解析者: jasperm   
 別名:

Microsoft: PWS:Win32/Zbot; Symantec_Beta: Trojan.Gen.2; Sunbelt: Trojan.Win32.Generic!BT

 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 感染確認数:
 システムへの影響:
 情報漏えい:

  • マルウェアタイプ:
    スパイウェア

  • 破壊活動の有無:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

  概要

スパイウェアは、他のマルウェアに作成され、コンピュータに侵入します。

スパイウェアは、ユーザが特定のWebサイトにアクセスできないように、感染コンピュータのHOSTSファイルを改変します。

スパイウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。 スパイウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。

スパイウェアは、"Outpost Personal Firewall" および "ZoneLabs Firewall Client" に関連する以下のプロセスの存在を確認します。

  • outpost.exe
  • zlclient.exe

上記のプロセスのいずれかの存在を確認すると、スパイウェアは、そのプロセスを終了します。これにより、確実に自身を実行します。また、スパイウェアは、ルートキット機能を備えており、ユーザから自身のプロセスとファイルを隠ぺいします。

  詳細

ファイルサイズ 177,152 bytes
タイプ PE
メモリ常駐 はい
発見日 2009年11月24日
ペイロード HOSTSファイルの改変, ファイルおよびプロセスの隠ぺい, プロセスの強制終了

侵入方法

スパイウェアは、他のマルウェアに作成され、コンピュータに侵入します。

スパイウェアは、以下の悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

  • http://{BLOCKED}anvik.no/templates/system/botny.exe

インストール

スパイウェアは、以下のフォルダを作成します。

  • %System%\lowsec

(註:%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)

スパイウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

  • _AVIRA_2109

スパイウェアは、以下のプロセスに組み込まれ、システムのプロセスに常駐します。

  • WINLOGON.EXE
  • SVCHOST.EXE

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = %System%\userinit.exe, %System%\sdra64.exe,

(註:変更前の上記レジストリ値は、「%System%\userinit.exe,」となります。)

スパイウェアは、以下のファイルを作成します。

  • %System%\lowsec\local.ds - copy of the encrypted downloaded file
  • %System%\lowsec\user.ds.lll
  • %System%\lowsec\user.ds - used to save the gathered information
  • %system%\sdra64.exe - copy of itself

(註:%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)

他のシステム変更

スパイウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Network
UID = {computer name}_{random numbers}

スパイウェアは、インストールの過程で、以下のレジストリキーを追加します。

HKEY_USERS\.DEFAULT\Software\
Microsoft\ Windows\CurrentVersion\
Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}

HKEY_USERS\.DEFAULT\Software\
Microsoft\ Windows\CurrentVersion\
Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7}

HKEY_USERS\.DEFAULT\Software\
Microsoft\Protected Storage System Provider

スパイウェアは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = 0

HOSTSファイルの改変

スパイウェアは、ユーザが以下のWebサイトにアクセスできないように、感染コンピュータのHOSTSファイルを改変します。

  • 127.0.0.1 downloads
  • 127.0.0.1 downloads
  • 127.0.0.1 downloads
  • 127.0.0.1 downloads
  • 127.0.0.1 downloads
  • 127.0.0.1 rads.mcaf
  • 127.0.0.1 liveupdat
  • 127.0.0.1 liveupdat
  • 127.0.0.1 liveupdat
  • 127.0.0.1 update.sy
  • 127.0.0.1 download7
  • 127.0.0.1 download6
  • 127.0.0.1 download5
  • 127.0.0.1 download4
  • 127.0.0.1 download3
  • 127.0.0.1 download2
  • 127.0.0.1 download1
  • 127.0.0.1 avu.zonel
  • 127.0.0.1 retail.sp
  • 127.0.0.1 retail01.
  • 127.0.0.1 retail02.
  • 127.0.0.1 acs.panda
  • 127.0.0.1 pccreg.an
  • 127.0.0.1 dl1.antiv
  • 127.0.0.1 dl2.antiv
  • 127.0.0.1 dl3.antiv
  • 127.0.0.1 dl4.antiv
  • 127.0.0.1 fr.mcafee
  • 127.0.0.1 mcafee.co
  • 127.0.0.1 antivirus
  • 127.0.0.1 ftp.esafe
  • 127.0.0.1 ftp.europ
  • 127.0.0.1 ftp.syman
  • 127.0.0.1 us.mcafee
  • 127.0.0.1 security.
  • 127.0.0.1 download.
  • 127.0.0.1 shop.syma
  • 127.0.0.1 dispatch.
  • 127.0.0.1 f-secure.
  • 127.0.0.1 kaspersky
  • 127.0.0.1 mast.mcaf
  • 127.0.0.1 secure.na
  • 127.0.0.1 sophos.co

