Trend Micro Security

TSPY_ZBOT.UOH

2012年10月8日
 解析者: Marfel Tiamzon   
 プラットフォーム:

Windows 2000, XP, Server 2003

 危険度:
 感染確認数:
 システムへの影響:
 情報漏えい:


  • マルウェアタイプ: スパイウェア
  • 破壊活動の有無: なし
  • 暗号化: なし
  • 感染報告の有無: はい

  概要


スパイウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。 ユーザが監視サイトのいずれかにアクセスすると、スパイウェアは、キー入力操作情報を収集します。 スパイウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。

スパイウェアは、銀行または金融関連機関のリストから情報を収集します。

###############################################################################################################################################################################################################################################################

  詳細

ファイルサイズ 117,760 bytes
タイプ EXE
メモリ常駐 はい
発見日 2010年9月3日
ペイロード プロセスの強制終了, ファイルおよびプロセスの隠ぺい, ファイルの作成

感染ポイント

スパイウェアは、以下のWebサイトからダウンロードされたファイルとして、コンピュータに侵入します。

  • http://{BLOCKED}ec.com/ca99.exe

インストール

スパイウェアは、<Windowsシステムフォルダ>に自身のコピーを作成し、作成したコピーの末尾に判別不可能なコードを追記します。これにより、検出を避けます。作成したコピーには、以下のファイル名が用いられます。

  • sdra64.exe

スパイウェアは、以下の無害なファイルを作成します。

  • %System%\lowsec\local.ds - copy of the encrypted downloaded file
  • %System%\lowsec\user.ds - used to save the gathered information

(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

スパイウェアは、以下のフォルダの属性をシステムフォルダおよび隠しフォルダに設定します。これにより、自身のコンポーネントの検出および削除を避けます。

  • %System%\lowsec

(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

スパイウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

  • _AVIRA_2108
  • _AVIRA_2109

スパイウェアは、以下のプロセスに自身を組み込み、システムのプロセスに常駐します。

  • SVCHOST.EXE
  • WINLOGON.EXE

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = %System%\userinit.exe, %System%\sdra64.exe,

(註:変更前の上記レジストリ値は、「%System%\userinit.exe,」となります。)

他のシステム変更

スパイウェアは、インストールの過程で以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Network
UID = {Computer name}_{Random numbers}

スパイウェアは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = 0

情報漏えい

スパイウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。

スパイウェアは、以下のWebサイトにアクセスし、自身の環境設定ファイルをダウンロードします。

  • http://{BLOCKED}ec.com//ca99.so
  • http://{BLOCKED}s.com/ca.so

ユーザが監視サイトのいずれかにアクセスすると、スパイウェアは、キー入力操作情報を収集します。

スパイウェアは、Webサイトにアクセスしてファイルをダウンロードします。ダウンロードされたファイルには、自身のコピーの更新版ファイルのダウンロード元および収集した情報の送信先が記載されています。なお、上記でダウンロードされたファイルは、環境設定ファイルで、このスパイウェアが情報収集の際に対象とする以下の金融関連Webサイトのリストを含んでいます。

