TSPY_ZBOT.CAW
Windows 2000, XP, Server 2003
- マルウェアタイプ: スパイウェア
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
? 概要
スパイウェアは、ユーザ名およびパスワードといったオンラインバンキングに関连した个人情报を収集します。これにより、収集された情报は不正リモートユーザにより悪用される可能性があります。 ユーザが监视サイトのいずれかにアクセスすると、スパイウェアは、キー入力操作情报を収集します。 スパイウェアは、特定の銀行および金融機関のWebサイトで利用されるユーザ名やパスワードなどの個人情報を収集します。
詳細
感染ポイント
スパイウェアは、以下の奥别产サイトからダウンロードされたファイルとして、コンピュータに侵入します。
- http://{BLOCKED}storage.com/user1/nps329/bot.exe
インストール
スパイウェアは、以下のファイルを作成します。
- %Application Data%\{random1}\{random}.exe
- %Application Data%\{random2}\{random}.odo
(註:%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\<ユーザ名>\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Application Data" です。)
スパイウェアは、以下のフォルダを作成します。
- %Application Data%\{random1}
- %Application Data%\{random2}
(註:%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\<ユーザ名>\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Application Data" です。)
自动実行方法
スパイウェアは、自身のコピーが奥颈苍诲辞飞蝉起动时に自动実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{BAE22A8B-9135-CC74-806A-A767CAEBF349} = %Application Data%\{random1}\{random}.exe
他のシステム変更
スパイウェアは、以下のレジストリキーを追加します。
HKEY_CURRENT_USER\Software\Microsoft\
{random}
ダウンロード活动
スパイウェアは、以下の奥别产サイトにアクセスして自身の环境设定ファイルをダウンロードします。
- http://{BLOCKED}inedata.com/dfx/cfgx.bin
- http://{BLOCKED}tstorage.com/user1/nps329/up6/config.bin
情报漏えい
スパイウェアは、ユーザ名およびパスワードといったオンラインバンキングに関连した个人情报を収集します。これにより、収集された情报は不正リモートユーザにより悪用される可能性があります。
ユーザが监视サイトのいずれかにアクセスすると、スパイウェアは、キー入力操作情报を収集します。
スパイウェアは、以下の奥别产サイトを対象とします。
- http://*myspace.com*
- *.microsoft.com/*
- http://*
- http://www.hsbc.co.uk/1/2*
- https://*bankofscotlandhalifax-online.co.uk*
- https://*halifax-online.co.uk*
- https://*ibank.barclays.co.uk*
- https://psx1online.com/ft/pam/bsdfghee.js
- https://psx1online.com/ft/pam/dfrets35g.js
- https://psx1online.com/ft/pam/fftysdhsd.js
- https://psx1online.com/ft/pam/gkdshgdf.js
- https://psx1online.com/ft/pam/y.php?ct=
- https://psx1online.com/ft/pam/y.php?f=1&ct=
- https://psx1online.com/ft/pam/y.php?f=4&ct=
- https://psx1online.com/ft/pam/y.php?f=5&ct=
- https://www.hsbc.co.uk/1/2*
なお、このファイルの内容である监视奥别产サイトのリストは、常时変更されます。
スパイウェアは、以下の银行もしくは金融机関で利用される个人情报を収集します。
- Barclays
- HSBC
- Halifax
- Microsoft
- Myspace
情报収集
スパイウェアは、HTTPポスト を介して、収集した情報を以下のURLに送信します。
- http://{BLOCKED}tstorage.com/user1/nps329/gate329.php
ハッシュ値情报
スパイウェアは、以下の惭顿5ハッシュ値を含んでいます。
- 8271acdbfbc0930989c7a7350746af57
スパイウェアは、以下の厂贬础1ハッシュ値を含んでいます
- 24efe829a80015f5b5dc0ec19429cb68766f45a1
対応方法
手順 1
Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を无効にしてください。
手順 2
このレジストリ値を削除します。
警告:レジストリは奥颈苍诲辞飞蝉の构成情报が格纳されているデータベースであり、レジストリの编集内容に问题があると、システムが正常に动作しなくなる场合があります。
レジストリの编集はお客様の责任で行っていただくようお愿いいたします。弊社ではレジストリの编集による如何なる问题に対しても补偿いたしかねます。
レジストリの编集前にをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- {BAE22A8B-9135-CC74-806A-A767CAEBF349}=%Application Data%\{random1}\{random}.exe
- {BAE22A8B-9135-CC74-806A-A767CAEBF349}=%Application Data%\{random1}\{random}.exe
手順 3
このレジストリキーを削除します。
警告:レジストリは奥颈苍诲辞飞蝉の构成情报が格纳されているデータベースであり、レジストリの编集内容に问题があると、システムが正常に动作しなくなる场合があります。
レジストリの编集はお客様の责任で行っていただくようお愿いいたします。弊社ではレジストリの编集による如何なる问题に対しても补偿いたしかねます。
レジストリの编集前にをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\
- {random}
- {random}
手順 4
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TSPY_ZBOT.CAW」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。