情報漏えい

スパイウェアは、感染したコンピュータ上でInternet Explorer(IE)の使用状況を監視します。スパイウェアは、特にIEのアドレスバーまたはタイトルバー情報を監視しますが、ユーザが銀行関連Webサイトを閲覧しそのサイトのアドレスバーまたはタイトルバーに以下の文字列が含まれていた場合、正規Webサイトを装った偽のログインページを作成します。

  • */my.ebay.com/*CurrentPage=MyeBayPersonalInfo*
  • *.ebay.com/*eBayISAPI.dll?*
  • https://www.us.hsbc.com/*
  • https://www.e-gold.com/acct/li.asp
  • https://www.e-gold.com/acct/balance.asp*
  • https://online.wellsfargo.com/das/cgi-bin/session.cgi*
  • https://www.wellsfargo.com/*
  • https://online.wellsfargo.com/login*
  • https://online.wellsfargo.com/signon*
  • https://www.paypal.com/*/webscr?cmd=_account
  • https://www.paypal.com/*/webscr?cmd=_login-done*
  • https://www#.usbank.com/internetBanking/LoginRouter
  • https://easyweb*.tdcanadatrust.com/servlet/*FinancialSummaryServlet*
  • https://www#.citizensbankonline.com/*/index-wait.jsp
  • https://onlinebanking.nationalcity.com/OLB/secure/AccountList.aspx
  • https://www.suntrust.com/portal/server.pt*parentname=Login*
  • https://www.53.com/servlet/efsonline/index.html*
  • https://web.da-us.citibank.com/*BS_Id=MemberHomepage*
  • *sitekey.bankofamerica.com*
  • https://onlineeast#.bankofamerica.com/cgi-bin/ias/*/GotoWelcome
  • https://online.wamu.com/Servicing/Servicing.aspx?targetPage=AccountSummary
  • https://onlinebanking#.wachovia.com/myAccounts.aspx?referrer=authService
  • *chase.com*
  • https://resources.chase.com/MyAccounts.aspx
  • *usaa.com*
  • *wamu.com*
  • https://bancaonline.openbank.es/servlet/PProxy?*
  • https://extranet.banesto.es/*/loginParticulares.htm
  • https://banesnet.banesto.es/*/loginEmpresas.htm
  • https://empresas.gruposantander.es/WebEmpresas/servlet/webempresas.servlets.*
  • https://www.gruposantander.es/bog/sbi*?ptns=acceso*
  • https://www.bbvanetoffice.com/local_bdno/login_bbvanetoffice.html
  • https://www.bancajaproximaempresas.com/ControlEmpresas*
  • *citibank*
  • https://probanking.procreditbank.bg/main/main.asp*
  • https://ibank.internationalbanking.barclays.com/logon/icebapplication*
  • https://ibank.barclays.co.uk/olb/x/LoginMember.do
  • https://online-offshore.lloydstsb.com/customer.ibc
  • https://online-business.lloydstsb.co.uk/customer.ibc
  • https://www.dab-bank.com*
  • http://www.hsbc.co.uk/1/2/personal/internet-banking*
  • https://www.nwolb.com/Login.aspx*
  • https://home.ybonline.co.uk/login.html*
  • https://home.cbonline.co.uk/login.html*
  • https://welcome27.co-operativebank.co.uk/CBIBSWeb/start.do
  • https://welcome23.smile.co.uk/SmileWeb/start.do
  • https://www.halifax-online.co.uk/_mem_bin/formslogin.asp*
  • https://www2.bancopopular.es/AppBPE/servlet/servin*
  • https://www.bancoherrero.com/es/*
  • https://pastornetparticulares.bancopastor.es/SrPd*
  • https://intelvia.cajamurcia.es/2043/entrada/01entradaencrip.htm
  • https://www.caja-granada.es/cgi-bin/INclient_2031
  • https://www.fibancmediolanum.es/BasePage.aspx*
  • https://carnet.cajarioja.es/banca3/tx0011/0011.jsp
  • https://www.cajalaboral.com/home/acceso.asp
  • https://www.cajasoldirecto.es/2106/*
  • https://www.clavenet.net/cgi-bin/INclient_7054
