・PWS-Zbotはオンラインバンクの資格情報を盗み出し、リモートサーバに送信するトロイの木馬です。
--2011年3月25日更新---
・実行時、以下のファイルをドロップ(作成)します。
- %WinDir%\system32\sdra64.exe [Generic PWS.bfrという名前で検出]
- %WinDir%\system32\lowsec\local.ds
- %WinDir%\system32\lowsec\user.ds.lll
- %WinDir%\system32\lowsec\user.ds
・また、ターゲットコンピュータのIPアドレスを把握するため、whatismyip.comに接続します。
・以下の構成ファイルを使って自身をアップデートします。
・以下のレジストリキーが追加されます。
- HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\BrowserEmulation
- HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\IETld
- HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}
- HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\ietld
- HKEY_USERS\.DEFAULT\Software\Microsoft\Protected Storage System Provider
- HKEY_USERS\.DEFAULT\Software\Microsoft\Protected Storage System Provider\S-1-5-18
- HKEY_USERS\S-1-5-19\Software\Microsoft\Protected Storage System Provider
- HKEY_USERS\S-1-5-19\Software\Microsoft\Protected Storage System Provider\S-1-5-19
- HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\BrowserEmulation
- HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\IETld
- HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}
- HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\ietld
- HKEY_USERS\S-1-5-18\Software\Microsoft\Protected Storage System Provider
- HKEY_USERS\S-1-5-18\Software\Microsoft\Protected Storage System Provider\S-1-5-18
・以下のレジストリ値が追加されます。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\
UID = "ComputerName_0045781E"
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\
EnableFirewall = 0x00000000
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\
EnableFirewall = 0x00000000
・ファイアウォール設定が無効化されます。
- HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\BrowserEmulation\
TLDUpdates = 0x00000001
- HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\IETld\
IETldDllVersionHigh = 0x00080000
IETldDllVersionLow = 0x177149EB
IETldVersionHigh = 0x00000001
IETldVersionLow = 0x00000003
StaleIETldCache = 0x00000001
- HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}\
{3039636B-5F3D-6C64-6675-696870667265} = F7 09 F2 0D
- HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}\
{33373039-3132-3864-6B30-303233343434} = 47 09 F2 0D
- HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\ietld\
CachePath = "%USERPROFILE%\IETldCache"
CachePrefix = "ietld:"
CacheLimit = 0x00002000
CacheOptions = 0x00000009
CacheRepair = 0x00000000
- HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\
AutoDetect = 0x00000000
- HKEY_USERS\S-1-5-19\Software\Microsoft\Windows NT\CurrentVersion\Network\
UID = " ComputerName_00457B79"
- HKEY_USERS\S-1-5-20\Software\Microsoft\Windows NT\CurrentVersion\Network\
UID = " ComputerName_004579F3"
- HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\BrowserEmulation\
TLDUpdates = 0x00000001
- HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\IETld\
IETldDllVersionHigh = 0x00080000
IETldDllVersionLow = 0x177149EB
IETldVersionHigh = 0x00000001
IETldVersionLow = 0x00000003
StaleIETldCache = 0x00000001
- HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}\
{3039636B-5F3D-6C64-6675-696870667265} = F7 09 F2 0D
- HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}\
{33373039-3132-3864-6B30-303233343434} = 47 09 F2 0D
- HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\ietld\
CachePath = "%USERPROFILE%\IETldCache"
CachePrefix = "ietld:"
CacheLimit = 0x00002000
CacheOptions = 0x00000009
CacheRepair = 0x00000000
- HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\
AutoDetect = 0x00000000
・以下のレジストリ値が改変されます。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Userinit = "%WinDir%\system32\userinit.exe,%WinDir%\system32\sdra64.exe,"
・上記のレジストリ項目により、Windowsが起動するたびにPWS-Zbotが実行されるようにします。以下のフォルダが追加されます。
