• Email
• Facebook
• Twitter
• Google+
• Linkedin

TSPY_ZBOT.HJ

---

• マルウェアタイプ: スパイウェア
• 破壊活動の有無: なし
• 暗号化: はい
• 感染報告の有無: はい

---

  概要

スパイウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。

スパイウェアは、すべての実行中プロセスに組み込まれ、システムのプロセスに常駐します。

スパイウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。

---

  詳細

侵入方法

スパイウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。

感染ポイント

スパイウェアは、以下のWebサイトからダウンロードされたファイルとして、コンピュータに侵入します。

• http://{BLOCKED}ost/sp05.bin

インストール

スパイウェアは、以下のファイルを作成します。

• %Application Data%\{random1}\{random}.exe - copy of itself
• %Application Data%\{random2}\{random}.{random} - contains encrypted stolen data

(註：%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\＜ユーザ名＞\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Application Data" です。)

スパイウェアは、以下のフォルダを作成します。

• %Application Data%\{random1}
• %Application Data%\{random2}

(註：%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\＜ユーザ名＞\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Application Data" です。)

スパイウェアは、すべての実行中プロセスに組み込まれ、システムのプロセスに常駐します。

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random CLSID} = %Application Data%\{random1}\{malware filename}.exe

他のシステム変更

スパイウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
{random}

情報漏えい

スパイウェアは、以下のWebサイトにアクセスし、自身の環境設定ファイルをダウンロードします。

• http://{BLOCKED}lfotball.no/images/logo.jpg

スパイウェアは、Webサイトにアクセスしてファイルをダウンロードします。ダウンロードされたファイルには、自身のコピーの更新版ファイルのダウンロード元および収集した情報の送信先が記載されています。なお、上記でダウンロードされたファイルは、環境設定ファイルで、このスパイウェアが情報収集の際に対象とする以下の金融関連Webサイトのリストを含んでいます。

• https://sitekey.bankofamerica.com/sas/sas-docs/js/verifyImage.js
• https://sitekey.bankofamerica.com/sas/*
• http*chase.com*
• https://onlineeast#.bankofamerica.com/cgi-bin/ias/*/GotoWelcome
• https://onlineeast#.bankofamerica.com/cgi-bin/ias/*/GotoCustomerServiceMenu
• https://onlineeast#.bankofamerica.com/cgi-bin/ias/*/GotoWelcome
• https://sitekey.bankofamerica.com/sas/sas-docs/js/commonscript.js
• https://sitekey.bankofamerica.com/sas/maint.do
• https://onlineeast#.bankofamerica.com/cgi-bin/ias/*/CustomerServiceMenuEntryPoint?custAction=75
• https://*ameritrade.com*
• *wescom.org*
• http*countrywide.com*
• http*suntrust.com*
• *scottrade.com*
• *navyfcu.org*
• https://online.citibank.com/US/JPS/portal/Home.do
• https://www#.citizensbankonline.com/*/index-wait.jsp
• https://onlinebanking.nationalcity.com/OLB/secure/AccountList.aspx
• https://www.53.com/servlet/efsonline/index.html*
• https://*hb.growfinancial.org*

スパイウェアは、以下の銀行もしくは金融機関で利用される個人情報を収集します。

• Ameritrade
• Bank of America
• Chase
• Citibank
• Citizens
• Fifth Third Bank
• Grow Online Banking
• National City
• Navy Federal Credit Union
• Scottrade
• Suntrust
• Wescom Credit Union

情報収集

スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

• http://{BLOCKED}neforyou.com/index.php

ハッシュ値情報

スパイウェアは、以下のMD5ハッシュ値を含んでいます。

• 0ad6e24b502f1080d892a7af286b0d5d

スパイウェアは、以下のSHA1ハッシュ値を含んでいます

• 9d33779b7bf9b58a2d7f4ff7e0d23116fae414eb

---

  対応方法

ご利用はいかがでしたか？　アンケートにご協力ください