  • https://www.cajavital.es/Appserver/vitalnet*
  • https://banca.cajaen.es/Jaen/INclient.jsp
  • https://www.cajadeavila.es/cgi-bin/INclient_6094
  • https://www.caixatarragona.es/esp/sec_1/oficinacodigo.jsp
  • http://caixasabadell.net/banca2/tx0011/0011.jsp
  • https://www.caixaontinyent.es/cgi-bin/INclient_2045
  • https://www.caixalaietana.es/cgi-bin/INclient_2042
  • https://www.cajacirculo.es/ISMC/Circulo/acceso.jsp
  • https://areasegura.banif.es/bog/bogbsn*
  • https://www.bgnetplus.com/niloinet/login.jsp
  • https://www.caixagirona.es/cgi-bin/INclient_2030*
  • https://www.unicaja.es/PortalServlet*
  • https://www.sabadellatlantico.com/es/*
  • https://oi.cajamadrid.es/CajaMadrid/oi/pt_oi/Login/login
  • https://www.cajabadajoz.es/cgi-bin/INclient_6010*
  • https://extranet.banesto.es/npage/OtrosLogin/LoginIBanesto.htm
  • https://montevia.elmonte.es/cgi-bin/INclient_2098*
  • https://www.cajacanarias.es/cgi-bin/INclient_6065
  • https://oie.cajamadridempresas.es/CajaMadrid/oie/pt_oie/Login/login_oie_1
  • https://www.gruppocarige.it/grps/vbank/jsp/login.jsp
  • https://bancopostaonline.poste.it/bpol/bancoposta/formslogin.asp
  • https://privati.internetbanking.bancaintesa.it/sm/login/IN/box_login.jsp
  • https://hb.quiubi.it/newSSO/x11logon.htm
  • https://www.iwbank.it/private/index_pub.jhtml*
  • https://web.secservizi.it/siteminderagent/forms/login.fcc
  • https://www.isideonline.it/relaxbanking/sso.Login*
  • https://scrigno.popso.it*
  • https://www.halifax-online.co.uk/MyAccounts/MyAccounts.aspx*
  • https://ibank.barclays.co.uk/olb/x/LoginMember.do
  • https://www.halifax-online.co.uk/_mem_bin/*
  • https://online*.lloydstsb.co.uk/logon.ibc
  • https://home.ybonline.co.uk/ral/loginmgr/*
  • https://www.mybank.alliance-leicester.co.uk/login/*
  • https://www.ebank.hsbc.co.uk/main/IBLogon.jsp
  • https://www.isbank.com.tr/Internet/ControlLoader.aspx*
  • https://light.webmoney.ru/default.aspx
  • https://olb2.nationet.com/MyAccounts/frame_MyAccounts_WP2.asp*
  • https://www*.banking.first-direct.com/1/2/*
  • https://cardsonline-consumer.com/RBSG_Consumer/VerifyLogin.do
  • *//money.yandex.ru/index.xml
  • *//money.yandex.ru/
  • *//mail.yandex.ru/index.xml
  • *//mail.yandex.ru/
  • https://www.rbsdigital.com/Login.asp*
  • https://banking*.anz.com/*
  • https://olb2.nationet.com/signon/signon*
  • https://www.nwolb.com/Login.asp*
  • https://home2ae.cd.citibank.ae/CappWebAppAE/producttwo/capp/action/signoncq.do
  • https://internetbanking.aib.ie/hb1/roi/signon
  • https://lot-port.bcs.ru/names.nsf?#ogin*
  • *wellsfargo.com*
  • https://web.da-us.citibank.com/cgi-bin/citifi/portal/l/l.do
  • https://web.da-us.citibank.com/cgi-bin/citifi/portal/l/autherror.do*
  • https://rupay.com/index.php
  • https://light.webmoney.ru/default.aspx
  • *banquepopulaire.fr/*
  • http://*.osmp.ru/
  • https://www.uno-e.com/local_bdnt_unoe/Login_unoe2.html
  • https://www.ccm.es/cgi-bin/INclient_6105
  • https://www.gruposantander.es/
  • https://banking.*.de/cgi/ueberweisung.cgi
  • https://internetbanking.gad.de/banking
  • https://www.citibank.de/*/jba/mp#/SubmitRecap.do

スパイウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。

スパイウェアは、以下のWebサイトにアクセスし、自身の環境設定ファイルをダウンロードします。

  • http://{BLOCKED}anvik.no/templates/system/sysny.bin

スパイウェアは、以下の銀行もしくは金融機関で利用される個人情報を収集します。

  • eBay
  • HSBC
  • e-gold
  • Wellsfargo
  • PayPal
  • US Bank
  • TD Canada Trust
  • Citizens Bank
  • PNC Bank
  • Sun Trust
  • Fifthy Third Bank
  • Citibank
  • Bank of America
  • Wachovia
  • Chase
  • Open Bank
  • Banesto
  • Grupo Santader
  • BBVA
  • Bancaja Empresas
  • Procredit Bank
  • Barclays
  • Lloyds TSB
  • DAB Bank
  • NatWest
  • Yorkshire Bank
  • Clydesdale Bank
  • Co-operative Bank
  • Halifax
  • Banco Popular
  • Banco Herrero
  • Banco Pastor
  • Caja Murcia
  • Banco Mediolanum
  • Caja Rioja
  • Caja Laboral
  • Caja Soldirecto
  • Clavenet
  • Caja Vital
  • Caja de Avila
  • Caixa Tarragona
  • Caixa Sabadell
  • Caixa Ontinyent
  • Caixa Laietana
  • Caja Circulo
  • Banif
  • Banco Guipuzcoano
  • Uni Caja
  • SabadellAtlantico
  • Caja Madrid
  • Caja Badajoz
  • Banesto
  • El Monte
  • Caja Canarias
  • Caja Madrid Empresas
  • Gruppo Carige
  • Banca Intesa
  • Qui UBI
  • IWBank
  • Sec Servizi
  • Banca Popolare di Sondrio
  • Alliance & Leicester
  • Türkiye İş Bankası
  • WebMoney
  • Nationwide
  • First Direct
  • Royal Bank of Scotland
  • Yandex
  • RBS Digital
  • Rupay
  • Banque Populaire

情報収集

スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

  • http://{BLOCKED}rp.com/stat/gate_in.php

その他

スパイウェアは、"Outpost Personal Firewall" および "ZoneLabs Firewall Client" に関連する以下のプロセスの存在を確認します。

  • outpost.exe
  • zlclient.exe

上記のプロセスのいずれかの存在を確認すると、スパイウェアは、そのプロセスを終了します。これにより、確実に自身を実行します。また、スパイウェアは、ルートキット機能を備えており、ユーザから自身のプロセスとファイルを隠ぺいします。

  対応方法

対応検索エンジン: 8.900
VSAPI パターンファイル: 06.648.02
VSAPI パターンリリース日: 2009年11月24日
VSAPI パターンリリース日: 11/24/2009 12:00:00 AM

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

スタートアップディスク、または、回復コンソールを用いて、「TSPY_ZBOT.ANX」として検出されたファイルを確認し削除します。

[ 詳細 ]

手順 3

変更されたレジストリ値を修正します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    • From: Userinit = %System%\userinit.exe, %System%\sdra64.exe,
      To: Userinit = %System%\userinit.exe,

手順 4

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
    • EnableFirewall = 0
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network
    • UID = {computer name}_{random numbers}

