TSPY_ZBOT.WUW

スパイウェアは、他のマルウェアに作成され、コンピュータに侵入します。 スパイウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

スパイウェアは、フォルダを作成し、このフォルダ内に自身のファイルを作成します。 スパイウェアは、プロセスに組み込まれ、システムのプロセスに常駐します。

スパイウェアは、Internet Explorer（IE）のゾーン設定を変更します。

スパイウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。 スパイウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。

侵入方法

スパイウェアは、他のマルウェアに作成され、コンピュータに侵入します。

スパイウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。

スパイウェアは、以下のリモートサイトからダウンロードされ、コンピュータに侵入します。

• http://{BLOCKED}realex.com/source/real.exe

インストール

スパイウェアは、以下のファイルを作成します。

• %Application Data%\{random1}\{random}.exe - copy of itself
• %Application Data%\{random2}\{random}.{3 random alpha character extension name} - encrypted file

(註：%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\＜ユーザ名＞\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Application Data" です。)

スパイウェアは、フォルダを作成し、このフォルダ内に自身のファイルを作成します。

スパイウェアは、以下のプロセスに組み込まれ、システムのプロセスに常駐します。

• ctfmon.exe
• dwm.exe
• explorer.exe
• rdpclip.exe
• taskeng.exe
• taskhost.exe
• wscntfy.exe

スパイウェアは、プロセスに組み込まれ、システムのプロセスに常駐します。

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{GUID} = {malware path and file name}

他のシステム変更

スパイウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Privacy
CleanCookies = 0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Windows%\EXPLORER.EXE = %Windows%\EXPLORER.EXE:*:Enabled:Windows Explorer

Webブラウザのホームページおよび検索ページの変更

スパイウェアは、IEのゾーン設定を変更します。

情報漏えい

スパイウェアは、感染したコンピュータ上でInternet Explorer（IE）の使用状況を監視します。スパイウェアは、特にIEのアドレスバーまたはタイトルバー情報を監視しますが、ユーザが銀行関連Webサイトを閲覧しそのサイトのアドレスバーまたはタイトルバーに以下の文字列が含まれていた場合、正規Webサイトを装った偽のログインページを作成します。

• !https://*.lphbs.com/*
• !https://*.microsoft.com/*
• !https://*.securestudies.com* @*//mfa.lanxtra.com/auth/*
• !https://mail.google.com/*
• !https://us.mcafee.com/*
• *.citibank.com/US/JRS/portal/accountSummary.do
• *.citizensbankonline.com*index*
• *discovercard.com/*/achome/homepage*
• *discovercard.com/cardmembersvcs/achome/homepage*
• https://*.citizensbankonline.com*index*
• https://*.citizensbankonline.com*myprofile*
• https://*.nationalcity.com/olb/secureLogin.do
• https://*.onlinebanking.pnc.com/alservlet/OnlineBankingServlet?UpdateServiceInfoDone
• https://*.onlinebanking.pnc.com/alservlet/VerifyPasswordServlet
• https://*.usbank.com/*/RequestRouter
• https://*.wachovia.com/myAccounts.asp*
• https://*.wellsfargo.com/das/*/session.cgi*
• https://chaseonline.chase.com/Logon.aspx?fromLoc=ALL&UpdateServiceInfoDone
• https://chaseonline.chase.com/MyAccounts.aspx
• https://history.paypal.com/us/cgi-bin/webscr?dispatch=*
• https://mfasa.chase.com/auth/auth-stoken*
• https://myaccounts.navyfcu.org/cgi-bin/ifsewwwc?Logon
• https://myaccounts.navyfcu.org/cgi-bin/ifsewwwc?Logon&UpdateServiceInfoDone
• https://online.bbandt.com/auth/pwd.tb
• https://online.bbandt.com/auth/pwd.tb?UpdateServiceInfoDone
• https://online.citibank.com/US/JPS/portal/Home.do*
• https://online.wellsfargo.com/login?UpdateServiceInfoDone
• https://onlinebanking.tdbank.com/?UpdateProfileInfoDone
• https://onlinebanking.tdbank.com/voyLogin.asp?trace*
• https://onlineeast#.bankofamerica.com/cgi-bin/ias/*/CustomerServiceMenuEntryPoint?custAction=75
• https://onlineeast#.bankofamerica.com/cgi-bin/ias/*/GotoWelcome
• https://onlineservices.wachovia.com/auth/AuthService?UpdateServiceInfoDone
• https://securebank.regions.com/login.aspx?brand=regions
• https://securebank.regions.com/login.aspx?UpdateServiceInfoDone
• https://servicing.capitalone.com/*/accounts/summary.aspx
• https://signonolb.nationalcity.com/olb/olblogin.jsp?UpdateServiceInfoDone
• https://sitekey.bankofamerica.com/sas/maint.do
• https://sitekey.bankofamerica.com/sas/sas-docs/js/commonscript.js
• https://sitekey.bankofamerica.com/sas/signon*.*
• https://www.53.com/servlet/efs/no-authenticate.jtf?UpdateServiceInfoDone
• https://www.53.com/servlet/logon
• https://www.bankofamerica.com/Control.do?body=selectState&UpdateServiceInfoDone
• https://www.capitalone.com/login.php?UpdateServiceInfoDone
• https://www.paypal.com/*/cgi-bin/merchantpaymentweb?SESSION*
• https://www.paypal.com/*/cgi-bin/webscr?cmd=_acc*
• https://www.paypal.com/*/cgi-bin/webscr?cmd=_login-done*
• https://www.paypal.com/cgi-bin/webscr?cmd=_login-submit&UpdateServiceInfoDone
• https://www.suntrust.com/access/oblix/apps/webgate/bin/webgate.dll?APP*
• https://www.suntrust.com/portal/server.pt?space=Login&UpdateServiceInfoDone
• https://www.usaa.com/inet/ent_accounts/EntManageAccounts?action=INIT
• https://www.usaa.com/inet/ent_home/CpHom*
• https://www.usaa.com/inet/ent_pin/CpPi*
• https://www.usaa.com/inet/ent_saveditems/CpSavedItems?USAASecureCheckPassed
• https://www4.usbank.com/internetBanking/en_us/info/EAHelpInfo.jsp?QuestionId=UpdateServiceInfoDone

スパイウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。

スパイウェアは、以下のWebサイトにアクセスし、自身の環境設定ファイルをダウンロードします。

• http://{BLOCKED}hrestore.com/restore/cgi1.bin
• http://{BLOCKED}hreserved.info/restore/cgi2.bin
• http://{BLOCKED}hrestavrate.info/restore/cgi3.bin

ダウンロードされたファイルには、自身のコピーの更新版ファイルのダウンロード元および収集した情報の送信先が記載されています。

スパイウェアは、以下の銀行もしくは金融機関で利用される個人情報を収集します。

• Alertpay
• Bank of America
• Capital One
• Chase
• Citibank
• Citizens
• Fifth Third
• Microsoft
• National City
• PayPal
• Suntrust
• TD Bank
• US Bank
• USAA
• Wachovia
• Wells Fargo

情報の送信先

収集された情報は、以下のWebサイトにアップロードされます。

• http://{BLOCKED}receive.info/private/cgi.php

ハッシュ値情報

スパイウェアは、以下のMD5ハッシュ値を含んでいます。

• 9ae7edd27850199991f2edb024cc0b09

スパイウェアは、以下のSHA1ハッシュ値を含んでいます

• a4a8a4d250977dd00092f8c844a0ddfdf6ddb012