TSPY_ZBOT.XMAS
Hbedv: TR/Kazy.3994.2; Rising: Packer.Win32.Agent.bk [Suspicious] ; FSecure: Gen:Variant.Kazy.3994
Windows 2000, Windows XP, Windows Server 2003
- マルウェアタイプ: スパイウェア
- 破壊活動の有無: なし
- 暗号化: はい
- 感染報告の有無: はい
概要
トレンドマイクロは、このスパイウェアをNoteworthy(要注意)に分類しました。
このスパイウェアは、ソーシャルエンジニアリングの手法を利用し、ユーザがある行為をするよう誘導します。この行為が、直接、または間接的に、スパイウェアの不正活動実行のきっかけとなります。
スパイウェアは、特に、クリスマスカードとして自身を装い、ユーザが閲覧しているWebサイトが無害なWebサイトであるようにユーザを錯覚させます。
スパイウェアは、リモートサイトから環境設定ファイルをダウンロードします。この環境設定ファイルは、このスパイウェアが監視するオンライン銀行サイトのリストが含まれています。
スパイウェアは、ユーザのインターネット活動を監視します。スパイウェアが監視するいずれかのWebサイトをユーザが閲覧すると、スパイウェアはユーザのキー入力操作情報を記録します。
スパイウェアは、収集した情報をリモートサイトへ送信します。収集された情報は、不正リモートユーザによって不正な目的に利用されます。
スパイウェアは、侵入したコンピュータ内で容易に不正活動を実行するためにファイアウォールを回避します。
スパイウェアは、他のマルウェアに作成され、コンピュータに侵入します。 スパイウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。 スパイウェアは、リモートサイトから他の不正プログラムにダウンロードされ、コンピュータに侵入します。
スパイウェアは、ユーザが特定のWebサイトにアクセスできないように、感染コンピュータのHOSTSファイルを改変します。
スパイウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。 スパイウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。
スパイウェアは、"Outpost Personal Firewall" および "ZoneLabs Firewall Client" に関連する以下のプロセスの存在を確認します。
- outpost.exe
- zlclient.exe
上記のプロセスのいずれかの存在を確認すると、スパイウェアは、そのプロセスを終了します。これにより、確実に自身を実行します。また、スパイウェアは、ルートキット機能を備えており、ユーザから自身のプロセスとファイルを隠ぺいします。
詳細
侵入方法
スパイウェアは、他のマルウェアに作成され、コンピュータに侵入します。
スパイウェアは、悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。
スパイウェアは、以下の悪意あるWebサイトからユーザが誤ってダウンロードすることにより、コンピュータに侵入します。
- http://{BLOCKED}developersdk.com/wp-admin/includes/card.zip
スパイウェアは、リモートサイトから以下の不正プログラムによりダウンロードされ、コンピュータに侵入します。
- HTML_IFRAME.SMAX
インストール
スパイウェアは、以下のファイルを作成します。
- %System%\lowsec\local.ds - copy of the encrypted downloaded file
- %System%\lowsec\user.ds.lll
- %System%\lowsec\user.ds - used to save the gathered information
- %system%\sdra64.exe - copy of itself
(註:%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)
スパイウェアは、以下のフォルダを作成します。
- %System%\lowsec
(註:%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)
スパイウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。
- _AVIRA_2109
スパイウェアは、以下のプロセスに組み込まれ、システムのプロセスに常駐します。
- WINLOGON.EXE
- SVCHOST.EXE
自動実行方法
スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = %System%\userinit.exe, %System%\sdra64.exe,
(註:変更前の上記レジストリ値は、「%System%\userinit.exe,」となります。)
他のシステム変更
スパイウェアは、インストールの過程で、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Network
UID = "{computer name}_{random numbers}"
スパイウェアは、インストールの過程で、以下のレジストリキーを追加します。
HKEY_USERS\.DEFAULT\Software\
Microsoft\ Windows\CurrentVersion\
Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}
HKEY_USERS\.DEFAULT\Software\
Microsoft\ Windows\CurrentVersion\
Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7}
HKEY_USERS\.DEFAULT\Software\
Microsoft\Protected Storage System Provider
スパイウェアは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = "0"
ダウンロード活動
スパイウェアは、以下のWebサイトにアクセスして自身の環境設定ファイルをダウンロードします。
- http://{BLOCKED}anvik.no/templates/system/sysny.bin
HOSTSファイルの改変
スパイウェアは、ユーザが以下のWebサイトにアクセスできないように、感染コンピュータのHOSTSファイルを改変します。
- 127.0.0.1 downloads
- 127.0.0.1 downloads
- 127.0.0.1 downloads
- 127.0.0.1 downloads
- 127.0.0.1 downloads
- 127.0.0.1 rads.mcaf
- 127.0.0.1 liveupdat
- 127.0.0.1 liveupdat
- 127.0.0.1 liveupdat
- 127.0.0.1 update.sy
- 127.0.0.1 download7
- 127.0.0.1 download6
- 127.0.0.1 download5
- 127.0.0.1 download4
- 127.0.0.1 download3
- 127.0.0.1 download2
- 127.0.0.1 download1
- 127.0.0.1 avu.zonel
- 127.0.0.1 retail.sp
- 127.0.0.1 retail01.
