TSPY_ZBOT.SMKLL

2015年7月3日

解析者: RonJay Kristoffer Caragay

別名:

Trojan-Spy.Win32.Zbot.uzup (Kaspersky); Mal/Zbot-SX (Sophos); W32/Zbot.AACC!tr (Fortinet); Win32:Zbot-UWT [Trj] (Avast)

プラットフォーム:

Windows

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ: スパイウェア
破壊活動の有無: なし
暗号化: はい
感染報告の有無: はい

概要

感染経路インターネットからのダウンロード, 他のマルウェアからの作成

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェアは、すべての実行中プロセスに組み込まれ、システムのプロセスに常駐します。

スパイウェアは、ワーム活動の機能を備えていません。

スパイウェアは、Internet Explorer（IE）のゾーン設定を変更します。

ただし、情報公開日現在、このWebサイトにはアクセスできません。

スパイウェアマルウェアは、自身（コンピュータに侵入して最初に自身のコピーを作成したスパイウェア）を削除します。

詳細

ファイルサイズ 357,376 bytes

タイプ EXE

メモリ常駐はい

発見日 2015年6月25日

ペイロード URLまたはIPアドレスに接続, 情報収集, ファイルのダウンロード

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

%Application Data%\{random foldername 1}\{random filename 1}.exe

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。.)

スパイウェアは、以下のファイルを作成します。

%Application Data%\{random foldername 2}\{random filename 2}.{random extension}
%Application Data%\{random foldername 2}\{random filename 2}.tmp
%Application Data%\{random foldername 3}\{random filename 3}.{random extension}

スパイウェアは、以下のファイルを作成し実行します。

%User Temp%\tmp{random}.bat ← use to delete initially executed copy, delete itself afterwards

(註：%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。.)

スパイウェアは、以下のフォルダを作成します。

%Application Data%\{random foldername 1}
%Application Data%\{random foldername 2}
%Application Data%\{random foldername 3}

スパイウェアは、すべての実行中プロセスに組み込まれ、システムのプロセスに常駐します。

スパイウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

Local\{GUID}
Global\{GUID}

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{Random} = "%Application Data%\{random foldername 1}\{random filename 1}.exe"

他のシステム変更

スパイウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
{random key}

スパイウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
{random key}
{random 1} = "{random hex values}"

HKEY_CURRENT_USER\Software\Microsoft\
{random key}
{random 2} = "{random hex values}"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Privacy
CleanCookies = "0"

感染活動

スパイウェアは、ワーム活動の機能を備えていません。

Webブラウザのホームページおよび検索ページの変更

スパイウェアは、IEのゾーン設定を変更します。

ダウンロード活動

スパイウェアは、以下のWebサイトにアクセスして自身の環境設定ファイルをダウンロードします。

https://{BLOCKED}lnoejavlenieprimer.net/bmbmbm/file.php
https://{BLOCKED}rtabilneiedelalinks.net/bmbmbm/file.php
https://{BLOCKED}ortabilneiedelaaches.net/bmbmbm/file.php

ただし、情報公開日現在、このWebサイトにはアクセスできません。

情報漏えい

環境設定ファイルは、以下の情報を含んでいます。

URLs where it downloads an updated copy of itself
URLs where it sends its gathered information
URLs of its target online banking and finance-related sites from where it steals the information

スパイウェアは、以下の情報を収集します。

Data on cookie files (URLs)
Email-related information such as account names, email addresses, passwords, server data, and server port
Email information stored in the user’s Windows Address Book (WAB) file
Online banking credentials
Personal digital cerificate

スパイウェアは、コンピュータ内に以下のFTPクライアントまたはファイルマネージャのアカウント情報が保存されている場合、これらのアカウント情報を収集します。

FlashFXP
Ghisler Total Commander
ipswitch ws_ftp
Far/Far2
martin prikryl winscp 2
ftpware coreftp
smartftp

