TSPY_ZBOT.TIBAECT

2018年8月23日

解析者: Augusto II Remillano

別名:

Trojan-Spy.Win32.Zbot.wgke (Kaspersky)

プラットフォーム:

Windows

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ: スパイウェア/情報窃取型
破壊活動の有無: なし
暗号化:
感染報告の有無: はい

概要

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ただし、情報公開日現在、このWebサイトにはアクセスできません。

詳細

ファイルサイズ 446,464 bytes

タイプ EXE

メモリ常駐はい

発見日 2018年8月23日

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、以下のファイルを作成します。

%Application Data%\{random folder name 1}\{random filename 1}.exe
%Application Data%\{random folder name 2}\{random filename 2}.{random file extension 1}
%Application Data%\{random folder name 2}\{random filename 2}.tmp
%Application Data%\{random folder name 3}\{random filename 3}.{random file extension 2}
%User Temp%\tmp{random}.bat

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。. %User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

スパイウェアは、以下のフォルダを作成します。

%Application Data%\{random folder name 1}
%Application Data%\{random folder name 2}
%Application Data%\{random folder name 3}

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random value 1} = "%Application Data%\{random folder name 1}\{random filename 1}.exe"

他のシステム変更

スパイウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
{random registry key}

スパイウェアは、インストールの過程で以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
{random registry key}
{random value 2} = {hex value}

その他

スパイウェアは、以下の不正なWebサイトにアクセスします。

http://www.{BLOCKED}nironworrks.net/adams/agree/ject/craop/file.php

ただし、情報公開日現在、このWebサイトにはアクセスできません。