TSPY_ZBOT.ERK

スパイウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。

感染ポイント

スパイウェアは、以下のWebサイトからダウンロードされたファイルとして、コンピュータに侵入します。

• http://sweetygg.com/yourbot.exe

インストール

スパイウェアは、以下のフォルダを追加します。

• %Application Data%\{random1}
• %Application Data%\{random2}

(註：%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\＜ユーザ名＞\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Application Data" です。)

スパイウェアは、以下のプロセスにコードを組み込み、システムのプロセスに常駐します。

• rdpclip.exe
• ctfmon.exe
• wscntfy.exe
• taskeng.exe
• taskhost.exe

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{AC242F0C-72CB-67C1-AD51-2F457FEA7550} = %Application Data%\{random1}\{random}.exe

スパイウェアは、以下のファイルを作成します。

• %Application Data%\{random1}\{random}.exe
• %Application Data%\{random2}\{random}.ard

(註：%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\＜ユーザ名＞\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Application Data" です。)

他のシステム変更

スパイウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Windows%\\Explorer.EXE = %Windows%\Explorer.EXE:Enabled:*:Windows Explorer

ダウンロード活動

スパイウェアは、以下のWebサイトにアクセスして自身の環境設定ファイルをダウンロードします。

• http://sweetygg.com/config.bin

情報漏えい

スパイウェアは、Webサイトにアクセスしてファイルをダウンロードします。ダウンロードされたファイルには、自身のコピーの更新版ファイルのダウンロード元および収集した情報の送信先が記載されています。なお、上記でダウンロードされたファイルは、環境設定ファイルで、このスパイウェアが情報収集の際に対象とする以下の金融関連Webサイトのリストを含んでいます。

