TROJ_ZBOT.BYW

スパイウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。 ユーザが監視サイトのいずれかにアクセスすると、スパイウェアは、キー入力操作情報を収集します。 スパイウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。

###############################################################################################################################################################################################################################################################

感染ポイント

スパイウェアは、以下のWebサイトからダウンロードされたファイルとして、コンピュータに侵入します。

• http://creamwithsodahan.com/xman/xman_newhost.exe

インストール

スパイウェアは、＜Windowsシステムフォルダ＞に自身のコピーを作成し、作成したコピーの末尾に判別不可能なコードを追記します。これにより、検出を避けます。作成したコピーには、以下のファイル名が用いられます。

• sdra64.exe

スパイウェアは、以下の無害なファイルを作成します。

• %System%\lowsec\local.ds
• %System%\lowsec\user.ds

(註：%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

スパイウェアは、以下のフォルダの属性をシステムフォルダおよび隠しフォルダに設定します。これにより、自身のコンポーネントの検出および削除を避けます。

• %System%\lowsec

(註：%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

スパイウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• _AVIRA_2109

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = %System%\userinit.exe, %System%\sdra64.exe,

(註：変更前の上記レジストリ値は、「%System%\userinit.exe,」となります。)

他のシステム変更

スパイウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Network
UID = {Computer name}_{Random numbers}

スパイウェアは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = 0

ダウンロード活動

スパイウェアは、以下のWebサイトにアクセスして自身の環境設定ファイルをダウンロードします。

• http://creamwithsodahan.com/xman/xman_newhost.bin

情報漏えい

スパイウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。

ユーザが監視サイトのいずれかにアクセスすると、スパイウェアは、キー入力操作情報を収集します。

スパイウェアは、Webサイトにアクセスしてファイルをダウンロードします。ダウンロードされたファイルには、自身のコピーの更新版ファイルのダウンロード元および収集した情報の送信先が記載されています。なお、上記でダウンロードされたファイルは、環境設定ファイルで、このスパイウェアが情報収集の際に対象とする以下の金融関連Webサイトのリストを含んでいます。

