TSPY_ZBOT.KVV

2014年2月20日

解析者: Sabrina Lei Sioting

別名:

Win32/Spy.Zbot.AAO (Eset), Trojan-PWS.Win32.Fareit/Backdoor.Word.DarkKomet (Ikarus), Backdoor.Win32.DarkKomet.byft (Kaspersky), Mal/Necurs-I (Sophos)

プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ: スパイウェア
破壊活動の有無: なし
暗号化: はい
感染報告の有無: はい

概要

感染経路他のマルウェアからの作成, インターネットからのダウンロード, Eメールを介したスパム活動

スパイウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。スパイウェアは、他のマルウェアに作成され、コンピュータに侵入します。

スパイウェアは、すべての実行中プロセスに組み込まれ、システムのプロセスに常駐します。

スパイウェアは、Internet Explorer（IE）のゾーン設定を変更します。

ただし、情報公開日現在、このWebサイトにはアクセスできません。スパイウェアマルウェアは、自身（コンピュータに侵入して最初に自身のコピーを作成したスパイウェア）を削除します。

詳細

ファイルサイズ 276,629 bytes

タイプ EXE

メモリ常駐はい

発見日 2014年1月30日

ペイロードファイルのダウンロード

侵入方法

スパイウェアは、他のマルウェアもしくはグレイウェア、または不正リモートユーザによるスパムメールに添付され、コンピュータに侵入します。

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェアは、以下のマルウェアに作成され、コンピュータに侵入します。

an RTF file also detected as TSPY_ZBOT.KVV

インストール

スパイウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

%Application Data%\Quittung 2014-21-01.exe - dropped by the RTF file detected as TSPY_ZBOT.KVV
%Application Data%\{random1}\{random}.exe

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

スパイウェアは、以下のファイルを作成します。

%Application Data%\{random2}\{random}.{random}
%Application Data%\Microsoft\Address Book\{OS version}.wab
%Application Data%\Microsoft\Address Book\{user name}.wab~

スパイウェアは、以下のフォルダを作成します。

%Application Data%\{random1}
%Application Data%\{random2}
%Application Data%\Microsoft\Address Book

スパイウェアは、すべての実行中プロセスに組み込まれ、システムのプロセスに常駐します。

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random} = "%Application Data%\{random1}\{random}.exe"

他のシステム変更

スパイウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
{random}

HKEY_CURRENT_USER\Software\Microsoft\
WAB

スパイウェアは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Windows%\explorer.exe = "%Windows%\explorer.exe:*:Enabled:Windows Explorer"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\GloballyOpenPorts\
List
{port}:UDP = "{port}:UDP:Enabled:UDP {port}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\GloballyOpenPorts\
List
{port}:TCP = "{port}:TCP:Enabled:TCP {port}"

Webブラウザのホームページおよび検索ページの変更

スパイウェアは、IEのゾーン設定を変更します。

情報漏えい

スパイウェアは、以下のWebサイトにアクセスし、自身の環境設定ファイルをダウンロードします。

http://{BLOCKED}ski.prfact.ch/sadcxvbv/vdfbffddf.php|file=config2.bin

情報収集

スパイウェアは、HTTPポストを介して、収集した情報を以下のURLに送信します。

http://{BLOCKED}ec948fa2bc.com/53085816/0d5e28f7.php

その他

ただし、情報公開日現在、このWebサイトにはアクセスできません。

スパイウェアは、自身（コンピュータに侵入して最初に自身のコピーを作成したスパイウェア）を削除します。

スパイウェアは、「TSPY_ZBOT.KVV」として検出されるRTFファイルによって作成され、コンピュータに侵入します。

「TSPY_ZBOT.KVV」として検出されるRTFファイルによって作成されるファイルは以下のとおりです。

%Application Data%\Quittung 2014-21-01.exe

スパイウェアは、RTFファイルに組み込まれる実行ファイルであり、画像ファイルとして装っています

ユーザが、上述の偽の画像ファイルをダブルクリックするするよう誘導されると、コンピュータ上に、「TSPY_ZBOT.KVV」（実行ファイル）のコピーが作成されます。

スパイウェアがダウンロードする環境設定ファイルには、スパイウェアが自身のコピーの更新版ファイルをダウンロードしてくるURLや収集した情報を送信するURLが含まれている可能性があります。また、この環境設定ファイルには、スパイウェアが情報収集をする対象となる銀行や金融関連のWebサイトのURLも含まれていることが考えられます

スパイウェアは、感染したコンピュータから以下の情報を収集します。

クッキーファイル内の情報（URL）
Eメールに関連する情報（アカウント名、Eメールアドレス、パスワード、サーバの情報、サーバのポート）
ユーザのWindowsアドレス帳ファイル（拡張子WAB）内に保存されているEメール情報
FTP認証情報
オンライン銀行の認証情報
Flashplayerのデータ
個人デジタル証明書

対応方法

対応検索エンジン: 9.700

初回 VSAPI パターンバージョン 10.574.05

初回 VSAPI パターンリリース日 2014年1月30日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 3

このレジストリキーを削除します。

[ 詳細 ]

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

In HKEY_CURRENT_USER\Software\Microsoft
- WAB

手順 4

インストールの過程で追加された以下のレジストリキーには、参照可能な値が存在しないため、ユーザの手動検索によって確認することができません。そのため、ユーザがデータのバックアップを行なっている場合にのみ、保存されている前データと比較することで追加されたレジストリキーを確認することが可能となります。なお、追加されたレジストリキーは、コンピュータに悪影響を与えるものではないため、削除する必要はありません。 HKEY_CURRENT_USER\Software\Microsoft\{random}

手順 5

このレジストリ値を削除します。

[ 詳細 ]

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- {random} = "%Application Data%\{random1}\{random}.exe"
In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
- %Windows%\explorer.exe = "%Windows%\explorer.exe:*:Enabled:Windows Explorer"
In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List
- {port}:UDP = "{port}:UDP:Enabled:UDP {port}"
In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List
- {port}:TCP = "{port}:TCP:Enabled:TCP {port}"

手順 6

Internet Explorer（IE）のセキュリティ設定を修正します。

[ 詳細 ]

手順 7

以下のフォルダを検索し削除します。

[ 詳細 ]

フォルダが隠しフォルダ属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

%Application Data%\{random1}
%Application Data%\{random2}
%Application Data%\Microsoft\Address Book

手順 8

以下のファイルを検索し削除します。

[ 詳細 ]

コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

%Application Data%\Microsoft\Address Book\{OS version}.wab
%Application Data%\Microsoft\Address Book\{OS version}.wab~

手順 9

コンピュータを通常モードで再起動し、最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、「TSPY_ZBOT.KVV」と検出したファイルの検索を実行してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

ご利用はいかがでしたか？　アンケートにご協力ください