TSPY_ZBOT.ZYA

スパイウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。ユーザが監視サイトのいずれかにアクセスすると、スパイウェアは、キー入力操作情報を収集します。スパイウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。

ファイルサイズ 144,896 bytes

タイプ EXE

メモリ常駐はい

発見日 2010年10月9日

感染ポイント

スパイウェアは、以下のWebサイトからダウンロードされたファイルとして、コンピュータに侵入します。

http://{BLOCKED}eglobal.ru/moe/lolo.exe

インストール

スパイウェアは、以下のファイルを作成します。

%Application Data%\{random1}\{random}.exe
%Application Data%\{random2}\{random}.{random}

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

スパイウェアは、以下のフォルダを作成します。

%Application Data%\{random1}
%Application Data%\{random2}

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{365CD2CA-D0E2-2B36-0EEB-EF30ED0DB36A} = %Application Data%\{random1}\{random}.exe

他のシステム変更

スパイウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
{random}
@ =

情報漏えい

スパイウェアは、感染したコンピュータ上でInternet Explorer（IE）の使用状況を監視します。スパイウェアは、特にIEのアドレスバーまたはタイトルバー情報を監視しますが、ユーザが銀行関連Webサイトを閲覧しそのサイトのアドレスバーまたはタイトルバーに以下の文字列が含まれていた場合、正規Webサイトを装った偽のログインページを作成します。