  • *.citibank.com/US/JPS/portal/Index.do*
  • *.citibank.com/US/JRS/portal/accountSummary.do
  • *capitalone.com*
  • *citizensbankonline.com*
  • htt*://*wellsfargo.com*
  • http*www.hsbc.ca*
  • http://fbtonline.com/home/
  • https://######.epassporte.com/secure/epassporte.cgi
  • https://*.bankofamerica.com/cgi-bin/ias/*
  • https://*.bmo.com/*
  • https://*.citizensbankmoneymanagergps.com/cb/servlet/cb/*
  • https://*.citizensbankonline.com/efs/servlet/efs/login-questions*
  • https://*.firstbanks.com/olb/*
  • https://*.libertyreserve.com/en/customer/login2/choice/*
  • https://*.moneymanagergps.com/cb/servlet/cb/login.jsp?BrandID=cob
  • https://*.secureinternetbank.com/*WCI=MFA*
  • https://*.secureinternetbank.com/*WCI=NextLoginOption*
  • https://*.secureinternetbank.com/pbi_*/*Logon*
  • https://*.tdcanadatrust.com/*
  • https://*.usbank.com/internetBanking/RequestRout*
  • https://*.wachovia.com/myAccounts*
  • https://*bmo.com/cgi-bin/netbnx/NBmain/Password
  • https://*citibankonline.ca/*
  • https://*conline.cibc.com/olbtxn/authentication/*.cibc
  • https://*easyweb36w.tdcanadatrust.com/*
  • https://*scotiaonline.scotiabank.com/online/*
  • https://alltimetreasury.pacificcapitalbank.com/TekPortfolio/servlet/TB_UI_Controller*
  • https://banking.calbanktrust.com/iLogin.jsp
  • https://banking.commercebank.com/cbi/login.*
  • https://banking.zionsbank.com/zfnb/*/viewAccount
  • https://banking.zionsbank.com/zfnb/userServlet/app/bank/user/SecurEntryMaintenance
  • https://banking.zionsbank.com/zfnb/userServlet/app/bank/user/viewaccountsbysubtype/viewAccount
  • https://billpay.suntrust.com*
  • https://businessclassonline.compassbank.com/fi20012_Banking/bb/*
  • https://businessonline.tdbank.com/CorporateBankingWeb/Core/Login.aspx*
  • https://bvi.bnc.ca/*
  • https://command.onlinebank.com/*/AOP/Challenge.*
  • https://commerceconnections.commercebank.com/ibank/cmserver/welcome/default/verify.cfm
  • https://easy*.tdcanadatrust.com/servlet/*FinancialSummaryServlet*
  • https://easyweb*.tdcanadatrust.com/servlet/*Login*
  • https://ebanking.oldnational.com/EnhancedAuth/IAAuthentication*
  • https://homebanking.national1st.org/commonfiles/HBLogins/Loginv*
  • https://homebanking.pacu.com/*HBLoginv*Login*
  • https://homebanking.swfinancial.org/commonfiles/HBLogins/Loginv*
  • https://homebanking.usnmfcu.org/commonfiles/HBLogins/Loginv*
  • https://iti.fnb-online.com/PBI_*/*NextLoginOption*
  • https://ktt.key.com/ktt/cmd/logon 2
  • https://my.if.com/PlanReviewAct/plan.asp
  • https://online.bbandt.com/online/servlet/efsonline/index.html
  • https://online.citibank.com/US/*/portal/Home.do*
  • https://online.citibank.com/US/*/portal/HomePage.do?SYNC_TOKEN*
  • https://online.citibank.com/US/*/portal/menu.do*
  • https://online.standardlife.com/cia2indv/IndividualAuthenticationServlet
  • https://online.wellsfargo.com/das/cgi-bin/session.cgi*
  • https://online.wellsfargo.com/login*
  • https://onlinebanking.bankofoklahoma.com/BOK/IA/Challenge*
  • https://onlinebanking.huntington.com/Auth/Login*
  • https://onlinebanking.mandtbank.com/RetailChallenge*
  • https://onlinebanking.postoakbank.com/PassMarkUnrecognized.*
  • https://onlinebanking.tcfexpress.com/*/logon/*/challenge*
  • https://onlinebanking.tdbank.com/ia_fp/ia_challenge.*
  • https://onlineeast#.bankofamerica.com/cgi-bin/ias/*/GotoWelcome
  • https://pcaccess.chevronfcu.org/HomeBanking/SF/Signin/SFChallengeQuestion*
  • https://secure.ally.com/allyWebClient/accountList.do
  • https://secure.ally.com/allyWebClient/authChallenges.do
  • https://secure.ally.com/allyWebClient/login.do
  • https://secure.ingdirect.ca/INGDirect.htm*
  • https://secure.southeasternbank.com/cgi-bin/hbproxy.exe/*/newlog*
  • https://securebank.regions.com/IA/Challenge.*
  • https://securentry.amegybank.com/Authentication/*
  • https://securentry.zionsbank.com/*
  • https://securentry.zionsbank.com/Enrollment/zbf/editimgphrase.jsp
  • https://sitekey.bankofamerica.com/sas/*
  • https://wired2.businessmanager.com/signon/signon.do*
  • https://www*.americanexpress.com/*
  • https://www*.americanexpress.com/myca/acctsumm/*
  • https://www.businesse-cashmanager.web-access.com/natpenn/cgi-bin/welcome.cgi
  • https://www.careerbuilder.com/Share/Login.aspx*
  • https://www.cibconline.cibc.com/olbtxn/accounts/MyAccounts.*
  • https://www.coastcapitalsavings.com/Online_Banking/Accounts/
  • https://www.e-bankplus.net/onlineserv/HB/Login.*
  • https://www.eastwestbankhb.com/onlineserv/CM/*
  • https://www.ecathay.com/onlineserv/CM/ /
  • https://www.enternetbank.com/*
  • https://www.hsbc.ca/1/2/*
  • https://www.ibsnetaccess.com/NASApp/*
  • https://www.ibsnetaccess.com/NASApp/NetAccess/*
  • https://www.independentcm.com/onlineserv/CM/
  • https://www.libertyreserve.com/*
  • https://www.libertyreserve.com/EN/customer/account*
  • https://www.nwolb.com*
  • https://www.offshore.hsbc.com/1/2/*
  • https://www.onlinebanking.pnc.com/alservlet/SignonInitServlet*
  • https://www.scotiaonline.scotiabank.com/portal/index.*
  • https://www.securechemicalbankmi.com/onlineserv/CM/
  • https://www.services.cyota.net/osi_ecb/risk_based_authentication/*partner=SVL
  • https://www.skagitonlinebanking.com/onlineserv/CM/
  • https://www.suntrust.com/portal/server.pt?space=Community*
  • https://www.svbconnect.com/*
  • https://www.svbconnect.com/security/integratedLoginAuth.do
  • https://www.svbconnect.com/useraccess/Login.jsp
  • https://www.treasurypathways.com/pub/html/pt/RSApm/loginID.html
  • https://www.txn.banking.pcfinancial.ca/a/authentication/*
  • https://www.us.hsbc.com/*
  • https://www.us.hsbc.com/*business.online*
  • https://www.usaa.com/inet/ent_logon*
  • https://www.vancity.com/MyBusiness/ToolsAndSupport/WaysToBank/Online/Accounts/
  • https://www.whitneybank.web-access.com/whitney/cgi-bin/welcome.cgi
  • https://www1.royalbank.com/*
  • https://www1.royalbank.com/cgi-bin/rbaccess/*

