製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:PQ
ウイルス情報
ウイルス名危険度
PWS-Zbot.gen.aem
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
6753
対応定義ファイル
(現在必要とされるバージョン)
6757 (現在7607)
対応エンジン5.2.00以降 (現在5600) 
エンジンバージョンの見分け方
別名Microsoft - TrojanDownloader:Win32/Cutwail.BE Kaspersky - Trojan.Win32.Jorik.Totem.kj Ikarus - Trojan.Win32.Jorik Symantec - Trojan.ADH.2
情報掲載日2012/07/06
発見日(米国日付)2012/06/14
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/29RDN/Generic....
10/29Generic.bfr!...
10/29Generic Drop...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7607
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・PWS-Zbot.gen.aemはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

ウイルスの特徴TOPに戻る

・実行時、以下の場所に自身をコピーします。

  • %Userprofile%\3hmpa190gs.exe

・以下のファイルをドロップ(作成)します。

  • %temp%\MSWQC.tmp

・以下のレジストリにより、PWS-Zbot.gen.aemが乗っ取ったシステムに登録され、起動のたびに実行されるようにします。

  • HKEY_USERS\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Run:
    "3hmpa190gs" = %Userprofile%\3hmpa190gs.exe

・また、以下のWebサイトに接続しようとします。

  • n[削除]rr.ru
  • g[削除]r.ru
  • m[削除]yr.ru
  • so[削除]ry.ru
  • Ra[削除]kr.com/Ra[削除]kr.ru/Ra[削除]kr.kz/Ra[削除]kr.net
  • Og[削除]m8.com/Og[削除]m8.ru/Og[削除]m8.kz/Og[削除]m8.net
  • Mav[削除]Urv.com/Mav[削除]Urv.ru/Mav[削除]Urv.kz/Mav[削除]Urv.net
  • Pa[削除]yi.com/Pa[削除]yi.ru/Pa[削除]yi.kz/Pa[削除]yi.net
  • Dyd[削除]eu.com/Dyd[削除]eu.ru/Dyd[削除]eu.kz/Dyd[削除]eu.net
  • Ci[削除]ac.com/Ci[削除]ac.ru/Ci[削除]ac.kz/Ci[削除]ac.net
  • he[削除]sye.com/he[削除]sye.ru/he[削除]sye.kz/he[削除]sye.net
  • Ni[削除]Rod.com/Ni[削除]Rod.ru/Ni[削除]Rod.kz/Ni[削除]Rod.net
  • fo[削除]d3.com/fo[削除]d3.ru/fo[削除]d3.kz/fo[削除]d3.net
  • nu[削除]Od.com/nu[削除]Od.ru/nu[削除]Od.kz/nu[削除]Od.net
  • Aiw[削除]Eg.com/Aiw[削除]Eg.ru/Aiw[削除]Eg.kz/Aiw[削除]Eg.net
  • By[削除]ar.com/By[削除]ar.ru/By[削除]ar.kz/By[削除]ar.net
  • Fe[削除]dav.com/Fe[削除]dav.ru/Fe[削除]dav.kz/Fe[削除]dav.net
  • Ok[削除]Og.com/Ok[削除]Og.ru

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・上記のファイルおよびレジストリキーが存在します。

感染方法TOPへ戻る

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、スパムメールなどを通じて配布されます。

駆除方法TOPへ戻る

全ての Windows ユーザー

脅威と危険と思われる要素を取り除くため、サポートされているすべてのWindowsに対して以下の処置を行ってください。
  1. システムリストアを無効にしてください。
  2. 脅威の検出・駆除のために最新のエンジンとDATにアップデートしてください。
  3. Complete system scanを実行してください。
    システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます
  4. 回復コンソールでクリーンなMBRに修復してください。

Windows XPの場合

CD-ROM ドライブに Windows XP CD-ROM を挿入し、コンピュータを再起動します。
「セットアップの開始」 画面が表示されたら、R キーを押して回復コンソールを起動します。
対象となるWindowsのインストールを選択し、管理者パスワードを入力してください。
マスタ ブート レコードを修復するfixmbrコマンドを発行します。
画面上の指示に従ってください。
CD-ROM ドライブからCDを取り出しリセットしてください。


Windows Vista および 7 の場合

CD-ROM ドライブに Windows CD-ROM を挿入し、コンピュータを再起動します。
「コンピュータを修復する」をクリックします。
[システム回復オプション] ダイアログ ボックスで、[コマンド プロンプト] を選択します。
マスタ ブート レコードを修復するbootrec /fixmbrコマンドを発行します。
画面上の指示に従ってください。
CD-ROM ドライブからCDを取り出しリセットしてください。