• Email
• Facebook
• Twitter
• Google+
• Linkedin

TSPY_ZBOT.ZYA

---

• マルウェアタイプ: スパイウェア
• 破壊活動の有無: なし
• 暗号化: はい
• 感染報告の有無: はい

---

  概要

スパイウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。 ユーザが監視サイトのいずれかにアクセスすると、スパイウェアは、キー入力操作情報を収集します。 スパイウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。

---

  詳細

感染ポイント

スパイウェアは、以下のWebサイトからダウンロードされたファイルとして、コンピュータに侵入します。

• http://{BLOCKED}eglobal.ru/moe/lolo.exe

インストール

スパイウェアは、以下のファイルを作成します。

• %Application Data%\{random1}\{random}.exe
• %Application Data%\{random2}\{random}.{random}

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

スパイウェアは、以下のフォルダを作成します。

• %Application Data%\{random1}
• %Application Data%\{random2}

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{365CD2CA-D0E2-2B36-0EEB-EF30ED0DB36A} = %Application Data%\{random1}\{random}.exe

他のシステム変更

スパイウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
{random}
@ =  

情報漏えい

スパイウェアは、感染したコンピュータ上でInternet Explorer（IE）の使用状況を監視します。スパイウェアは、特にIEのアドレスバーまたはタイトルバー情報を監視しますが、ユーザが銀行関連Webサイトを閲覧しそのサイトのアドレスバーまたはタイトルバーに以下の文字列が含まれていた場合、正規Webサイトを装った偽のログインページを作成します。