- 127.0.0.1 retail02.
- 127.0.0.1 acs.panda
- 127.0.0.1 pccreg.an
- 127.0.0.1 dl1.antiv
- 127.0.0.1 dl2.antiv
- 127.0.0.1 dl3.antiv
- 127.0.0.1 dl4.antiv
- 127.0.0.1 fr.mcafee
- 127.0.0.1 mcafee.co
- 127.0.0.1 antivirus
- 127.0.0.1 ftp.esafe
- 127.0.0.1 ftp.europ
- 127.0.0.1 ftp.syman
- 127.0.0.1 us.mcafee
- 127.0.0.1 security.
- 127.0.0.1 download.
- 127.0.0.1 shop.syma
- 127.0.0.1 dispatch.
- 127.0.0.1 f-secure.
- 127.0.0.1 kaspersky
- 127.0.0.1 mast.mcaf
- 127.0.0.1 secure.na
- 127.0.0.1 sophos.co
情報漏えい
スパイウェアは、感染したコンピュータ上でInternet Explorer(IE)の使用状況を監視します。スパイウェアは、特にIEのアドレスバーまたはタイトルバー情報を監視しますが、ユーザが銀行関連Webサイトを閲覧しそのサイトのアドレスバーまたはタイトルバーに以下の文字列が含まれていた場合、正規Webサイトを装った偽のログインページを作成します。
- */my.ebay.com/*CurrentPage=MyeBayPersonalInfo*
- *.ebay.com/*eBayISAPI.dll?*
- https://www.us.hsbc.com/*
- https://www.e-gold.com/acct/li.asp
- https://www.e-gold.com/acct/balance.asp*
- https://online.wellsfargo.com/das/cgi-bin/session.cgi*
- https://www.wellsfargo.com/*
- https://online.wellsfargo.com/login*
- https://online.wellsfargo.com/signon*
- https://www.paypal.com/*/webscr?cmd=_account
- https://www.paypal.com/*/webscr?cmd=_login-done*
- https://www#.usbank.com/internetBanking/LoginRouter
- https://easyweb*.tdcanadatrust.com/servlet/*FinancialSummaryServlet*
- https://www#.citizensbankonline.com/*/index-wait.jsp
- https://onlinebanking.nationalcity.com/OLB/secure/AccountList.aspx
- https://www.suntrust.com/portal/server.pt*parentname=Login*
- https://www.53.com/servlet/efsonline/index.html*
- https://web.da-us.citibank.com/*BS_Id=MemberHomepage*
- *sitekey.bankofamerica.com*
- https://onlineeast#.bankofamerica.com/cgi-bin/ias/*/GotoWelcome
- https://online.wamu.com/Servicing/Servicing.aspx?targetPage=AccountSummary
- https://onlinebanking#.wachovia.com/myAccounts.aspx?referrer=authService
- *chase.com*
- https://resources.chase.com/MyAccounts.aspx
- *usaa.com*
- *wamu.com*
- https://bancaonline.openbank.es/servlet/PProxy?*
- https://extranet.banesto.es/*/loginParticulares.htm
- https://banesnet.banesto.es/*/loginEmpresas.htm
- https://empresas.gruposantander.es/WebEmpresas/servlet/webempresas.servlets.*
- https://www.gruposantander.es/bog/sbi*?ptns=acceso*
- https://www.bbvanetoffice.com/local_bdno/login_bbvanetoffice.html
- https://www.bancajaproximaempresas.com/ControlEmpresas*
- *citibank*
- https://probanking.procreditbank.bg/main/main.asp*
- https://ibank.internationalbanking.barclays.com/logon/icebapplication*
- https://ibank.barclays.co.uk/olb/x/LoginMember.do
- https://online-offshore.lloydstsb.com/customer.ibc
- https://online-business.lloydstsb.co.uk/customer.ibc
- https://www.dab-bank.com*
- http://www.hsbc.co.uk/1/2/personal/internet-banking*
- https://www.nwolb.com/Login.aspx*
- https://home.ybonline.co.uk/login.html*
- https://home.cbonline.co.uk/login.html*
- https://welcome27.co-operativebank.co.uk/CBIBSWeb/start.do
- https://welcome23.smile.co.uk/SmileWeb/start.do
- https://www.halifax-online.co.uk/_mem_bin/formslogin.asp*
- https://www2.bancopopular.es/AppBPE/servlet/servin*
- https://www.bancoherrero.com/es/*
- https://pastornetparticulares.bancopastor.es/SrPd*
- https://intelvia.cajamurcia.es/2043/entrada/01entradaencrip.htm
