TSPY_ZBOT.IW

スパイウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。

侵入方法

スパイウェアは、以下の悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

• http://{BLOCKED}2.{BLOCKED}0.164.204/email/wu.exe
• http://{BLOCKED}utvisuals.com/clients/canada.exe

インストール

スパイウェアは、以下のフォルダを追加します。

• %Application Data%\{random1}
• %Application Data%\{random2}

(註：%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\＜ユーザ名＞\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Application Data" です。)

スパイウェアは、以下のプロセスに自身を組み込み、システムのプロセスに常駐します。

• dwm.exe
• rdpclip.exe
• ctfmon.exe
• wscntfy.exe
• taskeng.exe
• taskhost.exe

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random CLSID} = "%Application Data%\{random1}\{random}.exe"

他のシステム変更

スパイウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
{random}

作成活動

スパイウェアは、以下のファイルを作成します。

• %Application Data%\{random1}\{random}.exe
• %Application Data%\{random2}\{random}.{random}

(註：%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\＜ユーザ名＞\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Application Data" です。)

ダウンロード活動

スパイウェアは、以下のWebサイトにアクセスして自身の環境設定ファイルをダウンロードします。

• http://{BLOCKED}2.{BLOCKED}0.164.204/email/{BLOCKED}relmail.jpg

情報漏えい

スパイウェアは、Webサイトにアクセスしてファイルをダウンロードします。ダウンロードされたファイルには、自身のコピーの更新版ファイルのダウンロード元および収集した情報の送信先が記載されています。なお、上記でダウンロードされたファイルは、環境設定ファイルで、このスパイウェアが情報収集の際に対象とする以下の金融関連Webサイトのリストを含んでいます。

• *.bmo.com/OLB/fin/vie/als/*
• */*.libertyreserve.com/*
• */atl.osmp.ru/*
• */login.osmp.ru/*
• *53.com/servlet/efsonline*
• *bmo.com/OLB/fin/vie/als/accountDetails?mode=confirmation&buttonClicked=*
• *discovercard.com/cardmembersvcs/strongauth/app/sa_main*
• *libertyreserve.com*account
• *libertyreserve.com/*/account
• *libertyreserve.com/*/history
• *libertyreserve.com/*/login
• *my.ebay.com/ws/eBayISAPI.dll?MyEbay*
• *oltx.fidelity.com/*/*/ofsummary/summary*
• *onlinebanking.mandtbank.com/summary/AccountSummary*
• *paypal.com/*/cgi-bin/webscr?cmd=_login-done&login_access=*
• *royalbank.com/cgi-bin/rbaccess/rbcgi*
• *royalbank.com/wps/myportal/OLB/!ut/*/*/*
• *usbank.com/internetBanking/RequestRouter?requestCmdId=G*
• *wachovia.com*
• http*://www.libertyreserve.com/*/Core.js
• http*://www.libertyreserve.com/*/transfer
• https://*kkt*.key.com/*
• https://accounts.key.com/*
• https://chaseonline.chase.com/MyA*
• https://clients.powerpay.ca/powerpay/Logon*
• https://easywebsoc.tdcanadatrust.com/servlet/ca.tdbank.banking.servlet.AccountDetailsServlet*
• https://online.citibank.com/US/*
• https://online.wellsfargo.com/das/cgi-bin/session.cgi*
• https://onlinebanking.tdbank.com/login*
• https://onlineeast#.bankofamerica.com/*
• https://secure.ingdirect.com/myaccount/INGDirect/*
• https://securebank.regions.com/*
• https://trading.scottrade.com/*
• https://www.accountonline.com/cards/svc/Dashboard.do*
• https://www.cibconline.cibc.com/olbtxn/accounts/AccountHistoryDispatcher.cibc*
• https://www.gruposantander.es/*
• https://www.libertyreserve.com/en/transfer
• https://www.onlinebanking.pnc.com/*
• https://www.scotiaonline.scotiabank.com/portal/index.jsp?pageID=financial_services_banking*
• https://www.suntrust.com/portal/server.pt*mode*
• https://www.vancity.com/*

スパイウェアは、以下の銀行もしくは金融機関で利用される個人情報を収集します。

• Bank of America
• BMO Financial Group
• Chase
• CIBC
• Citibank
• Ebay
• Fifth Third
• ING Direct
• Liberty Reserve
• M&T Bank
• OSPM
• PayPal
• PNC
• Powerpay
• RBC
• Regions
• Royal Bank
• Santander
• Scotia Bank
• Scottrade
• Suntrust
• TD Bank
• US Bank
• Vancity
• Wachovia
• Wells Fargo

情報収集

スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。

• http://{BLOCKED}2.{BLOCKED}0.164.204/email/{BLOCKED}elmail.php