- %WinDir%\system32\config\systemprofile\IETldCache
- %WinDir% \system32\lowsec
[注:
%WinDir% = C:\WINDOWS ]
-- 2010年11月11日更新 --
・他のファイルに感染できる亜種が発見されました。感染したコードにはランダムなドメインを生成するアルゴリズムが組み込まれています。
-- 2010年8月13日更新 --
・Zbotの新しい亜種のスパム送信が確認されています。ここでは、この亜種特有の特徴を説明します。
・PWS-Zbotで使われているファイル名の一例は以下のとおりです。これらを電子メールゲートウェイ、ファイアウォールでブロックすることを強くお勧めします。
- fun bunch summer 2010.exe
- invite.exe
- resume.exe
- banquet invitations.exe
- car loan.exe
- cv july '10 finals.exe
- edmc application 2 07.exe
- f&r rehearsal.exe
- fun bunch summer 2010.exe
- labor distribution report.exe
- lance armstrong.exe
- morgan hunt.exe
- nh ess access guidelines.exe
- order_74hhdnsj3hex.exe
- online passport application for passport office.exe
- Allhotels.exe
・スパムで送信される電子メールで使われている件名の一例は以下のとおりです。
- In USA on August 15 and 16
- Your reservation is confirmed - Ref: 12652/886645
・実行時、以下の名前で自身のコピーを作成します。
- %WINDIR%\host32.exe
- %WINDIR%\system32.exe
・ドロップ(作成)されたこれらのファイルの終わりにはランダムな意味のない文字が追加されているため、サイズは常に同じではありません。
・また、ユーザのキー入力、オンラインバンキングの情報など、盗み出した情報を格納するため、以下のファイルが作成されます。
- %WINDIR%\jh87uhnoe3\ewf32.nls
- %WINDIR%\jh87uhnoe3\ewfrvbb.nls
・以下のレジストリキーを改変します。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\host32.exe,"
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32.exe,"
・以下のレジストリキーを作成します。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network PID "%computername%"
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\{61AE298E-1E2E-1083-BD89-63E91F7CB59D} = <4バイトのデータ>
・複数のWindows機能(API)にフックし、上記のファイルが一般的なユーザの目に触れないようにします。
・メモリ内の以下のプロセスに悪質なコードを挿入して自身を監視し、スレッドが駆除アプリケーションによって削除、停止された場合は再起動します。
- lsass.exe
- services.exe
- Any process created after the infection
・Internet Explorerのセキュリティ設定を下げ、ユーザに気づかれずにソフトウェアがWebページで実行されるようにします。http://support.microsoft.com/kb/182569をチェックして、この危険性を理解してください。
・番号の大きいランダムなTCPポートでバックドアを開きます。
・このスレッドのバージョンの中には、Windowsターミナルサービスのデーモンを起動し、MicrosoftターミナルサービスのDLLに修正プログラムを適用して認証を無効にし、リモートデスクトップクライアントがマシンを操作できるようにするものもあります。
-- 2009年1月21日更新 --
・以下のWebサイトで注目されたため、危険度を[低(要注意)]に変更しました。
http://www.theregister.co.uk/2009/01/21/airline_ticket_malware_scam/
PWS-Zbotの一般的な特徴
・以下を含む複数のサービス、プログラムからログイン/パスワード情報を盗み出すことができます。
- FTP通信
- HTTP認証
- HTTPクッキー
- ユーザのデジタル証明書
- FTPクライアント設定(FlashFXP、SmartFTP、WinSCP、Far Manager、WS_FTPなど)
- スクリーンショットを撮影できます。
・以下のレジストリキーを追加または改変します。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID = "MACHINE_NAME"
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = "%WINDIR%\system32\userinit.exe,%WINDIR%\system32\sdra64.exe,"
- HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\F710FA10-2031-3106-8872-93A2B5C5C620} = F7 09 F2 0D
- HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable = 0x00000000
・winlogon.exe、svchost.exeプロセスに悪質なコードを挿入します。
・Windowsファイアウォールが無効に設定されます。
・以下のファイルまたはフォルダが作成されます。
- %WINDIR%\system32\lowsec\local.ds (データファイル)
- %WINDIR%\system32\lowsec\user.ds (データファイル)
- %WINDIR%\system32\lowsec\user.ds.lll (データファイル)
- %WINDIR%\system32\sdra64.exe (PWS-Zbot)
- %WINDIR%\system32\ntos.exe
- %WINDIR%\system32\wsnpoem\audio.dll
- %WINDIR%\system32\wsnpoem\video.dll
- %Root%\RECYCLER\S-1-5-21-4616592079-8080907928-828616482-2104
- Sysdate.exe
- Wuaclt.exe
- %Root%\Temp[ランダムな数字]
- autorun.inf (外付けドライブ内)
- desktop.ini (外付けドライブ内)
- [有効なWindowsアプリケーションに似たファイル名].exe
(%WINDIRはWindowsがインストールされているフォルダを指します。Windows XPでは通常、C:\Windowsになります。)
・svchost.exe内に_AVIRA_2108、winlogon.exe内に_AVIRA_2109という名前のMUTEXを作成します。
・また、番号の大きいTCPポートで接続の受信待機を行います。この亜種で確認されたポートは以下のとおりです。
・また、UDP 11223上で以下のドメインとの通信が行われる場合があります。
- butterfly.[削除].biz
- butterfly.[削除].es
- qwertasdfg.[削除].es
・以下のような外部サイトから構成ファイルをダウンロードしようとします。
- hxxp://hiho[削除].com/httpd/loc.so
・亜種の中には、システムが自動実行に設定されている場合、自動的にPWS-Zbotを実行するautorun.infファイルを作成し、リムーバブルドライブを介して拡散するものもあります。