- https://www.caja-granada.es/cgi-bin/INclient_2031
- https://www.fibancmediolanum.es/BasePage.aspx*
- https://carnet.cajarioja.es/banca3/tx0011/0011.jsp
- https://www.cajalaboral.com/home/acceso.asp
- https://www.cajasoldirecto.es/2106/*
- https://www.clavenet.net/cgi-bin/INclient_7054
- https://www.cajavital.es/Appserver/vitalnet*
- https://banca.cajaen.es/Jaen/INclient.jsp
- https://www.cajadeavila.es/cgi-bin/INclient_6094
- https://www.caixatarragona.es/esp/sec_1/oficinacodigo.jsp
- http://caixasabadell.net/banca2/tx0011/0011.jsp
- https://www.caixaontinyent.es/cgi-bin/INclient_2045
- https://www.caixalaietana.es/cgi-bin/INclient_2042
- https://www.cajacirculo.es/ISMC/Circulo/acceso.jsp
- https://areasegura.banif.es/bog/bogbsn*
- https://www.bgnetplus.com/niloinet/login.jsp
- https://www.caixagirona.es/cgi-bin/INclient_2030*
- https://www.unicaja.es/PortalServlet*
- https://www.sabadellatlantico.com/es/*
- https://oi.cajamadrid.es/CajaMadrid/oi/pt_oi/Login/login
- https://www.cajabadajoz.es/cgi-bin/INclient_6010*
- https://extranet.banesto.es/npage/OtrosLogin/LoginIBanesto.htm
- https://montevia.elmonte.es/cgi-bin/INclient_2098*
- https://www.cajacanarias.es/cgi-bin/INclient_6065
- https://oie.cajamadridempresas.es/CajaMadrid/oie/pt_oie/Login/login_oie_1
- https://www.gruppocarige.it/grps/vbank/jsp/login.jsp
- https://bancopostaonline.poste.it/bpol/bancoposta/formslogin.asp
- https://privati.internetbanking.bancaintesa.it/sm/login/IN/box_login.jsp
- https://hb.quiubi.it/newSSO/x11logon.htm
- https://www.iwbank.it/private/index_pub.jhtml*
- https://web.secservizi.it/siteminderagent/forms/login.fcc
- https://www.isideonline.it/relaxbanking/sso.Login*
- https://scrigno.popso.it*
- https://www.halifax-online.co.uk/MyAccounts/MyAccounts.aspx*
- https://ibank.barclays.co.uk/olb/x/LoginMember.do
- https://www.halifax-online.co.uk/_mem_bin/*
- https://online*.lloydstsb.co.uk/logon.ibc
- https://home.ybonline.co.uk/ral/loginmgr/*
- https://www.mybank.alliance-leicester.co.uk/login/*
- https://www.ebank.hsbc.co.uk/main/IBLogon.jsp
- https://www.isbank.com.tr/Internet/ControlLoader.aspx*
- https://light.webmoney.ru/default.aspx
- https://olb2.nationet.com/MyAccounts/frame_MyAccounts_WP2.asp*
- https://www*.banking.first-direct.com/1/2/*
- https://cardsonline-consumer.com/RBSG_Consumer/VerifyLogin.do
- *//money.yandex.ru/index.xml
- *//money.yandex.ru/
- *//mail.yandex.ru/index.xml
- *//mail.yandex.ru/
- https://www.rbsdigital.com/Login.asp*
- https://banking*.anz.com/*
- https://olb2.nationet.com/signon/signon*
- https://www.nwolb.com/Login.asp*
- https://home2ae.cd.citibank.ae/CappWebAppAE/producttwo/capp/action/signoncq.do
- https://internetbanking.aib.ie/hb1/roi/signon
- https://lot-port.bcs.ru/names.nsf?#ogin*
- *wellsfargo.com*
- https://web.da-us.citibank.com/cgi-bin/citifi/portal/l/l.do
- https://web.da-us.citibank.com/cgi-bin/citifi/portal/l/autherror.do*
- https://rupay.com/index.php
- https://light.webmoney.ru/default.aspx
- *banquepopulaire.fr/*
- http://*.osmp.ru/
- https://www.uno-e.com/local_bdnt_unoe/Login_unoe2.html
- https://www.ccm.es/cgi-bin/INclient_6105
