TSPY_ZBOT.HXQB

2012年10月8日

解析者: Roland Marco Dela Paz

プラットフォーム:

Windows 2000, XP, Server 2003

危険度:

感染確認数:

システムへの影響:

情報漏えい:

マルウェアタイプ: スパイウェア
破壊活動の有無: なし
暗号化: はい
感染報告の有無: はい

概要

スパイウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。

詳細

ファイルサイズ 120,320 bytes

タイプ PE

メモリ常駐はい

発見日 2010年10月11日

ペイロードファイルの作成

侵入方法

スパイウェアは、以下のリモートサイトからダウンロードされ、コンピュータに侵入します。

http://{BLOCKED}chinesearch.com/flashmedia.exe

インストール

スパイウェアは、以下のフォルダを追加します。

%Application Data%\{random1}
%Application Data%\{random2}

(註：%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\＜ユーザ名＞\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Application Data" です。)

スパイウェアは、以下のプロセスに自身を組み込み、システムのプロセスに常駐します。

explorer.exe
taskhost.exe
taskeng.exe
Dwm.exe
wscntfy.exe
ctfmon.exe
rdpclip.exe

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{GUID of mount point of %Windows%} = %Application Data%\{random1}\{random}.exe

スパイウェアは、以下のファイルを作成します。

%Application Data%\{random1}\{random}.exe - copy of itself
%Application Data%\{random2}\{random} - contains encrypted stolen data

他のシステム変更

スパイウェアは、インストールの過程で、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft
{random} =

スパイウェアは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%WINDOWS%\\EXPLORER.EXE = %WINDOWS%\EXPLORER.EXE:*:Enabled:Windows Explorer

情報漏えい

スパイウェアは、感染したコンピュータ上でInternet Explorer（IE）の使用状況を監視します。スパイウェアは、特にIEのアドレスバーまたはタイトルバー情報を監視しますが、ユーザが銀行関連Webサイトを閲覧しそのサイトのアドレスバーまたはタイトルバーに以下の文字列が含まれていた場合、正規Webサイトを装った偽のログインページを作成します。