*.microsoft.com/*
*.trafficexplorer.com*
*.trueadvantage*
*login.commbiz.commbank.com.au*
*superiorads.biz*
http*bank.com.au/*
http://*.bmp
http://*.flv
http://*.gif
http://*.jpg
http://*.png
http://*.swf
http://*msn.com/*
http://*myspace.com/*
http://*youtube.com/*
http://ads.*
http://app.facebook.com/*
http://apps.facebook.com/*
http://facebook.com/*
http://livejournal.com/*
http://poonstart.ru/xxx/gate.php
http://saltonline.ru/sydney/index.php
http://savingsloans.com.au/PCLink_Check.aspx?p=52
http://www.citibank.com.au/australia/signon1/
http://www.communitycps.com.au/aspx/banking_view.aspx
http://www.facebook.com/*
http://www.membersequitybank.com.au/webBanking
https://*.bmp
https://*.flv
https://*.pncs.com.au/806015v47/*
https://*.swf
https://access.imb.com.au/imblogo_small.jpg
https://access.imb.com.au/personal*
https://ajax.googleapis.com/ajax/libs/jquery/1.4.2/jquery.min.js
https://ajax.googleapis.com/ajax/libs/yui/2.8.1/build/animation/animation-min.js
https://ajax.googleapis.com/ajax/libs/yui/2.8.1/build/container/assets/skins/sam/container.css
https://ajax.googleapis.com/ajax/libs/yui/2.8.1/build/container/container-min.js
https://ajax.googleapis.com/ajax/libs/yui/2.8.1/build/cookie/cookie-min.js
https://ajax.googleapis.com/ajax/libs/yui/2.8.1/build/dragdrop/dragdrop-min.js
https://ajax.googleapis.com/ajax/libs/yui/2.8.1/build/event-simulate/event-simulate-min.js
https://ajax.googleapis.com/ajax/libs/yui/2.8.1/build/selector/selector-min.js
https://ajax.googleapis.com/ajax/libs/yui/2.8.1/build/yahoo-dom-event/yahoo-dom-event.js
https://businessonline.westpac.com.au/*
https://ebank.adcu.com.au/mvp352/Login.asp
https://etacts.com/media/images/ajax-loader.gif
https://ib.teacherscreditunion.com.au/Login.asp
https://ibank.humebuild.com.au/login.asp
https://inetbnkp.adelaidebank.com.au/OnlineBanking/AdBank?xid=*
https://inetbnkp.adelaidebank.com.au/OnlineBanking/adbanklogo.jpg
https://internetbanking.suncorpmetway.com.au/sml/logon.asp*
https://login.commbiz.commbank.com.au/Common/Common.Web/images/cba-logo-whitebg.gif
https://mvp.bigsky.net.au/mvpbscu/Login.asp
https://online.corp.westpac.com.au/
https://online.corp.westpac.com.au/furniture/ui_imgs/bg_header_singlepiece_24b_a.png
https://online.corp.westpac.com.au/furniture/ui_imgs/esi_btn_signin.png
https://online.corp.westpac.com.au/furniture/ui_imgs/logo_W_8b_a.png
https://online.mecu.com.au/daib/logon/cu3140/logon.asp
https://online.qantascu.com.au/daib/images/logon/cu2035/logo.gif\
https://online.qantascu.com.au/daib/logon/cu2035/logon.asp
https://online.savingsloans.com.au/DAIB/Logon/CU5023/Logon.asp
https://online.savingsloans.com.au/daib/images/logon/cu5023/logo.gif\
https://online.westpac.com.au/*
https://pc-easynet.policecredit.com.au/easyaccess/Login.asp*
https://permonline.newcastlepermanent.com.au/IB*/NPBSBusiness*
https://permonline.newcastlepermanent.com.au/IB*/NPBSPersonal*
https://permonline.newcastlepermanent.com.au/IB04/images/logo.gif
https://saltonline.ru/acd/ACD.js
https://secariadna.com/cgi-bin/ACD/ACD.js
https://secure.accu.com.au/secureaccu2/*
https://secure.accu.com.au/secureaccu2/img/austcenlogo.gif\
https://secure.ampbanking.com/au/Logon
https://secure.ampbanking.com/au/Logon
https://secure.ampbanking.com/au/Logon*
https://secure.liteforex.org/public/common/images/icons/alert.png
https://secure.mystate.com.au/secure*
https://secure.mystate.com.au/secure2/img/logo_main.gif\
https://static.my.commbank.com.au/static/R240/fo/images/phone.gif
https://webbanker.cua.com.au/webbanker/CUA?xid=*
https://webbanker.cua.com.au/webbanker/banner.jpg
https://www.amp.com.au/wps/portal/au/WPSLogin?*
https://www.bethelcollege.edu/generalconference/images/progress_bar.gif
https://www.citibank.com.au/AUGCB/JSO/signon/DisplayUsernameSignon.do
https://www.citibank.com.au/JPC/portal/images/cnb/citibank_logo.gif\
https://www.cpsinternetbanking.com.au/DAIB/images/logon/Cu5022/cps_r1_c1.jpg\
https://www.cpsinternetbanking.com.au/daib/logon/cu5022/logon.asp
https://www.pcunet1.com.au/mvppolice/Login.asp
https://www1.membersequitybank.com.au/ME?xid=*
https://www1.membersequitybank.com.au/logo1.gif
https://www3.netbank.comm1bank.com.au/static/css/current/fo/images/navArrowOrange.gif?v=10) no-repeat scroll 0 5px;
https://www3.netbank.commbank.com.au/static/css/current/fo/images/cba-logo-whitebg.gif?v=10
https://www3.netbank.commbank.com.au/static/css/current/fo/images/highlightPanelBg.png?v=10) repeat-y scroll top left;
https://www3.netbank.commbank.com.au/static/css/current/fo/images/highlightPanelBottom.png?v=10) no-repeat scroll bottom left;
https://www3.netbank.commbank.com.au/static/css/current/fo/images/highlightPanelBottomShadow.png?v=10) no-repeat scroll bottom left;
https://www3.netbank.commbank.com.au/static/css/current/fo/images/highlightPanelTop.png?v=10) no-repeat scroll top left;
https://www3.netbank.commbank.com.au/static/css/current/fo/images/logon-button.png?v=10) no-repeat scroll top left;
https://www3.netbank.commbank.com.au/static/css/current/fo/images/registerBanner.png?v=10) no-repeat scroll top left;
https://www3.netbank.commbank.com.au/static/css/current/fo/images/yellow-line.jpg?v=10) no-repeat scroll 5px bottom;

スパイウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。

スパイウェアは、以下のWebサイトにアクセスし、自身の環境設定ファイルをダウンロードします。

http://{BLOCKED}ints.ru/moe/lol.dll
http://{BLOCKED}reglobal.ru/moe/lolo.dll

ユーザが監視サイトのいずれかにアクセスすると、スパイウェアは、キー入力操作情報を収集します。

なお、このファイルの内容である監視Webサイトのリストは、常時変更されます。

スパイウェアは、以下の銀行もしくは金融機関で利用される個人情報を収集します。

AIB
Citibank
Facebook
Live Journal
Microsoft
Myspace
Net Banking
PNC
Westpac Banking Corporation
YouTube