• *.microsoft.com/*
• *.trafficexplorer.com*
• *.trueadvantage*
• *login.commbiz.commbank.com.au*
• *superiorads.biz*
• http*bank.com.au/*
• http://*.bmp
• http://*.flv
• http://*.gif
• http://*.jpg
• http://*.png
• http://*.swf
• http://*msn.com/*
• http://*myspace.com/*
• http://*youtube.com/*
• http://ads.*
• http://app.facebook.com/*
• http://apps.facebook.com/*
• http://facebook.com/*
• http://livejournal.com/*
• http://poonstart.ru/xxx/gate.php
• http://saltonline.ru/sydney/index.php
• http://savingsloans.com.au/PCLink_Check.aspx?p=52
• http://www.citibank.com.au/australia/signon1/
• http://www.communitycps.com.au/aspx/banking_view.aspx
• http://www.facebook.com/*
• http://www.membersequitybank.com.au/webBanking
• https://*.bmp
• https://*.flv
• https://*.pncs.com.au/806015v47/*
• https://*.swf
• https://access.imb.com.au/imblogo_small.jpg
• https://access.imb.com.au/personal*
• https://ajax.googleapis.com/ajax/libs/jquery/1.4.2/jquery.min.js
• https://ajax.googleapis.com/ajax/libs/yui/2.8.1/build/animation/animation-min.js
• https://ajax.googleapis.com/ajax/libs/yui/2.8.1/build/container/assets/skins/sam/container.css
• https://ajax.googleapis.com/ajax/libs/yui/2.8.1/build/container/container-min.js
• https://ajax.googleapis.com/ajax/libs/yui/2.8.1/build/cookie/cookie-min.js
• https://ajax.googleapis.com/ajax/libs/yui/2.8.1/build/dragdrop/dragdrop-min.js
• https://ajax.googleapis.com/ajax/libs/yui/2.8.1/build/event-simulate/event-simulate-min.js
• https://ajax.googleapis.com/ajax/libs/yui/2.8.1/build/selector/selector-min.js
• https://ajax.googleapis.com/ajax/libs/yui/2.8.1/build/yahoo-dom-event/yahoo-dom-event.js
• https://businessonline.westpac.com.au/*
• https://ebank.adcu.com.au/mvp352/Login.asp
• https://etacts.com/media/images/ajax-loader.gif
• https://ib.teacherscreditunion.com.au/Login.asp
• https://ibank.humebuild.com.au/login.asp
• https://inetbnkp.adelaidebank.com.au/OnlineBanking/AdBank?xid=*
• https://inetbnkp.adelaidebank.com.au/OnlineBanking/adbanklogo.jpg
• https://internetbanking.suncorpmetway.com.au/sml/logon.asp*
• https://login.commbiz.commbank.com.au/Common/Common.Web/images/cba-logo-whitebg.gif
• https://mvp.bigsky.net.au/mvpbscu/Login.asp
• https://online.corp.westpac.com.au/
• https://online.corp.westpac.com.au/furniture/ui_imgs/bg_header_singlepiece_24b_a.png
• https://online.corp.westpac.com.au/furniture/ui_imgs/esi_btn_signin.png
• https://online.corp.westpac.com.au/furniture/ui_imgs/logo_W_8b_a.png
• https://online.mecu.com.au/daib/logon/cu3140/logon.asp
• https://online.qantascu.com.au/daib/images/logon/cu2035/logo.gif\
• https://online.qantascu.com.au/daib/logon/cu2035/logon.asp
• https://online.savingsloans.com.au/DAIB/Logon/CU5023/Logon.asp
• https://online.savingsloans.com.au/daib/images/logon/cu5023/logo.gif\
• https://online.westpac.com.au/*
• https://pc-easynet.policecredit.com.au/easyaccess/Login.asp*
• https://permonline.newcastlepermanent.com.au/IB*/NPBSBusiness*
• https://permonline.newcastlepermanent.com.au/IB*/NPBSPersonal*
• https://permonline.newcastlepermanent.com.au/IB04/images/logo.gif
• https://saltonline.ru/acd/ACD.js
• https://secariadna.com/cgi-bin/ACD/ACD.js
• https://secure.accu.com.au/secureaccu2/*
• https://secure.accu.com.au/secureaccu2/img/austcenlogo.gif\
• https://secure.ampbanking.com/au/Logon
• https://secure.ampbanking.com/au/Logon
• https://secure.ampbanking.com/au/Logon*
• https://secure.liteforex.org/public/common/images/icons/alert.png
• https://secure.mystate.com.au/secure*
• https://secure.mystate.com.au/secure2/img/logo_main.gif\
• https://static.my.commbank.com.au/static/R240/fo/images/phone.gif
• https://webbanker.cua.com.au/webbanker/CUA?xid=*
• https://webbanker.cua.com.au/webbanker/banner.jpg
• https://www.amp.com.au/wps/portal/au/WPSLogin?*
• https://www.bethelcollege.edu/generalconference/images/progress_bar.gif
• https://www.citibank.com.au/AUGCB/JSO/signon/DisplayUsernameSignon.do
• https://www.citibank.com.au/JPC/portal/images/cnb/citibank_logo.gif\
• https://www.cpsinternetbanking.com.au/DAIB/images/logon/Cu5022/cps_r1_c1.jpg\
• https://www.cpsinternetbanking.com.au/daib/logon/cu5022/logon.asp
• https://www.pcunet1.com.au/mvppolice/Login.asp
• https://www1.membersequitybank.com.au/ME?xid=*
• https://www1.membersequitybank.com.au/logo1.gif
• https://www3.netbank.comm1bank.com.au/static/css/current/fo/images/navArrowOrange.gif?v=10) no-repeat scroll 0 5px;
• https://www3.netbank.commbank.com.au/static/css/current/fo/images/cba-logo-whitebg.gif?v=10
• https://www3.netbank.commbank.com.au/static/css/current/fo/images/highlightPanelBg.png?v=10) repeat-y scroll top left;
• https://www3.netbank.commbank.com.au/static/css/current/fo/images/highlightPanelBottom.png?v=10) no-repeat scroll bottom left;
• https://www3.netbank.commbank.com.au/static/css/current/fo/images/highlightPanelBottomShadow.png?v=10) no-repeat scroll bottom left;
• https://www3.netbank.commbank.com.au/static/css/current/fo/images/highlightPanelTop.png?v=10) no-repeat scroll top left;
• https://www3.netbank.commbank.com.au/static/css/current/fo/images/logon-button.png?v=10) no-repeat scroll top left;
• https://www3.netbank.commbank.com.au/static/css/current/fo/images/registerBanner.png?v=10) no-repeat scroll top left;
• https://www3.netbank.commbank.com.au/static/css/current/fo/images/yellow-line.jpg?v=10) no-repeat scroll 5px bottom;

スパイウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。

スパイウェアは、以下のWebサイトにアクセスし、自身の環境設定ファイルをダウンロードします。

• http://{BLOCKED}ints.ru/moe/lol.dll
• http://{BLOCKED}reglobal.ru/moe/lolo.dll

ユーザが監視サイトのいずれかにアクセスすると、スパイウェアは、キー入力操作情報を収集します。

なお、このファイルの内容である監視Webサイトのリストは、常時変更されます。

スパイウェアは、以下の銀行もしくは金融機関で利用される個人情報を収集します。

• AIB
• Citibank
• Facebook
• Live Journal
• Microsoft
• Myspace
• Net Banking
• PNC
• Westpac Banking Corporation
• YouTube

情報収集

スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

• http://{BLOCKED}reglobal.ru/moe/lol.php

その他

解析の結果、スパイウェアによるバックドア活動は確認されませんでした。

ハッシュ値情報

スパイウェアは、以下のMD5ハッシュ値を含んでいます。

• 7fd31163fe7d29c61767437b2b1234cd

スパイウェアは、以下のSHA1ハッシュ値を含んでいます

• 19833859e7383151a75baf4e904f2be9487e6ae0

---

  対応方法

ご利用はいかがでしたか？　アンケートにご協力ください