*.ebay.com/*eBayISAPI.dll?*
*/atl.osmp.ru/*
*/login.osmp.ru/*
*/my.ebay.com/*CurrentPage=MyeBayPersonalInfo*
*injtoken*
*signOnOption=*
*userid=*
*vtbCompanyId*
http://fbtonline.com/home/
http://unfcu.org/
http://www.ncsecu.org/*
http://www.unfcu.org/
http://www.wellsfargo.com/error
https://*.ebanking-services.com/nubi/StrongAuth/SignInContinue_Register.aspx
https://*.web-cashplus.com/Cashplus/
https://*/IBWS/checkUser.do
https://*treasury.pncbank.com/*/login.ht
https://access.jpmorgan.com/appmanager/jpmalogonportal/jpmalogonhome*
https://alltimetreasury.pacificcapitalbank.com/TekPortfolio/servlet/TB_UI_Controller*
https://banking.calbanktrust.com/iLogin.jsp
https://bankoffortbendonline.com/onlineserv/CM*
https://bnycash.bankofny.com/
https://bob.sovereignbank.com/wcmfd/wcmpw/CustomerLogin
https://boh.webcashmgmt.com/phcp/servlet/LoginServlet
https://business-eb.ibanking-services.com/K1/*
https://business-eb.ibanking-services.com/K1/sb_login.jsp*
https://businessaccess.citibank.citigroup.com/cbusol/signon.do
https://businessonline.huntington.com/BOLHome/BusinessOnlineLogin.aspx
https://businessonline.tdbank.com/CorporateBankingWeb/Core/Login.aspx*
https://businessonlinebanking.ebanking-services.com/Nubi/signin.aspx
https://cashman.arvest.com/cashman*Auth.asp
https://cashmanagement.firstambank.com/iBank/cmserver/loginforwardtourl.cfm
https://cashmanagement.firstambank.com/iBank/cmserver/verify.cfm
https://cashmgt.firsttennessee.biz/WebID/IISWebAgentIF.dll
https://cashmgt.firsttennessee.biz/cb/servlet/cb/login.jsp
https://cbs.firstcitizens.com/cb/servlet/cb/loginfcbnc.jsp
https://chaseonline.chase.com/MyAccounts.aspx
https://citizensbank.ebanking-services.com/Nubi/signin.aspx
https://cm.firstbankpr.com/cashplus/
https://cm.netteller.com/login*/Authentication/Views/LoginCM.aspx
https://commerceconnections.commercebank.com/ibank/cmserver/welcome/default/verify.cfm
https://commercial.wachovia.com/Online/Financial/Business/Service*
https://ctreporter.coletaylor.com/bbw/cmserver/appserver_login_validate.cfm*
https://ctreporter.coletaylor.com/bbw/cmserver/welcome/default/verify.cfm
https://e-access.compassbank.com/bbw/cmserver/welcome/default/verify.cfm
https://ecash.fsbnm.com/cashman//Auth.asp
https://ecash.fsbnm.com/cashman/Default.aspx
https://ecash.fsbnm.com/out.html
https://express.53.com/express/logon.action1
https://ffce.webcashmgmt.com/wcmfd/wcmpw/CustomerLogin
https://goldleafach.com/ach/Login.aspx*
https://ibank.scnb.com/inets/Login.cfm
https://imanage.ebanking-services.com/Nubi/Signin.aspx
https://internetbanking.firsttennessee.biz/*
https://itreasury.regions.com/phcp/servlet/CustomerLoginServlet
https://ktt.key.com/ktt/cmd/logon
https://lakecitybank.webcashmgmt.com/wcmfd/wcmpw/CustomerLogin
https://mibusinessonlinebanking.ebanking-services.com/nubi/signin.aspx
https://myib.firstmerchants.com/fi3039a_auth/sbuser/slogon
https://netconnect.bokf.com/bbw/cmserver/welcome/default/verify.cfm
https://onb.webcashmgmt.com/wcmfd/wcmpw/CustomerLogin
https://online.citibank.com/*
https://online.wamu.com/Servicing/Servicing.aspx?targetPage=AccountSummary
https://online.wellsfargo.com/das/cgi-bin/session.cgi*
https://onlineaccess.ncsecu.org/login.aspx
https://onlinebanking.nationalcity.com/OLB/secure/AccountList.aspx
https://onlineeast#.bankofamerica.com/cgi-bin/ias/*/GotoWelcome
https://onlinetreasurymanager.suntrust.com/ibswebsuntrust/cmserver/welcome/default/verify.cfm
https://passport.texascapitalbank.com/BankNow.aspx
https://passport.texascapitalbank.com/Default.aspx
https://passport.texascapitalbank.com/WebID/IISWebAgentIF.dll
https://privatebk.ebanking-services.com/Nubi/signin.aspx
https://secure.fundsxpress.com/piles/fxweb.pile/custom_login?template=login&no_top_url=1&iid=ABMWI
https://secure.ingdirect.com/myaccount/INGDirect.html
https://secure.ingdirect.com/myaccount/InitialINGDirect.html*
https://securentrycorp.calbanktrust.com/Authentication/zbf/index?appId=PORTAL&domainId=cbt
https://securentrycorp.calbanktrust.com/Authentication/zbf/k/*
https://securentrycorp.calbanktrust.com/Enrollment/zbf/k/1
https://singlepoint.usbank.com/*
https://top.capitalonebank.com/pub/html/login.html
https://trading.scottrade.com/home/default.aspx
https://treas-mgt.frostbank.com/rdp/cgi-bin/*
https://treasury.wamu.com/ibswamu/cmserver/login_validate.cfm*
https://treasury.wamu.com/ibswamu/cmserver/welcome/default/verify.cfm
https://treasurydirect.tdbank.com/ibsweb/cmserver/welcome/default/verify.cfm
https://usgateway1.rbs.com/usgateway/cb/gpsmoneymanager.jsp
https://usgateway2.rbs.com/usgateway/cb/gpsmoneymanager.jsp
https://web.da-us.citibank.com/*BS_Id=MemberHomepage*
https://web6.secureinternetbank.com/ebc_ebc1961/ebc1961.asp?wci=process&wce=request&rid=3000&rtn=071925046&rt=071925046
https://webexpress.tdbanknorth.com/wcmfd/wcmpw/CustomerLogin
https://wellsoffice.wellsfargo.com/portal/signon/index.jsp
https://ws2.bankbyweb.net/EBC_EBC1961/*
https://wtb.ebanking-services.com/nubi/signin.aspx
https://www#.citizensbankonline.com/*/index-wait.jsp
https://www#.usbank.com/internetBanking/LoginRouter
https://www.53.com/servlet/efsonline/index.html*
https://www.53.com/wps/portal/cblogin
https://www.americansavingsnj2.com/onlineserv/CM/
https://www.bankoffortbendonline.com/onlineserv/CM*
https://www.bankunitedbusinessexpress.blilk.com/Core/Authentication/MFAUsername.aspx
https://www.bbvacompass.com/contact/
https://www.businesse-cashmanager.web-access.com/natpenn/cgi-bin/welcome.cgi
https://www.businessonlineaccess.web-cashplus.com/Cashplus/1
https://www.cashanalyzer.com/cgi-bin/carsa#clnt.dll/CA%20-%20Main1/ND000_
https://www.columbiabankonline.com/onlineserv/CM/
https://www.columbiabankonline.com/onlineserv/CM/index.cgi
https://www.directline4biz.com/bbw/cmserver/login_validate.cfm*
https://www.directline4biz.com/challenge100.cfm
https://www.easterntreasuryconnect.com/bbw/cmserver/appserver_login_validate.cfm
https://www.easterntreasuryconnect.com/bbw/cmserver/welcome/default/verify.cfm
https://www.eastwestbankhb.com/onlineserv/CM/*
https://www.ecathay.com/onlineserv/CM/
https://www.ffsbkyonline.com/*
https://www.fiservdmecorp1.net/EBC_EBC1961/EBC1961.asp?*
https://www.fiservla10.com/EBC_EBC1961/EBC1961.ASP?*=Passmark*
https://www.fiservla10.com/EBC_EBC1961/EBC1961.ASP?*=Request*
https://www.frostbank.com/sitemap/Pages/default.aspx
https://www.gruposantander.es/*
https://www.independentcm.com/onlineserv/CM/
https://www.manufacturers.web-access.com/wa/cgi-bin/welcome.cgi
https://www.mybusinessbank.co.uk/cs70_banking/logon/slogon
https://www.nashvillecitizensbank.com/olbb/Login2FA.asp
https://www.nationalcity.com/consultnc/
https://www.paypal.com/*/webscr?cmd=_account
https://www.paypal.com/*/webscr?cmd=_login-done*
https://www.securechemicalbankmi.com/onlineserv/CM/
https://www.skagitonlinebanking.com/onlineserv/CM/
https://www.sterlingcorporatenetbanking.com/bbw/cmserver/login_validate.cfm*
https://www.sterlingwires.com/
https://www.sunnb.blilk.com/Core/Authentication/MFAUsername.aspx
https://www.suntrust.com/portal/server.pt*parentname=Login*
https://www.svbconnect.com/*
https://www.svbconnect.com/security/integratedLoginAuth.do
https://www.svbconnect.com/useraccess/Login.jsp
https://www.us.hsbc.com/*
https://www.us.hsbc.com/*business.online*
https://www.whitneybank.web-access.com/whitney/cgi-bin/welcome.cgi
https://www2.alerusfinancial.com/cashman//Auth.asp
https://www2.alerusfinancial.com/cashman/default.Aspx
https://www2.alerusfinancial.com/out.html
https://www8.comerica.com/cma/portal/mybusinessconnect
https://www8.comerica.com/out.html

