ウイルス情報

ウイルス名 危険度

PWS-Zbot.gen.akq

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
6804
対応定義ファイル
(現在必要とされるバージョン)
6808 (現在7634)
対応エンジン 5.3.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 Kaspersky - Trojan.Win32.Jorik.Fareit.zc DrWeb - Trojan.PWS.Stealer.946 Fortinet - W32/Zbot.AAN!tr Microsoft - PWS:Win32/Fareit.gen!E
情報掲載日 2012/08/17
発見日(米国日付) 2012/08/15
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・PWS-Zbot.gen.akqはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

TOPへ戻る

ウイルスの特徴

・PWS-Zbot.gen.akqはパスワード、資格情報、個人情報などを収集するトロイの木馬です。収集されたデータはリモート攻撃者に送信されます。また、FTPクライアントを使ってサーバをハッキングし、他の悪質なファイルを乗っ取ったマシンにダウンロードする可能性があります。

実行時、ファイルを以下の場所に作成します。

  • %Temp%\abcd.bat

実行時、以下のURLに接続して他のペイロードをダウンロードし、乗っ取ったマシンから収集したデータを送信しようとします。

  • hxxp://66.55.[削除].150:8080/forum/viewtopic.php
  • hxxp://66.55. [削除].151:8080/forum/viewtopic.php
  • hxxp://hote[削除]on.com/oTW0P0v.exe
  • hxxp://riso[削除]eb.netsons.org/vua.exe
  • hxxp://elektrab[削除]k.cz/hs9HBpbT.exe
  • hxxp://46.252. [削除].14/cgi-sys/suspendedpage.cgi
  • 150.89.55. [削除]:8080
  • srv-hg1.ne[削除]ns.net:http
  • www4.p[削除]i.cz:http
  • busine[削除]ck-160-60.on3.ontelecoms.gr:http

PWS-Zbot.gen.akqが実行されると、以下のレジストリ項目がシステムに追加されます。

  • HKEY_USERS\S-1-5-[不定]\Software\WinRAR

また、以下のレジストリ値がシステムに追加されます。

  • HKEY_USERS\S-1-5-[不定]\Software\WinRAR\
    HWID= 7B 35 36 46 32 41 32 41 30 2D 43 30 36 37 2D 34 43 35 34 2D 38 39 38 38 2D 37 42 36 33 34 37 38 39 38 42 37 45 7D
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\
    UNCAsIntranet=0
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\
    AutoDetect=1

また、以下のレジストリ値がシステムから削除されます。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName

以下は感染したマシンから収集され、リモートポート8080を介してリモート攻撃者に送信される情報です。

  • HostName
  • GetNativeSystemInfo
  • GetLocaleInfoA
  • GetSystemInfo
  • gethostbyname

収集されたPOSTリクエストは以下のとおりです。

POST %s HTTP/1.0

Host: %s

Accept: */*

Accept-Encoding: identity, *;q=0

Content-Length: %lu

Connection: close

Content-Type: application/octet-stream

Content-Encoding: binary

User-Agent: Mozilla/4.0 (compatible; MSIE 5.0; Windows 98)

以下のパスワードリストを使って、サーバをハッキングしようとします。

password
phpbb
qwerty
jesus
abc123
letmein
test
love
password1
hello
monkey
dragon
trustno1
iloveyou
shadow
christ
sunshine
master
computer
princess

・以下のFTPクライアントと上記のよく使われるパスワードのリストを使って、ユーザがアクセスしたサーバを検索し、ハッキングしようとします。

  • FileZilla
  • BulletProof Software
  • SmartFTP
  • CuteFTP
  • TurboFTP
  • FTP Explorer
  • Frigate3
  • VanDyke
  • FTPRush
  • LeapFTP

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・上記のファイルおよびレジストリキーが存在します。

・上記のIPアドレスへの予期しないネットワーク接続が存在します。

TOPへ戻る

感染方法

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、スパムメールなどを通じて配布されます。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

TOPへ戻る