/index-wait.jsp
https://www*.banking.first-direct.com/1/2/*
https://www*.bankofamerica.com/accounts-overview/accounts-overview.go*
https://www.53.com/servlet/efsonline/index.html*
https://www.moneybookers.com/app/my_account.pl
https://www.onlinebanking.pnc.com/alservlet/*
https://www.onlinebanking.pnc.com/alservlet/ModifySecurityQuestionsServlet?page=modifySecurityQuestions
https://www.paypal.com/*/cgi-bin/webscr*
https://www.paypal.com/*/cgi-bin/webscr?cmd=*_account*
https://www.paypal.com/*/cgi-bin/webscr?cmd=_account*
https://www.paypal.com/*/cgi-bin/webscr?cmd=_add-funds*
https://www.paypal.com/*/cgi-bin/webscr?cmd=_login-done*
https://www.paypal.com/*/webscr?cmd=_login-done*
https://www.rbsdigital.com/Login.asp*
https://www.strictpay.com/members/index.php
https://www.suntrust.com/portal/server.pt*
https://www.suntrust.com/portal/server.pt*parentname=Login*
https://www.suntrust.com/portal/server.pt?space=Community*
https://www.usaa.com/*
https://www.usaa.com/inet/ent_home/CpHome
https://www.wellsfargo.com/biz/*

スパイウェアは、以下の銀行もしくは金融機関で利用される個人情報を収集します。

Alertpay
Bank of America
Chase
ChronoPay
Citibank
Citizens
ETrade
Ebay
Fifth Third
First Direct
Geico
Moneybookers
National City
PNC
PayPal
Perfect Money
RBS
Scottrade
SolidTrustPay
StrictPay
Suntrust
TD Canada Trust
US Bank
USAA
Wachovia
Washington Mutual
Webmoney Keeper Light
Wells Fargo

情報収集

スパイウェアは、HTTPポストを介して、収集した情報を以下のURLに送信します。

http://{BLOCKED}vecommunities.com/nogsdmitedir/RCAisched/ingSerLing.php

ハッシュ値情報

スパイウェアは、以下のMD5ハッシュ値を含んでいます。

1352c3473a02439cfb5867ebfc888217

スパイウェアは、以下のSHA1ハッシュ値を含んでいます

779adfec2c8ef59e09c8a8a0b0e8f4b1f0500abf

対応方法

対応検索エンジン: 8.900

VSAPI パターンファイル: currently processing

手順 1

Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

回復コンソールを使用して、TSPY_ZBOT.CIH として検出されるファイルを確認し、削除します。

[ 詳細 ]

手順 3

このレジストリ値を削除します。

[ 詳細 ]

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- {random CLSID}=%Application Data%\{random1}\{random}.exe

手順 4

以下のフォルダを検索し削除します。

[ 詳細 ]

註：このフォルダは、隠しフォルダとして設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

%Application Data%\{random1}

%Application Data%\{random2}

手順 5

最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TSPY_ZBOT.CIH」と検出したファイルはすべて削除してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

ご利用はいかがでしたか？　アンケートにご協力ください