スパイウェアは、以下のWebサイトにアクセスし、自身の環境設定ファイルをダウンロードします。

http://{BLOCKED}ech.net/cfg1.bin
http://{BLOCKED}chinesearch.com/params.bin

スパイウェアは、以下の銀行もしくは金融機関で利用される個人情報を収集します。

Bank of America
Capital One
Chase
Citibank
Citizens
Citizens Bank
Compass Bank
Ebay
Fifth Third
First American Bank
HSBC
Money Manager
National City
OSPM
PNC
PayPal
Santander
Suntrust
US Bank
Wachovia
Washington Mutual
Wells Fargo
iTreasury

情報の送信先

収集された情報は、以下のWebサイトにアップロードされます。

http://{BLOCKED}chinesearch.com/flopen.php

ハッシュ値情報

スパイウェアは、以下のMD5ハッシュ値を含んでいます。

2d2f0c7af61867cd84f2e419a62cef16

スパイウェアは、以下のSHA1ハッシュ値を含んでいます

e734bb114c2f47dc900d3a5a526db94f0b752ba0

対応方法

対応検索エンジン: 8.900

VSAPI パターンファイル: *pattern currently under processing of pattern team

VSAPI OPR パターンバージョン 7.531.00

VSAPI OPR パターンリリース日 2010年10月11日

手順 1

Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 3

以下のフォルダを検索し削除します。

[ 詳細 ]

註：このフォルダは、隠しフォルダとして設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

%Application Data%\{random1}

%Application Data%\{random2}

手順 4

このレジストリキーを削除します。

[ 詳細 ]

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

In HKEY_CURRENT_USER\Software\Microsoft\
- {random}

手順 5

このレジストリ値を削除します。

[ 詳細 ]

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- {GUID of mount point of %Windows%} = %Application Data%\{random1}\{random}.exe
In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
- %WINDOWS%\EXPLORER.EXE =%WINDOWS%\EXPLORER.EXE:*:Enabled:Windows Explorer
In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\PhishingFilter
- Enabled =0
In HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\PhishingFilter
- EnabledV8 =0

手順 6

コンピュータを通常モードで再起動し、最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、「TSPY_ZBOT.HXQB」と検出したファイルの検索を実行してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 7

最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TSPY_ZBOT.HXQB」と検出したファイルはすべて削除してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

ご利用はいかがでしたか？　アンケートにご協力ください

TSPY_ZBOT.HXQB

概要

詳細

対応方法

関連URL