製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:PQ
ウイルス情報
ウイルス名危険度
PWS-Zbot-FBDT
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
7139
対応定義ファイル
(現在必要とされるバージョン)
7144 (現在7562)
対応エンジン5.4.00.1158以降 (現在5600) 
エンジンバージョンの見分け方
別名Kaspersky - Trojan-PSW.Win32.Tepfer.nzns Ikarus - Trojan-PWS.Win32.Tepfer NOD32 - Win32/PSW.Fareit.A Microsoft - PWS:Win32/Fareit
情報掲載日2013/07/24
発見日(米国日付)2013/07/22
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
09/14RDN/Obfuscat...
09/14RDN/GenericA...
09/14RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7562
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・PWS-Zbot-FBDTはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

ウイルスの特徴TOPに戻る

・「PWS-Zbot-FBDT」は影響を受けるコンピュータに不正にアクセスして制御できるようにします。また、「Backdoor-FJW」という名前で検出されるファイルをドロップ(作成)します。

・実行時、以下のIPアドレスおよびURLに接続します。

  • 209.[削除].210.130
  • 62. [削除].132.115
  • 64. [削除].66.153
  • 210. [削除].137.50
  • 178. [削除].233.29
  • 66. [削除]34.247
  • 78. [削除]164.6
  • 71. [削除].167.82
  • 67. [削除].85.16
  • 99. [削除].158.19
  • nurs[削除]or.com

・実行時、以下のファイルがシステムに追加されます。

  • %appdata%\Microsoft\Address Book\AVERT.wab
  • %appdata%\Cien\ekfid.exe

・実行時、以下のフォルダがシステムに追加されます。

  • %appdata%\Microsoft\Address Book
  • %appdata%\Cien

・以下のレジストリキーがシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\Internet Account Manager
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Active Directory GC
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Bigfoot
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\VeriSign
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\WhoWhere
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\Ixjibie
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\WAB
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\WAB\WAB4
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\WAB\WAB4\Wab File Name

・以下のレジストリ値がシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\DisableNotifications: 0x00000000
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List\3690:UDP: "3690:UDP:*:Enabled:UDP 3690"
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List\3949:TCP: "3949:TCP:*:Enabled:TCP 3949"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\DisableNotifications: 0x00000000
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List\3690:UDP: "3690:UDP:*:Enabled:UDP 3690"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List\3949:TCP: "3949:TCP:*:Enabled:TCP 3949"

・上記のレジストリ項目により、PWS-Zbot-FBDTがUDPおよびTCPポートの通常の認証を回避するファイアウォールルールを作成します。また、リモート攻撃者がユーザに気づかれずに乗っ取ったシステムを制御するコマンドを発行できる可能性があります。

  • [HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\WhoWhere]
  • LDAP Server ID = 0x00000003
  • Account Name = "WhoWhere Internet Directory Service"
  • LDAP Server = "ldap.whowhere.com"
  • LDAP URL = "http://www.whowhere.com"
  • LDAP Search Return = 0x00000064
  • LDAP Timeout = 0x0000003C
  • LDAP Authentication = 0x00000000
  • LDAP Simple Search = 0x00000001
  • LDAP Logo = "%ProgramFiles%\Common Files\Services\whowhere.bmp"
  • [HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\VeriSign\]
  • LDAP Server ID = 0x00000002
  • Account Name = "VeriSign Internet Directory Service"
  • LDAP Server = "directory.verisign.com"
  • LDAP URL = "http://www.verisign.com"
  • LDAP Search Return = 0x00000064
  • LDAP Timeout = 0x0000003C
  • LDAP Authentication = 0x00000000
  • LDAP Search Base = "NULL"
  • LDAP Simple Search = 0x00000001
  • LDAP Logo = "%ProgramFiles%\Common Files\Services\verisign.bmp"
  • [HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Bigfoot\]
  • LDAP Server ID = 0x00000001
  • Account Name = "Bigfoot Internet Directory Service"
  • LDAP Server = "ldap.bigfoot.com"
  • LDAP URL = "http://www.bigfoot.com"
  • LDAP Search Return = 0x00000064
  • LDAP Timeout = 0x0000003C
  • LDAP Authentication = 0x00000000
  • LDAP Simple Search = 0x00000001
  • LDAP Logo = "%ProgramFiles%\Common Files\Services\bigfoot.bmp"
  • [HKEY_USER\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Active Directory GC\]
  • LDAP Server ID: 0x00000000
  • Account Name: "Active Directory"
  • LDAP Server: "NULL"
  • LDAP Search Return: 0x00000064
  • LDAP Timeout: 0x0000003C
  • LDAP Authentication: 0x00000002
  • LDAP Simple Search: 0x00000000
  • LDAP Bind DN: 0x00000000
  • LDAP Port: 0x00000CC4
  • LDAP Resolve Flag: 0x00000001
  • LDAP Secure Connection: 0x00000000
  • LDAP User Name: "NULL"
  • LDAP Search Base: "NULL"
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\PreConfigVer: 0x00000004
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\PreConfigVerNTDS: 0x00000001
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Server ID: 0x00000004
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Default LDAP Account: "Active Directory GC"
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\Ixjibie\1jjdcbgh: binary data
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\Windows\CurrentVersion\Run\Ekfid: ""%appdata%\Cien\ekfid.exe""

・以下は感染マシンから収集される情報で、リモート攻撃者に送信されます。

  • GetUserNameA
  • GetNativeSystemInfo
  • GetLocaleInfoA
  • GetSystemInfo

・以下のアプリケーションから保存されているパスワード、キャッシュ、クッキーを盗み出します。

  • Opera
  • Firefox
  • Internet Explorer
  • Google Chrome
  • Windows Live Mail
  • Thunderbird
  • Bromium
  • Nichrome
  • Comodo
  • RockMelt
  • Visicom Media
  • Chromium
  • Global Downloader
  • NetSarang
  • Cyberduck
  • Pocomail
  • BatMail
  • NCH Software

・以下のFTPクライアントアプリケーションから保存されているサーバ名、ポート番号、ログインID、パスワードを盗み出します。

  • FileZilla
  • BulletProof FTP
  • SmartFTP
  • CuteFTP 6,7,8
  • CuteFTP Lite
  • CuteFTP Pro
  • COREFTP
  • TurboFTP
  • Robo-FTP 3.7
  • LinasFTP
  • FFFTP
  • FTP Explorer
  • ClassicFTP
  • Frigate3
  • VanDyke
  • FTPRush
  • LeapFTP
  • FTPHost
  • Ghisler
  • WinFTP
  • PuTTY

・実行時、リモートマシンの管理者アカウントに接続しようとします。以下のパスワードを使って、総当たり攻撃を仕掛けます。

  • diamond
  • hope
  • maggie
  • maverick
  • online
  • spirit
  • george
  • friends
  • dallas
  • adidas
  • 1q2w3e
  • orange
  • testtest
  • asshole
  • apple
  • biteme
  • william
  • mickey
  • asdfgh
  • wisdom
  • batman
  • michelle
  • david
  • eminem
  • scooter
  • asdfasdf
  • sammy
  • baby
  • samantha
  • maxwell
  • justin
  • james
  • chicken
  • danielle
  • iloveyou2
  • fuckoff
  • prince
  • junior
  • rainbow
  • fuckyou1
  • nintendo
  • peanut
  • none
  • church
  • bubbles
  • robert
  • destiny
  • loving
  • gfhjkm
  • mylove
  • jasper
  • hallo
  • cocacola
  • helpme
  • nicole
  • guitar
  • billgates
  • looking
  • scooby
  • joseph
  • genesis
  • forum
  • emmanuel
  • cassie
  • victory
  • passw0rd
  • foobar
  • ilovegod
  • nathan
  • blabla
  • digital
  • peaches
  • football1
  • power
  • thunder
  • gateway
  • iloveyou!
  • football
  • tigger
  • corvette
  • angel
  • killer
  • creative
  • google
  • zxcvbnm
  • startrek
  • ashley
  • cheese
  • sunshine
  • christ
  • soccer
  • qwerty1
  • friend
  • summer
  • merlin
  • phpbb
  • jordan
  • saved
  • dexter
  • viper
  • winner
  • sparky
  • windows
  • 123abc
  • lucky
  • anthony
  • jesus
  • ghbdtn
  • admin
  • hotdog
  • baseball
  • password1
  • dragon
  • trustno1
  • jason
  • internet
  • mustdie
  • john
  • letmein
  • mike
  • knight
  • jordan23
  • abc123
  • red123
  • praise
  • freedom
  • jesus1
  • london
  • computer
  • microsoft
  • muffin
  • qwert
  • mother
  • master
  • qazwsx
  • samuel
  • canada
  • slayer
  • rachel
  • onelove
  • qwerty
  • prayer
  • iloveyou1
  • whatever
  • god
  • password
  • blessing
  • snoopy
  • 1q2w3e4r
  • cookie
  • chelsea
  • pokemon
  • hahaha
  • aaaaaa
  • hardcore
  • shadow
  • welcome
  • mustang
  • bailey
  • blahblah
  • matrix
  • jessica
  • stella
  • benjamin
  • testing
  • secret
  • trinity
  • richard
  • peace
  • shalom
  • monkey
  • iloveyou
  • thomas
  • blink182
  • jasmine
  • purple
  • test
  • angels
  • grace
  • hello
  • poop
  • blessed
  • heaven
  • hunter
  • pepper
  • john316
  • cool
  • buster
  • andrew
  • faith
  • ginger
  • hockey
  • hello1
  • angel1
  • superman
  • enter
  • daniel
  • forever
  • nothing
  • dakota
  • kitten
  • asdf
  • banana
  • gates
  • flower
  • taylor
  • lovely
  • hannah
  • princess
  • compaq
  • jennifer
  • myspace1
  • smokey
  • matthew
  • harley
  • rotimi
  • fuckyou
  • soccer1
  • single
  • joshua
  • green
  • 123qwe
  • starwars
  • love
  • silver
  • austin
  • michael
  • amanda
  • charlie
  • bandit
  • chris
  • happy
  • pass

・上記のレジストリにより、PWS-Zbot-FBDTがRUN項目を乗っ取ったシステムに登録し、起動のたびに自身を実行するようにします。

  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\WAB\WAB4\Wab File Name\: "%appdata%\Microsoft\Address Book\AVERT.wab"
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\WAB\WAB4\OlkContactRefresh: 0x00000000
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\WAB\WAB4\OlkFolderRefresh: 0x00000000
  • HKEY_USER\S-1-5-[不定]\Software\WinRAR\HWID: 7B 31 31 38 31 34 46 43 45 2D 35 35 37 38 2D 34 45 41 32 2D 38 42 37 43 2D 44 41 44 39 33 32 46 35 34 43 31 36 7D
  • HKEY_USER\S-1-5-[不定]\Software\WinRAR\Client Hash: A8 24 80 5F 75 5A E3 8B 9B 2E 08 FF 26 75 F4 57
  • HKEY_USER\S-1-5-[不定]\Software\WinRAR\B6B319559EF9F798356050B94CF294DA: 74 72 75 65

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・上記の活動、ファイルおよびレジストリが見られます。

感染方法TOPへ戻る

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、スパムメールなどを通じて配布されます。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。