TSPY_ZBOT.CJY

2012年10月8日

解析者: Marfel Tiamzon

プラットフォーム:

Windows 2000, XP, Server 2003

危険度:

感染確認数:

システムへの影響:

情報漏えい:

マルウェアタイプ: スパイウェア
破壊活動の有無: なし
暗号化:
感染報告の有無: はい

概要

スパイウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。ユーザが監視サイトのいずれかにアクセスすると、スパイウェアは、キー入力操作情報を収集します。スパイウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。

詳細

ファイルサイズ 144,896 b bytes

タイプ EXE

メモリ常駐はい

発見日 2010年8月3日

インストール

スパイウェアは、以下のフォルダを追加します。

%Application Data%\{random1}
%Application Data%\{random2}

(註：%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\＜ユーザ名＞\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Application Data" です。)

スパイウェアは、以下のファイルを作成します。

%Application Data%\{random1}\{random}.exe
%Application Data%\{random2}\{random}.fyv

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{4B8C2C1B-5D92-7314-46DC-F2FDD503F943} = %Application Data%\{random1}\{random}.exe

他のシステム変更

スパイウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
{random}

情報漏えい

スパイウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。

スパイウェアは、以下のWebサイトにアクセスし、自身の環境設定ファイルをダウンロードします。

http://{BLOCKED}aepo.ru/bin/saejuogi.bin
http://{BLOCKED}yeew.ru/bin/saejuogi.bin
http://{BLOCKED}aepi.ru/bin/saejuogi.bin
http://{BLOCKED}ejae.ru/bin/saejuogi.bin
http://{BLOCKED}ushi.ru/bin/saejuogi.bin
http://{BLOCKED}fech.ru/bin/saejuogi.bin
http://{BLOCKED}ilei.ru/bin/saejuogi.bin
http://{BLOCKED}yeew.ru/bin/saejuogi.bin
http://{BLOCKED}oong.ru/bin/laangiet.bin

ユーザが監視サイトのいずれかにアクセスすると、スパイウェアは、キー入力操作情報を収集します。

スパイウェアは、Webサイトにアクセスしてファイルをダウンロードします。ダウンロードされたファイルには、自身のコピーの更新版ファイルのダウンロード元および収集した情報の送信先が記載されています。なお、上記でダウンロードされたファイルは、環境設定ファイルで、このスパイウェアが情報収集の際に対象とする以下の金融関連Webサイトのリストを含んでいます。

*.de/portal/portal/*
*.microsoft.com/*
*/atl.osmp.ru/*
*/login.osmp.ru/*
*/v*/home/login.php*
*OnlineFiliale*
*amazon.com*
*bankinter.com*gzinflate.js.php*
*bankinter.com*utils.js*
*bankinter.com/www/es-es/cgi/*+home
*blogger.com*
*cajaespana.net*
*cgi/*.cgi*
*flickr.com*
*iurisbank.com/isum/*login*
*livejournal.com*
*myspace.com*
*ruralvia.com/isum/*login*
*youtube.com*
http*lacaixa.es*
http*scripts/injScp.js*
http://*
http://*/s/
http://*/u/
http://*odnoklassniki.ru/*
http://oyehai.ru/script.js
http://vkontakte.ru/*
https://activa24.ccm.es/6105/js/comunBEWEB.js*
https://activa24.ccm.es/BEWeb/2105/6105/inicio_identificacion.action*
https://banking.postbank.de/app/login.do*
https://banking.postbank.de/app/static/images/pblogo2.gif
https://banking.postbank.de/app/static/js/script.js*
https://banking.postbank.de/app/welcome.do*
https://be.cajamurcia.es/6043/js/LOGIN2_PORTAL.js
https://be.cajamurcia.es/6043/js/MOD3.js
https://be.cajamurcia.es/BEWeb/2043/6043/inicio_identificacion.action
https://be.homecem.com/2041/img/02logo.gif
https://be.homecem.com/2041/js/comunBEWEB.js*
https://be.homecem.com/BEWeb/*/login_identificacion*
https://cajaelectronica.caja-granada.es/2031/images/logo.png
https://cajaelectronica.caja-granada.es/2031/js/MOD3.js*
https://cajaelectronica.caja-granada.es/BEWeb/2031/2031/inicio_identificacion.action*
https://cajaelectronica.caja-granada.es/BEWeb/2031/2031/not5801_d_COMUN.action?OPERACION=*
https://cajasturdirecto.cajastur.es/*/js/MOD3.js*
https://cajasturdirecto.cajastur.es/4048/images/t_logo.gif
https://cajasturdirecto.cajastur.es/BEWeb/2048/*/inicio_identificacion.action*
https://cajasturdirecto.cajastur.es/BEWeb/2048/*/portal_inicio_identificacion.action*
https://empresas.gruposantander.es/WebEmpresas/*
https://enlaza.cajadeburgos.es/BELLogin.jsp*
https://enlinea.cajasur.es/4024/img/logo.jpg
https://enlinea.cajasur.es/4024/js/loginPin.js*
https://enlinea.cajasur.es/BEWeb/2024/4024/inicio_identificacion.action
https://enlinea.cajasur.es/BEWeb/2024/4024/inicio_identificacion.action*
https://finanzportal.fiducia.de/*/entry*
https://finanzportal.fiducia.de/*/portal*
https://ing.ingdirect.es/W/Transactional/adf/js/jquery-latest.js*
https://ing.ingdirect.es/W/Transactional/faces/selectOption
https://ing.ingdirect.es/W/Transactional/faces/selectOption?select_op=initLogin*
https://intelvia.cajamurcia.es/6043/01/images/logointel.gif
https://internetbanking.gad.de/images/Ib.js*
https://internetbanking.gad.de/ptlweb/WebPortal*
https://meine.deutsche-bank.de/*
https://meine.deutsche-bank.de/*/javascript/global.js*
https://meine.deutsche-bank.de/trxmcontent/10.1.11.0/global/default/images/logo_db.gif
https://my.hypovereinsbank.de/img/ico/logo.gif
https://my.hypovereinsbank.de/js/portal.js*
https://my.hypovereinsbank.de/login*
https://oficina24hores.caixagirona.es/*/Js/MOD3.js*
https://oficina24hores.caixagirona.es/1030/Imatges/logo_caixa_nou.gif
https://oficina24hores.caixagirona.es/BEWeb/2030/1030/inicio_identificacion.action*
https://pastornet*.bancopastor.es/SrPd*
https://soldirecto.cajasoldirecto.es/2106/js/incluyeDomain.js*
https://soldirecto.cajasoldirecto.es/BEWeb/2106/2106/inicio_identificacion.action*
https://soldirecto.cajasoldirecto.es/BEWeb/2106/2106/psINICm_0.action*
https://telematic.caixamanlleu.es/ISMC/*/acceso.jsp*
https://telematic.caixamanlleu.es/ISMC/*/js/teclat.js*
https://ww3.deutsche-bank.es/db24online/js/login/eStara.js
https://ww3.deutsche-bank.es/pbct/NetiServlet?neti_id=navigation.bottom*
https://ww3.deutsche-bank.es/pbct/login*
https://ww3.deutsche-bank.es/pbct/login.*
https://www.barclays.es/publico/contents/*jsp*
https://www.barclays.es/publico/images/logo.png
https://www.barclays.es/publico/js/TextEngine.js
https://www.bbvanetoffice.com/BBVANETOFFICE/bbvanetoffice/bienvenida*
https://www.bbvanetoffice.com/BBVANETOFFICE/promocion*
https://www.bbvanetoffice.com/mult/logo_nuevo.gif
https://www.bbvanetoffice.com/promocion*
https://www.caixacatalunya.com/CDA/caixacat/es/ccpublic/particulars/Home/OthHomePageCas/0,1217,,00.html
https://www.caixacatalunya.com/NASApp/ceconline/index.jsp
https://www.caixacatalunya.com/NASApp/ceconline/index.jsp*
https://www.caixacatalunya.com/caixacat/es/ccpublic/img_comun/redlogo_small.gif
https://www.caixapenedes.com*
https://www.caixapenedes.com/imatges/logo_lema_cat.gif
https://www.caixapenedes.com/js/niftycube.js
https://www.caixaterrassa.es/SESSIONS/SFObe*
https://www.caixaterrassa.es/imatges/logo.jpg
https://www.cajaespana.net/convivencia/siglo21/estandar/recursos/imag_menus/toro_caja.gif
https://www.cajaespana.net/convivencia/siglo21/estandar/recursos/tecladovirtual.js
https://www.cajalaboral.*/home/acceso.asp
https://www.cajalaboral.com/demo/index.html
https://www.cajamar.es*
https://www.cajamar.es/img/logo.gif
https://www.commerzbanking.de/*/cowis.js*
https://www.commerzbanking.de/*/pgf.html*
https://www.dresdner-privat.de/SSA_MLS_JAVASCRIPT/mlsgeneral.js*
https://www.dresdner-privat.de/images/DresdnerBank.gif
https://www.dresdner-privat.de/servlet/P/SSA*do*
https://www.google.com/accounts/ig.gif
https://www.gruposantander.es/*
https://www.iurisbank.com/es_ES/img/logo_acceso_3171.gif
https://www.ruralvia.com/img/logorvia05.gif
https://www.sabadellatlantico.com*
https://www.sabadellatlantico.com/cs/Satellite?blobcol=urldata&blobkey=id&blobtable=MungoBlobs&blobwhere=1191498187918&ssbinary=true
https://www.solbank.com*
https://www.solbank.com/g3repository/HEADER/CABECERA1_NW_LOGO_CABECERA_SBK.GIF
https://www.sparkasse.de/_image_gallery/logo.gif
https://www.targobank.de/de/*cgi*
https://www.targobank.de/de/images/css/env/logo.gif
https://www.targobank.de/de/images/css/env/logo.gif
https://www.targobank.de/de/javascript/funcs_global.js*
https://www.unicaja.es/*
https://www.uno-e.com/local_bdnt_unoe/Login_unoe2.html*
https://www.verisign.es/hp07/i/vlogo.gif
https://www.verisign.es/hp07/i/vlogo.gif\
https://www3.altamiraonline.com/AltamiraOnLineWeb/Sesion*
https://www3.altamiraonline.com/AltamiraOnLineWeb/src/canalInet/md5.js*

なお、このファイルの内容である監視Webサイトのリストは、常時変更されます。

スパイウェアは、以下の銀行もしくは金融機関で利用される個人情報を収集します。

Amazon
BBVA
Banco Pastor
Banco de Sadabell
Bankinter
Barclays
Blogger
CCM
Caixa Catalunya
Caixa Girona
Caixa Manlleu
Caja España
Caja Granada
Caja Laboral
Caja Mar
Caja Murcia
Caja Rural
Caja Stur
Caja Sur
Caja de Burgos
Cajasol
Commerzbank
Deutsche Bank
Dresdner
Fiducia
Flickr
GAD
ING Direct
IS Bank
La Caixa
Live Journal
Microsoft
Myspace
OSPM
Odnoklassniki
Sabadell Atlantico
Santander
Unicaja
Uno-E
Vkontakte
YouTube

情報の送信先

上記ファイルは、HTTPポストを介し、以下のURLに送信されます。

http://{BLOCKED}olev.ru/y93/_gate.php

ハッシュ値情報

スパイウェアは、以下のMD5ハッシュ値を含んでいます。

e08c0f398fddec61a34616f67f9f589f

スパイウェアは、以下のSHA1ハッシュ値を含んでいます

02b21d32821c339e221b8882ee61fb9c5108b996

対応方法

対応検索エンジン: 8.900

手順 1

Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このレジストリキーを削除します。

[ 詳細 ]

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

RESTORE

「レジストリエディタ」を閉じます。

手順 3

このレジストリキーを削除します。

[ 詳細 ]

RESTORE

「レジストリエディタ」を閉じます。

手順 4

最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TSPY_ZBOT.CJY」と検出したファイルはすべて削除してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

ご利用はいかがでしたか？　アンケートにご協力ください