その他

スパイウェアは、自身（コンピュータに侵入して最初に自身のコピーを作成したスパイウェア）を削除します。

スパイウェアが作成する以下のファイルは、最初に実行されたコピーを削除するために利用され、後に削除されるファイルです。

%User Temp%\tmp{random}.bat

環境設定ファイルに含まれる情報は、以下のとおりです。

自身のコピーの更新版をダウンロードするURL
スパイウェアが収集した情報の送信先URL
情報の収集元となる対象とするオンライン銀行や金融関連WebサイトのURL

スパイウェアは、以下の情報を収集します。

Cookie ファイル内のデータ（URL情報）
アカウント名やEメールアドレス、パスワード、サーバのデータ、サーバのポートといったEメールに関連する情報
ユーザのWindowsアドレス帳ファイル（拡張子WAB）内に保存されているメール情報
オンライン銀行の認証情報
個人用デジタル証明書

スパイウェアは、以下のセキュリティ関連製品に関連する実行中プロセスへは自身のコードを挿入しません。

Rapport
SafenSoft SysWatch
McAfee
McAfee Security Center
McAfee SecurityCenter
Symantec Client
Symantec Protection
Symantec Shared
Symantec Security
Norton Protection
Kaspersky Security
Kaspersky Anti-Virus
avast! Antivirus
AntiVir Desktop
AVG Monitor
AVG Service
AVG Security
ESET Security
ESET Antivirus
Microsoft Inspection
Microsoft Malware
Microsoft Security

スパイウェアは、ルートキット機能を備えていません。

スパイウェアは、脆弱性を利用した感染活動を行いません。

対応方法

対応検索エンジン: 9.750

初回 VSAPI パターンバージョン 11.764.04

初回 VSAPI パターンリリース日 2015年7月1日

VSAPI OPR パターンバージョン 11.765.00

VSAPI OPR パターンリリース日 2015年7月2日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム（OS）の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル／フォルダ／レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 3

Windowsをセーフモードで再起動します。

[ 詳細 ]

セーフモードでの起動：

• Windows 2000 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows XP の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows Server 2003 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「Windows 拡張オプションメニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows Vista、Windows 7 および Windows Server 2008 の場合：

コンピュータを起動させます。
「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
「詳細ブートオプション」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows 8、8.1 および Server 2012の場合：

画面の右上隅へマウスポインタを移動し、[チャーム]バーを表示します。
マウスで、[設定]－[PC設定の変更]を選択します。
左側のパネルで、[全般]を選択します。
右側のパネルで、[PCの起動をカスタマイズする]が表示されるまで下にスクロールし、[今すぐ再起動]をクリック。コンピュータが再起動するまで待ちます。
[オプションの選択]メニューで、[トラブルシューティング]－[詳細オプション]－[スタートアップ設定]－[再起動]をクリックします。
[スタートアップ設定]メニューで、[4]キーを押し、「4）セーフモードを有効にする」を選択します。

手順 4

このレジストリ値を削除します。

[ 詳細 ]

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- {Random} = "%Application Data%\{random foldername 1}\{random filename 1}.exe"
In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Privacy
- CleanCookies = "0"

手順 5

Internet Explorer（IE）のセキュリティ設定を修正します。

[ 詳細 ]

手順 6

コンピュータを通常モードで再起動し、最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、「TSPY_ZBOT.SMKLL」と検出したファイルの検索を実行してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 7

インストールの過程で追加された以下のファイル／フォルダ／レジストリキーや値には、参照可能な値が存在しないため、ユーザの手動検索によって確認することができません。そのため、ユーザがシステム情報のバックアップを行なっている場合にのみ、保存されている前のデータと比較することで追加されたファイル／フォルダ／レジストリキーや値を確認することが可能となります。なお、追加されたコンポーネントは、コンピュータに悪影響を与えるものではないため、削除する必要はありません。

HKEY_CURRENT_USER\Software\Microsoft
- {random key}
HKEY_CURRENT_USER\Software\Microsoft\{random key}
- {random 1} = "{random hex values}"
HKEY_CURRENT_USER\Software\Microsoft\{random key}
- {random 1} = "{random hex values}"
%Application Data%\{random folder 1}
%Application Data%\{random folder 2}
%Application Data%\{random folder 3}
%Application Data%\{random folder 2}\{random file name 2}.tmp
%Application Data%\{random folder 2}\{random file name 2}.{random extension}
%Application Data%\{random folder 3}\{random file name 3}.{random extension}

ご利用はいかがでしたか？　アンケートにご協力ください