• Email
• Facebook
• Twitter
• Google+
• Linkedin

TSPY64_ZBOT.AANP

---

• マルウェアタイプ: スパイウェア
• 破壊活動の有無: なし
• 暗号化: はい
• 感染報告の有無: はい

---

  概要

トレンドマイクロは、このマルウェアをNoteworthy（要注意）に分類しました。

このスパイウェアは、2014年1月に、64ビットのシステムを対象とすることが確認された64ビットの「ZBOT」検体の一部です。このスパイウェアに感染したユーザは、コンピュータのセキュリティが侵害されたり、オンライン銀行の認証情報といった重要な個人情報が収集される可能性があります。

スパイウェアは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。

スパイウェア マルウェアは、自身（コンピュータに侵入して最初に自身のコピーを作成した スパイウェア ）を削除します。

---

  詳細

侵入方法

スパイウェアは、他のマルウェアのパッケージとともにコンポーネントとしてコンピュータに侵入します。

インストール

スパイウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• Global\{GUID}
• Local\{GUID}

スパイウェアは、以下の通常のプロセスにスレッドを組み込みます。

• explorer.exe

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{GUID} = "%Application Data%\{random folder name 1}\{random file name 1}.exe"

他のシステム変更

スパイウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
WAB

スパイウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Privacy
CleanCookies = "0"

ダウンロード活動

スパイウェアは、以下のWebサイトにアクセスして自身の環境設定ファイルをダウンロードします。

• http://{BLOCKED}tnywjwabxb.onion/zs/mimi.jpg

情報漏えい

スパイウェアは、以下の情報を収集します。

• Data on cookie files (URLs)
• FTP credentials
• Online banking credentials
• Flashplayer data
• Personal digital cerificates

その他

スパイウェアは、以下のWebサイトにアクセスしてインターネット接続を確認します。

• http://www.google.com/webhp

スパイウェアは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。

• http://checkip.dyndns.org

スパイウェアが自身の不正活動を実行するためには、以下のファイルが必要になります。

• %Application Data%\{random folder name}\{random file name}.exe - detected as TSPY_ZBOT.AAMV

(註：%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞\AppData\Roaming" です。)

スパイウェア は、自身（コンピュータに侵入して最初に自身のコピーを作成した スパイウェア ）を削除します。

環境設定ファイルには、以下の情報が含まれています。

• 自身のコピーの更新版のダウンロード元
• 収集した情報の送信先
• 環境設定ファイルのコピーの更新版のダウンロード元
• オンライン銀行アカウントの認証情報を収集するための環境設定および対象とする銀行のリスト

スパイウェアは、自身の作成したファイルと自動実行レジストリを隠します。

スパイウェアは、以下のコマンドラインを利用し、コマンド＆コントロール（C&C）サーバの通信を隠ぺいする「Tor」クライアントの秘匿サービスを実行させるため、プロセス"svchost.exe"を作成します。

• "%System%\svchost.exe" --HiddenServiceDir "%APPDATA%\tor\hidden_service" --HiddenServicePort "1080 127.0.0.1:" --HiddenServicePort "5900 127.0.0.1:"

スパイウェアは、攻撃者に感染コンピュータへのリモートコマンドを実行させるため、C&Cサーバに自身の現在の環境設定を通知します。

スパイウェアは、以下のような新たに作成された解析ツールのプロセスの実行を防ぎます。

• ImPrec
• LodPE
• OllyDbg
• WinHex
• Stud PE
• ProcDump
• PESam

スパイウェアが収集する情報は、以下のとおりです。

• Cookie ファイル内の情報（URL情報）
• FTP認証情報
• オンライン銀行の認証情報
• Flashplayerのデータ
• 個人デジタル証明書

このスパイウェアは、「TSPY_ZBOT.AAMV」によって64ビットプロセスに挿入される、64ビット版「ZBOT」のトレンドマイクロの検出名です。

スパイウェアが自身の不正活動を実行するためには、「TSPY_ZBOT.AAMV」として検出される以下のファイルが必要になります。

• ＜Application Data＞\＜ランダムなフォルダ名＞\＜ランダムなファイル名＞.exe

---

  対応方法

対応検索エンジン: 9.700
初回 VSAPI パターンバージョン 10.516.02
初回 VSAPI パターンリリース日 2014年1月2日
VSAPI OPR パターンバージョン 10.517.00
VSAPI OPR パターンリリース日 2014年1月3日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアのパス名およびファイル名を確認します。
最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用いてウイルス検索を実行してください。「TSPY64_ZBOT.AANP」で検出したパス名およびファイル名を確認し、メモ等をとってください。

手順 3

Windowsをセーフモードで再起動します。

[ 詳細 ]

[ 戻る ]

セーフモードでの起動：

• Windows 2000 の場合

1. コンピュータを起動させます。
2. 「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
3. 「Windows 拡張オプション メニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows XP の場合

1. コンピュータを起動させます。
2. 「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
3. 「Windows 拡張オプション メニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows Server 2003 の場合

1. コンピュータを起動させます。
2. 「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
3. 「Windows 拡張オプション メニュー」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

• Windows Vista および Windows 7 の場合

1. コンピュータを起動させます。
2. 「Windows **** を起動しています・・・」のメッセージが表示されている間に［F8］を押します。
3. 「詳細ブート オプション」が表示されるので、［↓］［↑］キーを使って［セーフモード］を選択し、［Enter］を押します。

手順 4

「TSPY64_ZBOT.AANP」 を作成またはダウンロードする不正なファイルを削除します。

• TSPY_ZBOT.AAMV

手順 5

このレジストリキーを削除します。

[ 詳細 ]

[ 戻る ]

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

• In HKEY_CURRENT_USER\Software\Microsoft
  • WAB
    

このマルウェアが追加したレジストリキーの削除：

1. 「レジストリエディタ」を起動します。
   [スタート]-[ファイル名を指定して実行]を選択し、"regedit" と入力し、[OK]キーを押します。
   ※"regedit" は半角英数字で入力する必要があります（大文字／小文字は区別されません）。
2. 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
   HKEY_CURRENT_USER>Software>Microsoft
3. 上記フォルダの左にあるプラスをクリックし、以下のキーを検索し、削除します。
   WAB
4. 「レジストリエディタ」を閉じます。

手順 6

このレジストリ値を削除します。

[ 詳細 ]

[ 戻る ]

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

• In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • {GUID} = "%Application Data%\{random folder name 1}\{random file name 1}.exe"
    
• In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Privacy
  • CleanCookies = "0"
    

このマルウェアが追加したレジストリ値の削除：

1. 「レジストリエディタ」を起動します。
   [スタート]-[ファイル名を指定して実行]を選択し、regedit と入力し、[OK]をクリックします。
   ※regedit は半角英数字で入力する必要があります（大文字／小文字は区別されません）。
2. 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
   HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run
3. 右側のパネルで以下のレジストリ値を検索し、削除します。
   {GUID} = "%Application Data%\{random folder name 1}\{random file name 1}.exe"
4. 「レジストリエディタ」の左側のパネルにある以下のフォルダをダブルクリックします。
   HKEY_CURRENT_USER>Software>Microsoft>Internet Explorer>Privacy
5. 右側のパネルで以下のレジストリ値を検索し、削除します。
   CleanCookies = "0"
6. 「レジストリエディタ」を閉じます。

手順 7

コンピュータを通常モードで再起動し、最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、「TSPY64_ZBOT.AANP」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか？　アンケートにご協力ください

関連マルウェア

• TSPY_ZBOT.AAMV