ダウンロードされたファイルには、自身のコピーの更新版ファイルのダウンロード元および収集した情報の送信先が記載されています。

なお、このファイルの内容である監視Webサイトのリストは、常時変更されます。

スパイウェアは、以下の銀行もしくは金融機関で利用される個人情報を収集します。

  • Akbank
  • American Express
  • Bank of America
  • Capital One
  • Citibank
  • Citizens
  • Compass Bank
  • First Bank
  • HSBC
  • ING Direct
  • Key Total Treasury
  • Liberty Reserve
  • M&T Bank
  • Money Manager
  • Natwest
  • PNC
  • RBC
  • Raiffeisen
  • Scotiabank
  • Silicon Valley Bank
  • Suntrust
  • TD Canada Trust
  • US Bank
  • USAA
  • Wachovia
  • Wells Fargo
  • Zions Bank

攻撃対象

スパイウェアは、銀行または金融関連機関のリストから情報を収集します。

情報収集

スパイウェアは、以下のファイル内に収集した情報を保存します。

  • %System%\lowsec\user.ds

(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

  • http://{BLOCKED}ec.com/go.php

その他

###############################################################################################################################################################################################################################################################

解析の結果、スパイウェアによるバックドア活動は確認されませんでした。

ハッシュ値情報

スパイウェアは、以下のMD5ハッシュ値を含んでいます。

  • 412dbd9e99d637e33786cc33f57ad1a5

スパイウェアは、以下のSHA1ハッシュ値を含んでいます

  • a2a4365ba3a30d40705949c99ed38581f5ce81dc

  対応方法

対応検索エンジン: 8.900

手順 1

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TSPY_ZBOT.UOH」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 2

以下のフォルダを検索し削除します。

[ 詳細 ]
註:このフォルダは、隠しフォルダとして設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。 DATA_GENERIC
  • [探す場所]の一覧から[マイコンピュータ]を選択し、[検索]を押します。
  • 検索が終了したら、フォルダを選択し、SHIFT+DELETEを押します。これにより、フォルダが完全に削除されます。

    • 手順 3

    変更されたレジストリ値を修正します。

    [ 詳細 ]

    警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
    レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
    レジストリの編集前にこちらをご参照ください。

     
    • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
      • From: Userinit = %System%\userinit.exe, %System%\sdra64.exe,
        To: Userinit = %System%\userinit.exe,

    手順 4

    このレジストリ値を削除します。

    [ 詳細 ]

    警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
    レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
    レジストリの編集前にこちらをご参照ください。

    • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network
      • UID = {Computer name}_{Random numbers}


      • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
        • EnableFirewall = 0

    手順 5

    Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。


    ご利用はいかがでしたか? アンケートにご協力ください