情報収集

スパイウェアは、HTTPポストを介して、収集した情報を以下のURLに送信します。

http://{BLOCKED}reglobal.ru/moe/lol.php

その他

解析の結果、スパイウェアによるバックドア活動は確認されませんでした。

ハッシュ値情報

スパイウェアは、以下のMD5ハッシュ値を含んでいます。

7fd31163fe7d29c61767437b2b1234cd

スパイウェアは、以下のSHA1ハッシュ値を含んでいます

19833859e7383151a75baf4e904f2be9487e6ae0

対応検索エンジン: 8.900

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

スタートアップディスク、または、回復コンソールを用いて、「TSPY_ZBOT.ZYA」として検出されたファイルを確認し削除します。

[ 詳細 ]

マルウェアのファイルの確認および削除：

• Windows XP および Server 2003 の場合

最新のバージョン（エンジン、パターンファイル）を導入したセキュリティ対策製品を用いてウイルス検索を実行し、検出したマルウェアのパス名およびファイル名を確認し、メモ等をとってください。
[スタート]-[ファイル名を指定して実行]を選択し、secpol.msc と入力し、Enter を押します。
左側のパネルにある [ローカルポリシー]-[セキュリティオプション] をダブルクリックします。
右側のパネルにある [回復コンソール：すべてのドライブとフォルダに、フロッピーのコピーとアクセスを許可する] をダブルクリックします。
[有効] を選択し、[OK] をクリックします。
Windows のインストール CD を使用して、コンピュータを再起動します。
[セットアップへようこそ] 画面で、修復の R キーを押します。
キーボードを選択します。
修復する Windows がインストールされているドライブを選択します（通常は 1 を選択します）。
管理者のパスワードを入力し、Enter を押します。管理者パスワードがない場合は、何も入力せずに Enter を押します。
以下のコマンドを入力し、Enter を押します。
SET AllowAllPaths = TRUE
del "＜上記で確認したマルウェアのパス名およびファイル名＞"
※del と "＜上記で確認したマルウェアのパス名およびファイル名＞" の間に半角スペースを入れてください。
コマンドプロンプトに exit と入力し、コンピュータを通常どおり再起動してください。

• Windows Vista および 7 の場合

最新のバージョン（エンジン、パターンファイル）を導入したセキュリティ対策製品を用いてウイルス検索を実行し、検出したマルウェアのパス名およびファイル名を確認し、メモ等をとってください。
Windows のインストール DVD を使用して、コンピュータを再起動します。
再起動するかどうかの確認画面が表示されたら、いずれかのキーを入力し、表示される指示に従います。
Windows のインストール DVD によっては、インストールする言語の選択が必要になる場合があります。Windows のインストール画面で、言語、ロケール情報およびキーボードの種類と入力方法を選択します。[コンピュータを修復する]をクリックします。
[Windows の起動に伴う問題の修復用の回復ツールを使用します。]を選択します。オペレーティングシステム（OS）を選択し、[次へ]をクリックします。
[スタートアップ修復]画面が表示された場合、[キャンセル]-[はい]-[完了]をクリックします。
[システム回復オプション]メニューで、[コマンドプロンプト]をクリックします。
以下のコマンドを入力し、Enter を押します。
BoorRec.exe /fixmbr
del "＜上記で確認したマルウェアのパス名およびファイル名＞"
※del と "＜上記で確認したマルウェアのパス名およびファイル名＞" の間に半角スペースを入れてください。
コマンドプロンプトに exit と入力し、Enter を押して、コマンドプロンプト画面を閉じてください。
[再起動]をクリックし、コンピュータを通常どおり再起動してください。

手順 3

このレジストリ値を削除します。

[ 詳細 ]

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

In HKEY_CURRENT_USER\Software\Microsoft\
- {random}
In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- {365CD2CA-D0E2-2B36-0EEB-EF30ED0DB36A}=%Application Data%\{random1}\{random}.exe

手順 4

以下のフォルダを検索し削除します。

[ 詳細 ]

註：このフォルダは、隠しフォルダとして設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

%Application Data%\{random1}

%Application Data%\{random2}

手順 5

最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TSPY_ZBOT.ZYA」と検出したファイルはすべて削除してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

ご利用はいかがでしたか？　アンケートにご協力ください

概要

詳細

対応方法

関連URL

リソース

サポート

会社概要

東京本社

TSPY_ZBOT.ZYA

概要

詳細

対応方法

関連URL

リソース

サポート

会社概要

東京本社

The Americas

Asia Pacific

Europe, Middle East & Africa