• !http://*
• !*.microsoft.com/*
• !http://*myspace.com*
• https://www.gruposantander.es/*
• !http://*odnoklassniki.ru/*
• !http://vkontakte.ru/*
• @*/login.osmp.ru/*
• @*/atl.osmp.ru/*
• @*hbnet/login/login.aspx?organization*
• http*scripts/injScp.js*
• http://gohjie.ru/script.js
• https://www.hsbc.co.uk/1/2/!ut*
• https://www.paypal.com/##/cgi-bin/webscr?cmd=_login-done*
• https://www.paypal.com/##/cgi-bin/webscr?cmd=_login-done*
• https://www.paypal.com/##/cgi-bin/webscr?cmd=_profile-credit-card-new-clickthru
• https://www.paypal.com/##/cgi-bin/webscr?cmd=_flow&SESSION=*
• https://www.paypal.com/##/cgi-bin/webscr?cmd=_flow&SESSION=*
• https://www.paypal.com/##/cgi-bin/webscr*
• https://onlineeast#.bankofamerica.com/cgi-bin/ias/*/GotoWelcome
• https://onlineeast#.bankofamerica.com/cgi-bin/ias/*/GotoWelcome
• https://onlineeast#.bankofamerica.com/cgi-bin/ias/*/GotoWelcome
• https://sitekey.bankofamerica.com/sas/sas-docs/js/commonscript.js
• https://sitekey.bankofamerica.com/sas/maint.do
• https://onlineeast#.bankofamerica.com/cgi-bin/ias/*/CustomerServiceMenuEntryPoint?custAction=75
• https://www.macys.com/signin/index.ognc
• https://onlinebanking#.wachovia.com/myAccounts.aspx*
• https://onlinebanking#.wachovia.com/myAccounts.aspx*
• https://www#.usbank.com/internetBanking/RequestRouter
• https://www#.usbank.com/internetBanking/RequestRouter
• https://online.citibank.com/US/JPS/portal/Home.do
• https://online.citibank.com/US/*/portal/Home.do
• https://online.wellsfargo.com/das/cgi-bin/session.cgi*
• https://online.wellsfargo.com/das/cgi-bin/session.cgi*
• *.americanexpress.com/myca/acctsumm/us/*
• *.americanexpress.com/myca/acctsumm/us/*
• https://chaseonline.chase.com/MyAccounts.aspx
• https://chaseonline.chase.com/MyAccounts.aspx
• https://banking.commercebank.com/CBI/Accounts/CBI/Summary.aspx
• https://banking.commercebank.com/CBI/Accounts/CBI/Summary.aspx
• https://www.hsbccreditcard.com/ecare/viewaccount*
• https://www.hsbccreditcard.com/ecare/viewaccount*
• https://www.ibsnetaccess.com/NASApp/NetAccess/*
• https://www.ibsnetaccess.com/NASApp/NetAccess/*
• https://www.suntrust.com/portal/server.pt?mode=*
• https://www.suntrust.com/portal/server.pt?mode=*
• *ebc_ebc1961*
• *EBC_EBC1961*
• *ebc_ebc1961*
• *EBC_EBC1961*
• *EBC_EBC1961/EBC_NEC/RSAEncrypt.js*
• *ebc_ebc1961/EBC_NEC/RSAEncrypt.js*
• https://cbs.firstcitizens.com/cb/servlet/cb/loginfcbnc.jsp*
• https://cbs.firstcitizens.com/cb/jsp-ns/inc/auth/fp.js*
• https://businessaccess.citibank.citigroup.com/cbusol/signon.do*
• https://businessaccess.citibank.citigroup.com/cbusol/do/htmlserver/js/env.js*
• http*.webcashmgmt.com*Login*
• http*.webcashmanager.com*Login*
• http*/phcp/servlet*Login*
• http*/wcmfd/*Login*
• http*/phcp/econnection/login/js/login.htm*
• http*/wcmfd/js/LoginCSS.js*
• http*treasury.pncbank.com/portal/esec/login.ht*
• http*treasury.pncbank.com/portal/service/js/loginproc.js*
• http*sso.uboc.com/obc/forms/login.fcc*
• http*sso.uboc.com/js/ub-common.js*
• http*bolb.associatedbank.com*
• http*bolb.associatedbank.com/js/jquery.js*
• http*.53.com*
• http*.53.com*
• http*.53.com*RSAScript.js*
• http*.53.com*RSAScript.js*
• http*ebanking-services.com/*
• http*ebanking-services.com/AUTH/WebResource.axd*
• https://wellsoffice.wellsfargo.com/ceoportal/signon/index.jsp*
• https://chsec.wellsfargo.com/login/login.fcc*
• https://a248.e.akamai.net/6/248/3583/000/wellsoffice.wellsfargo.com/ceoportal/framework/skins/default/js/wria/wria-core-min.js*
• https://businessonline.huntington.com/BOLHome/BusinessOnlineLogin.aspx*
• https://businessonline.huntington.com/common/scripts/common.js*
• https*/pub/html/login.html*
• https://*/cmserver*verify.cfm*
• https://*/cmserver*verify.cfm*
• https://*cmserver/include/ui/uiScripts.js*
• https://*login_ui_includes/login_brandScripts.js*
• https://premierview.membersunited.org/Core/login.aspx*
• https://premierview.membersunited.org/WebResource.axd*
• https://*.web-access.com*welcome.cgi*
• https://*/onlineserv/CM/*
• https://*/onlineserv/CM/std/js/en/disofactor.js*
• https://businessonline.tdbank.com/corporatebankingweb/core/login.aspx*
• https://businessonline.tdbank.com/CorporateBankingWeb/VAM/2_0_2/VAM.js*
• https://authmaster.nationalcity.com/tmgmt/wslogin.jsp*
• https://www.nationalcity.com/consultnc/*
• https://authmaster.nationalcity.com/tmgmt/js/bharosa_uio.js*
• https://www.nationalcity.com/sharedApp/js/isEmpty.js*
• https://*blilk.com/Core/Authentication/MFA*.aspx*
• https://*blilk.com/include/Utils.js*
• https://olb.gnty.com/Login/Username.aspx*
• https://cm.netteller.com/login2008/Authentication/Views/Login.aspx*
• https://cm.netteller.com/login2008/Scripts/NetTellerCorners.js*
• https://securentrycorp.*/Authentication/zbf/k/*
• https://securentrycorp.*/Authentication/lib.js*
• https://ecash.*
• https://*Cashman*
• https://*cashman*
• http*business-eb.ibanking-services.com/K1/*login*jsp*
• http*business-eb.ibanking-services.com*general.js*
• https://access.jpmorgan.com/appmanager/jpmalogonportal/jpmalogonhome*
• https://commercial.wachovia.com/Online/Financial/Business/Service?action=Login*
• https://commercial.wachovia.com/Online/Registration/jsinclude/bidata.js
• http*www.northerntrust.com/*
• http*www3683.ntrs.com*
• http*www.northerntrust.com/incs/scripts.js
• https://www3683.ntrs.com/ptl/ptl/javascript/NavigationMenuScripts.js*
• https://www8.comerica.com/*
• https://www8.comerica.com/images/sdc.js
• https://direct.bankofamerica.com/Core/servlet/BofaDirect.BankofAmericaDirect.BankofAmericaDirectServlet?page=PgLogin*
• https://direct.bankofamerica.com/BofaDirect/javascript/js.util.uiutils.js*
• https://www.us.hsbc.com/1/2/3/business/online/business-internet-banking/log-on*
• https://www.us.hsbc.com/1/themes/html/hbus_common/HSBC-top_section.js*
• https://www.commercial.hsbc.com.hk/1/2/!ut/p/kcxml/*
• https://www.commercial.hsbc.com.hk/1/themes/html/b2gjs/WT_top_section.js*
• https://www.corporatebanking.firsttennessee.com/cb/servlet/cb/jsp-ns/login.jsp*
• https://internetbanking.firsttennessee.biz/webcm/customer1.asp*
• https://cashmgt.firsttennessee.biz/cb/servlet/cb/login.jsp*
• https://treas-mgt.frostbank.com/rdp/cgi-bin/welcome.cgi*
• https://singlepoint.usbank.com/cs70_banking/logon/sbuser*
• https://singlepoint.usbank.com/cs70_banking/user/script/login.js*