- https://www.gruposantander.es/
- https://banking.*.de/cgi/ueberweisung.cgi
- https://internetbanking.gad.de/banking
- https://www.citibank.de/*/jba/mp#/SubmitRecap.do
スパイウェアは、ユーザ名およびパスワードといったオンラインバンキングに関連した個人情報を収集します。これにより、収集された情報は不正リモートユーザにより悪用される可能性があります。
スパイウェアは、以下の銀行もしくは金融機関で利用される個人情報を収集します。
- eBay
- HSBC
- e-gold
- Wellsfargo
- PayPal
- US Bank
- TD Canada Trust
- Citizens Bank
- PNC Bank
- Sun Trust
- Fifthy Third Bank
- Citibank
- Bank of America
- Wachovia
- Chase
- Open Bank
- Banesto
- Grupo Santader
- BBVA
- Bancaja Empresas
- Procredit Bank
- Barclays
- Lloyds TSB
- DAB Bank
- NatWest
- Yorkshire Bank
- Clydesdale Bank
- Co-operative Bank
- Halifax
- Banco Popular
- Banco Herrero
- Banco Pastor
- Caja Murcia
- Banco Mediolanum
- Caja Rioja
- Caja Laboral
- Caja Soldirecto
- Clavenet
- Caja Vital
- Caja de Avila
- Caixa Tarragona
- Caixa Sabadell
- Caixa Ontinyent
- Caixa Laietana
- Caja Circulo
- Banif
- Banco Guipuzcoano
- Uni Caja
- SabadellAtlantico
- Caja Madrid
- Caja Badajoz
- Banesto
- El Monte
- Caja Canarias
- Caja Madrid Empresas
- Gruppo Carige
- Banca Intesa
- Qui UBI
- IWBank
- Sec Servizi
- Banca Popolare di Sondrio
- Alliance & Leicester
- Türkiye İş Bankası
- WebMoney
- Nationwide
- First Direct
- Royal Bank of Scotland
- Yandex
- RBS Digital
- Rupay
- Banque Populaire
情報収集
スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。
- http://{BLOCKED}rp.com/stat/gate_in.php
その他
スパイウェアは、"Outpost Personal Firewall" および "ZoneLabs Firewall Client" に関連する以下のプロセスの存在を確認します。
- outpost.exe
- zlclient.exe
上記のプロセスのいずれかの存在を確認すると、スパイウェアは、そのプロセスを終了します。これにより、確実に自身を実行します。また、スパイウェアは、ルートキット機能を備えており、ユーザから自身のプロセスとファイルを隠ぺいします。
註:
スパイウェアが作成する以下のファイルは、ダウンロードされたファイルのコピーです。このファイルは暗号化されています。
- %System%\lowsec\local.ds
スパイウェアが作成する以下のファイルは、収集された情報を保存するために利用されます。
- %System%\lowsec\user.ds
スパイウェアが作成する以下のファイルは、自身のコピーです。
- %system%\sdra64.exe
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 3
スタートアップディスク、または、回復コンソールを用いて、「TSPY_ZBOT.XMAS」として検出されたファイルを確認し削除します。
手順 4
変更されたレジストリ値を修正します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- From: Userinit = "%System%\userinit.exe,%System%\sdra64.exe,"
To: Userinit = "%System%\userinit.exe,"
- From: Userinit = "%System%\userinit.exe,%System%\sdra64.exe,"
手順 5
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
- EnableFirewall = "0"
- EnableFirewall = "0"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network
- UID = "{computer name}_{random numbers}"
手順 6
このレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_USERS\.DEFAULT\Software\Microsoft
- Protected Storage System Provider
- Protected Storage System Provider
- In HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer
- {43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}
- {43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}
- In HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer
- {19127AD2-394B-70F5-C650-B97867BAA1F7}
- {19127AD2-394B-70F5-C650-B97867BAA1F7}
手順 7
以下のフォルダを検索し削除します。
- %System%\lowsec
手順 8
不正プログラム/グレイウェア/スパイウェアがHOSTSファイルに追加した文字列を削除します。
手順 9
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TSPY_ZBOT.XMAS」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください