Trend Micro Security

TSPY_ZBOT.EEW

2013年3月10日
 解析者: Mark Joseph Manahan   
 別名:

PWS:Win32/Zbot.gen!AJ (Microsoft), PWS-Zbot.gen.ary (McAfee)

 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003, Windows 7

 危険度:
 感染確認数:
 システムへの影響:
 情報漏えい:


  • マルウェアタイプ: スパイウェア
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 57,344 bytes
タイプ EXE
メモリ常駐 はい
発見日 2012年12月3日

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %User Profile%\Application Data\{random1}\{random}.exe
  • %Application Data%\{random1}\{random}.exe (Windows 7 only)

(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>" です。. %Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。)

スパイウェアは、以下のフォルダを作成します。

  • %User Profile%\Application Data\{random1}
  • %User Profile%\Application Data\{random2}
  • %User Profile%\Application Data\{random3}
  • %Application Data%\{random1} (Windows 7 only)
  • %Application Data%\{random2} (Windows 7 only)
  • %Application Data%\{random3} (Windows 7 only)

(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>" です。. %Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。)

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random} = ""%User Profile%\Application Data\{random1}\{random}.exe""

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random} = "%Application Data%\{random1}\{random}.exe" (Windows 7 only)

他のシステム変更

スパイウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
{random}

作成活動

スパイウェアは、以下のファイルを作成します。

  • %User Profile%\Application Data\{random2}\{random}.{random}
  • %User Profile%\Application Data\{random3}\{random}.{random}
  • %Application Data%\{random2}\{random}.{random} (Windows 7 only)
  • %Application Data%\{random3}\{random}.{random} (Windows 7 only)

(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>" です。. %Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。)

その他

スパイウェアは、以下の不正なWebサイトにアクセスします。

  • http://{BLOCKED}ilericinguvenlik.com/wp-content/themes/mystique/file.php|file=x.exe
  • http://{BLOCKED}albirikim.com/wp-content/themes/koydernek/wpg.php
  • http://{BLOCKED}8.kz/{BLOCKED}ges/file.php|file=x.bin
  • http://{BLOCKED}memories.kz/images/file.php|file=x.bin
  • http://www.{BLOCKED}orter.com.ua/images/file.php|file=x.bin