ダウンロードされたファイルには、自身のコピーの更新版ファイルのダウンロード元および収集した情報の送信先が記載されています。

なお、このファイルの内容である監視Webサイトのリストは、常時変更されます。

スパイウェアは、以下の銀行もしくは金融機関で利用される個人情報を収集します。

• American Express
• Bank of America
• Caja Laboral
• Chase
• Citibank
• Comerica
• Commerce Bank
• European Central Bank
• FIA Card Service
• Fifth Third
• First Citizens Bank
• First Tennessee
• Frost Bank
• Gohjie
• HSBC
• Huntington Business Online
• Hypercom
• JP Morgan
• Macy's
• Members United
• Microsoft
• Myspace
• National City
• NetTeller
• Northern Trust
• OSPM
• Odnoklassniki
• PNC
• PayPal
• Santander
• Search ResultsiBanking Services
• Suntrust
• TD Bank
• US Bank
• Union Bank of California
• Vkontakte
• Wachovia
• Wells Fargo

情報収集

スパイウェアは、以下のファイル内に収集した情報を保存します。

• %System%\lowsec\user.ds

(註：%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)

スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

• http://creamwithsodahan.com/xman/gogo.php

その他

###############################################################################################################################################################################################################################################################

解析の結果、スパイウェアによるバックドア活動は確認されませんでした。

ハッシュ値情報

スパイウェアは、以下のMD5ハッシュ値を含んでいます。

• 3cd5014e8e3be362241ba217edbdbaa7

スパイウェアは、以下のSHA1ハッシュ値を含んでいます

• 2e9558e91dafa57f761859d73f172fa8a84ccb21