• !*.microsoft.com/*
• !http://*myspace.com*
• https://www.gruposantander.es/*
• !http://*odnoklassniki.ru/*
• !http://vkontakte.ru/*
• @*/login.osmp.ru/*
• @*/atl.osmp.ru/*
• https://chaseonline.chase.com/MyAccounts.*
• *chaseonline.chase.com/MyAccounts*
• *.chase.com/MyAccounts*
• https://online.wellsfargo.com/das/cgi-bin/session.cgi*
• https://online.wellsfargo.com/das/cgi-bin/session.cgi*
• https://banking.commercebank.com/cbi/login*
• https://www.gotomycard.com/*
• https://www.gotomycard.com/accounts.asp
• https://www.hsbccreditcard.com/*
• https://www.hsbccreditcard.com/ecare/*
• https://www.ibsnetaccess.com/NASApp/*
• https://www.ibsnetaccess.com/NASApp/NetAccess/*
• https://onlinebanking.nationalcity.com/OLB/secure/AccountList*
• https://onlinebanking.nationalcity.com/OLB/secure/*
• https://www.suntrust.com/*
• https://www.suntrust.com/portal/server.pt?mode=*
• https://www.usaa.com/inet/ent_home/CpHome
• https://www.usaa.com/*
• https://www*.usbank.com/internetBanking/RequestRouter
• https://www*.usbank.com/internetBanking/RequestRouter*DisplayAccountSummary*
• https://www*.usbank.com/internetBanking/RequestRouter?requestCmdId*
• https://www.macys.com/myinfo/index.ognc
• https://onlinebanking#.wachovia.com/*
• https://online*.bankofamerica.com/cgi-bin/*GotoWelcome*
• https://onlineeast#.bankofamerica.com/cgi-bin/ias/*
• https://myaccountsaws.navyfcu.org/nfoaa/accounts/*
• https://myaccountsaws.navyfcu.org/nfoaa/main/top
• https://www.statementlook.com/fdr_ge.service?TRANTYPE=HOM*
• https://www.accessmycardonline.com/RBS_Consumer/*
• https://www.accountcentralonline.com/cmuser/myacct/*
• https://www.accountonline.com/cards/svc/Dashboard.do*
• https://credit.compassbank.com/Compass_Consumer/*
• https://www.creditonebank.com/Summary.aspx*
• https://www3.financialtrans.com/tf/Vision/*
• https://www.myaccountaccess.com/onlineCard/postLogin.do?phase=start
• https://www.mypremiercreditcard.com/index.aspx*
• https://www.wilmingtontrust.com/wtcom/index.jsp?section=MyHome*
• https://*.americanexpress.com/*
• https://*.americanexpress.com/myca/acctsumm/*
• *.cey-ebanking.com/CLKCCM/*/passmark/*
• https://login.countrywide.com/slogin*
• *.ebtaccount.jpmorgan.com/*
• https://www.ebtaccount.jpmorgan.com/*/Accounts/*
• http://www.ncsecu.org/*
• https://onlineaccess.ncsecu.org/login.aspx
• *.netspend.com/account/welcome.m*
• https://www.netspend.com/account/welcome.m*
• https://www.ocfcu.org/onlineserv/HB*FrameNavigationComponent*
• https://www.ocfcu.org/onlineserv/HB*Summary*
• https://www.whitneybank.web-access.com/whitney/cgi-bin/welcome.cgi*
• *whitneybank.web-access.com/whitney/cgi-bin/welcome.cgi?continue
• https://onlinebanking.capitalone.com/CAPITALONE/Accounts/Summary.aspx
• https://online.wellsfargo.com/das/cgi-bin/session.cgi*
• https://online.wellsfargo.com/das/cgi-bin/session.cgi*
• *onlinebanking*.wachovia.com/myAccounts.aspx*
• *accountonline.com/cards/svc/Dashboard.do
• *discovercard.com/cardmembersvcs/achome/homepage*
• *hsbc.com/1/2/3/personal/online-services/personal-internet-banking/view-accounts/account-summary*
• *onlinebanking.pnc.com/alservlet/VerifyP*
• *suntrust.com/portal/server.pt?mode=2*
• *securentrycorp.zionsbank.*/Authentication/zbf/*
• https://wellsoffice.wellsfargo.com/portal/signon/index.jsp
• https://www*.americanexpress.com/*
• https://www*.americanexpress.com/myca/acctsumm/*
• https://online.citibank.com/US/JPS/portal/Home.do
• https://online.citibank.com/*/*/portal/Index*
• https://online.citibank.com/*/*/signoff/SummaryRecord.*
• https://online.citibank.com/US/JRS/portal/menu.do*
• https://www.ibsnetaccess.com/NASApp/*
• https://www.ibsnetaccess.com/NASApp/NetAccess/*
• https://onlinebanking.nationalcity.com/OLB/secure/AccountList*
• https://onlinebanking.nationalcity.com/OLB/secure/*
• https://www.usaa.com/inet/ent_home/CpHome
• https://www.usaa.com/*
• https://www*.usbank.com/internetBanking/RequestRouter
• https://www*.usbank.com/internetBanking/RequestRouter*DisplayAccountSummary*
• https://www*.usbank.com/internetBanking/RequestRouter?requestCmdId*
• https://www.svbconnect.com/*
• *securentrycorp.calbanktrust*/Authentication/zbf/*
• *securentrycorp.nbarizona.*/Authentication/zbf/*
• *securentrycorp.amegybank.*/Authentication/zbf/*
• https://ach.shazam.net/wcmfd/wcmpw/CustomerLogin
• https://webexpress.tdbank.com/wcmfd/wcmpw/CustomerLogin
• https://bob.sovereignbank.com/wcmfd/wcmpw/CustomerLogin
• https://140278.webcashmgmt.com/wcmfd/wcmpw/CustomerLogin
• https://columbiabank.webcashmgmt.com/wcmfd/wcmpw/CustomerLogin
• https://lakecitybank.webcashmgmt.com/wcmfd/wcmpw/CustomerLogin
• https://cityntl.webcashmgmt.com/wcmfd/wcmpw/CustomerLogin
• https://bpna.webcashmanager.com/wcmfd/wcmpw/CustomerLogin
• https://iris73test.webcashmgmt.com/wcmfd/wcmpw/CustomerLogin
• https://ccb.webcashmanager.com/wcmfd/wcmpw/CustomerLogin
• https://onb.webcashmgmt.com/wcmfd/wcmpw/CustomerLogin
• https://fhbguam.webcashmgmt.com/wcmfd/wcmpw/CustomerLogin
• https://psb.webcashmgmt.com/wcmfd/wcmpw/CustomerLogin
• https://cbky.webcashmgmt.com/wcmfd/wcmpw/CustomerLogin
• https://fhbhi.webcashmgmt.com/wcmfd/wcmpw/CustomerLogin
• https://oceanbank.webcashmgmt.com/wcmfd/wcmpw/CustomerLogin
• */phcp/servlet/*LoginServlet
• *businessonline.huntington.com/BOLHome/BusinessOnlineLogin.aspx
• *business-eb.ibanking-services.com/K1/sb_login.jsp?*
• https://www8.comerica.com/pkmslogin.form
• http://www.ncsecu.org/*
• https://onlineaccess.ncsecu.org/login.aspx
• https://usgateway2.rbs.com/usgateway/cb/gpsmoneymanager.jsp
• *usgateway2.rbs.com/usgateway/cb/gpsmoneymanager.jsp?continue
• *e-access.compassbank.com/bbw/cmserver/welcome/default/verify.cfm
• *e-access.compassbank.com/bbw/cmserver/welcome/default/verify.cfm?continue
• *53.com/servlet/efsonline*
• *businessaccess.citibank.citigroup.com/*/signon.do*
• *businessaccess.citibank.citigroup.com/cbusol/privacy.do?continue
• https://*treasury.pncbank.com/*/login.ht
• *treasury.pncbank.com/portal/esec/login.ht?continue
• *access.jpmorgan.com/appmanager/jpmalogonportal/jpmalogonhome
• *access.jpmorgan.com/appmanager/jpmalogonportal/jpmalogonhome?_nfpb=true&continue

スパイウェアは、以下の銀行もしくは金融機関で利用される個人情報を収集します。

• Amegy Bank
• American Express
• Bank of America
• California Bank & Trust
• Capital One
• Chase
• Citi Cards
• CitiBank
• Comerica
• Commerce Bank
• Compass Bank
• Credit One Bank
• Discover Credit Cards
• Elan Credit Card Services
• FIA Card Services
• Fifth Third
• GoToMyCard
• HSBC
• JP Morgan
• Macy's
• Microsoft
• Money Manager
• Myspace
• National Bank of Arizona
• National City
• Navy Federal Credit
• NetSpend
• OSPM
• Odnoklassniki
• Orange County Federal Credit Union
• PNC Bank
• PREMIER Bankcard
• RBS
• Raiffeisen
• Santander
• Shazam
• Silicon Valley Bank
• Sovereignb Bank
• State Employees' Credit Union
• Statementlook
• Suntrust
• TD Bank
• US Bank
• USAA
• Vkontakte
• Wachovia
• Wells Fargo
• Whitney Bank
• Wilmington Trust
• Zions Bank
• cey-ebanking

情報収集

スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

• http://sweetygg.com/gotoin.php

ハッシュ値情報

スパイウェアは、以下のMD5ハッシュ値を含んでいます。

• c9578aeaf96ca8723329996e099d2d69

スパイウェアは、以下のSHA1ハッシュ値を含んでいます

• 3fb7bfcd0b99c1688aeb732bddfdcde7f085b3ed