McAfee for Small Businesses

ウイルス名 危険度 PWS-Zbot.gen.akq 企業ユーザ: 低 個人ユーザ: 低 種別 トロイの木馬 最小定義ファイル (最初に検出を確認したバージョン) 6804 対応定義ファイル (現在必要とされるバージョン) 6808　（現在7080) 対応エンジン 5.3.00以降　(現在5.4.00)　 エンジンバージョンの見分け方 別名 Kaspersky - Trojan.Win32.Jorik.Fareit.zc DrWeb - Trojan.PWS.Stealer.946 Fortinet - W32/Zbot.AAN!tr Microsoft - PWS:Win32/Fareit.gen!E 情報掲載日 2012/08/17 発見日（米国日付） 2012/08/15 駆除補足 ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 05/19 RDN/Generic ... 05/19 Generic Down... 05/19 RDN/Download... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7080  エンジン：5.4.00   ウイルス検索

ウイルスの特徴 TOPに戻る ・PWS-Zbot.gen.akqはパスワード、資格情報、個人情報などを収集するトロイの木馬です。収集されたデータはリモート攻撃者に送信されます。また、FTPクライアントを使ってサーバをハッキングし、他の悪質なファイルを乗っ取ったマシンにダウンロードする可能性があります。 ・実行時、ファイルを以下の場所に作成します。 %Temp%\abcd.bat ・実行時、以下のURLに接続して他のペイロードをダウンロードし、乗っ取ったマシンから収集したデータを送信しようとします。 hxxp://66.55.[削除].150:8080/forum/viewtopic.php hxxp://66.55. [削除].151:8080/forum/viewtopic.php hxxp://hote[削除]on.com/oTW0P0v.exe hxxp://riso[削除]eb.netsons.org/vua.exe hxxp://elektrab[削除]k.cz/hs9HBpbT.exe hxxp://46.252. [削除].14/cgi-sys/suspendedpage.cgi 150.89.55. [削除]:8080 srv-hg1.ne[削除]ns.net:http www4.p[削除]i.cz:http busine[削除]ck-160-60.on3.ontelecoms.gr:http ・PWS-Zbot.gen.akqが実行されると、以下のレジストリ項目がシステムに追加されます。 HKEY_USERS\S-1-5-[不定]\Software\WinRAR ・また、以下のレジストリ値がシステムに追加されます。 HKEY_USERS\S-1-5-[不定]\Software\WinRAR\ HWID= 7B 35 36 46 32 41 32 41 30 2D 43 30 36 37 2D 34 43 35 34 2D 38 39 38 38 2D 37 42 36 33 34 37 38 39 38 42 37 45 7D HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ UNCAsIntranet=0 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ AutoDetect=1 ・また、以下のレジストリ値がシステムから削除されます。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName ・以下は感染したマシンから収集され、リモートポート8080を介してリモート攻撃者に送信される情報です。 HostName GetNativeSystemInfo GetLocaleInfoA GetSystemInfo gethostbyname ・収集されたPOSTリクエストは以下のとおりです。 POST %s HTTP/1.0 Host: %s Accept: */* Accept-Encoding: identity, *;q=0 Content-Length: %lu Connection: close Content-Type: application/octet-stream Content-Encoding: binary User-Agent: Mozilla/4.0 (compatible; MSIE 5.0; Windows 98) ・以下のパスワードリストを使って、サーバをハッキングしようとします。 password phpbb qwerty jesus abc123 letmein test love password1 hello monkey dragon trustno1 iloveyou shadow christ sunshine master computer princess ・以下のFTPクライアントと上記のよく使われるパスワードのリストを使って、ユーザがアクセスしたサーバを検索し、ハッキングしようとします。 FileZilla BulletProof Software SmartFTP CuteFTP TurboFTP FTP Explorer Frigate3 VanDyke FTPRush LeapFTP 以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る ・上記のファイルおよびレジストリキーが存在します。 ・上記のIPアドレスへの予期しないネットワーク接続が存在します。 感染方法 TOPへ戻る ・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、スパムメールなどを通じて配布されます。 駆除方法 TOPへ戻る ■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。 システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。