手順 5

このレジストリキーを削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_USERS\.DEFAULT\Software\Microsoft
    • Protected Storage System Provider
  • In HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer
    • {43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}
  • In HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer
    • {19127AD2-394B-70F5-C650-B97867BAA1F7}

手順 6

以下のフォルダを検索し削除します。

[ 詳細 ]
フォルダが隠しフォルダ属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。 %System%\lowsec

手順 7

不正プログラム/グレイウェア/スパイウェアがHOSTSファイルに追加した文字列を削除します。

[ 詳細 ]
      127.0.0.1 downloads
      127.0.0.1 downloads
      127.0.0.1 downloads
      127.0.0.1 downloads
      127.0.0.1 downloads
      127.0.0.1 rads.mcaf
      127.0.0.1 liveupdat
      127.0.0.1 liveupdat
      127.0.0.1 liveupdat
      127.0.0.1 update.sy
      127.0.0.1 download7 
      127.0.0.1 download6 
      127.0.0.1 download5 
      127.0.0.1 download4 
      127.0.0.1 download3 
      127.0.0.1 download2 
      127.0.0.1 download1 
      127.0.0.1 avu.zonel
      127.0.0.1 retail.sp
      127.0.0.1 retail01.
      127.0.0.1 retail02.
      127.0.0.1 acs.panda
      127.0.0.1 pccreg.an
      127.0.0.1 dl1.antiv
      127.0.0.1 dl2.antiv
      127.0.0.1 dl3.antiv
      127.0.0.1 dl4.antiv
      127.0.0.1 fr.mcafee
      127.0.0.1 mcafee.co
      127.0.0.1 antivirus
      127.0.0.1 ftp.esafe
      127.0.0.1 ftp.europ
      127.0.0.1 ftp.syman
      127.0.0.1 us.mcafee
      127.0.0.1 security.
      127.0.0.1 download.
      127.0.0.1 shop.syma
      127.0.0.1 dispatch.
      127.0.0.1 f-secure.
      127.0.0.1 kaspersky
      127.0.0.1 mast.mcaf
      127.0.0.1 secure.na
      127.0.0.1 sophos.co

    To edit your computer's HOSTS files:

    1. Open the following file using a text editor (such as NOTEPAD):
      • On Windows 98 and ME:
        %Windows%HOSTS.SAM
      • On Windows NT, 2000, XP, and Server 2003:
        %System%driversetcHOSTS
    2. Delete the following entries:
        127.0.0.1 downloads
        127.0.0.1 downloads
        127.0.0.1 downloads
        127.0.0.1 downloads
        127.0.0.1 downloads
        127.0.0.1 rads.mcaf
        127.0.0.1 liveupdat
        127.0.0.1 liveupdat
        127.0.0.1 liveupdat
        127.0.0.1 update.sy
        127.0.0.1 download7 
        127.0.0.1 download6 
        127.0.0.1 download5 
        127.0.0.1 download4 
        127.0.0.1 download3 
        127.0.0.1 download2 
        127.0.0.1 download1 
        127.0.0.1 avu.zonel
        127.0.0.1 retail.sp
        127.0.0.1 retail01.
        127.0.0.1 retail02.
        127.0.0.1 acs.panda
        127.0.0.1 pccreg.an
        127.0.0.1 dl1.antiv
        127.0.0.1 dl2.antiv
        127.0.0.1 dl3.antiv
        127.0.0.1 dl4.antiv
        127.0.0.1 fr.mcafee
        127.0.0.1 mcafee.co
        127.0.0.1 antivirus
        127.0.0.1 ftp.esafe
        127.0.0.1 ftp.europ
        127.0.0.1 ftp.syman
        127.0.0.1 us.mcafee
        127.0.0.1 security.
        127.0.0.1 download.
        127.0.0.1 shop.syma
        127.0.0.1 dispatch.
        127.0.0.1 f-secure.
        127.0.0.1 kaspersky
        127.0.0.1 mast.mcaf
        127.0.0.1 secure.na
        127.0.0.1 sophos.co

手順 8

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TSPY_ZBOT.ANX」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください