PWS-Zbot.gen.ary | ウイルス情報

製品情報

導入事例

-	最新ウイルス一覧
-	ウイルス検索
-	駆除ツール
-	主要ウイルスナビゲータ
-	Daily DATリリースに関するFAQ
-	ウイルス絵とき理解
-	ウイルス画像事典
-	ウイルス解析依頼
-	ウイルス用語集
-	ウイルスの危険度格付け
-	セキュリティ対策のヒント
-	無料セキュリティ情報サービス

Home → セキュリティ情報 → ウイルス情報：PQ

ウイルス情報

ウイルス名

危険度

PWS-Zbot.gen.ary

企業ユーザ: 低
個人ユーザ: 低

種別	トロイの木馬
最小定義ファイル (最初に検出を確認したバージョン)	6871
対応定義ファイル (現在必要とされるバージョン)	6967　（現在7109)
対応エンジン	5.4.00.1158以降　(現在5.4.00)　エンジンバージョンの見分け方
別名	Kaspersky - Trojan-Spy.Win32.Zbot.ihgs Microsoft - PWS:Win32/Zbot ESET-NOD32 - a variant of Win32/Kryptik.ASMW Comodo - TrojWare.Win32.Kryptik.cplm
情報掲載日	2012/12/3
発見日（米国日付）	2012/11/30
駆除補足	ウイルス駆除のヒント


	最新ウイルス

06/16	VBS/LoveLett...
06/16	RDN/AutoRun....
06/16	RDN/Generic ...

		定義ファイル・エンジンのダウンロード!
	定義ファイル：7109 エンジン：5.4.00

		ウイルス検索

概要

TOPに戻る

・PWS-Zbot.gen.aryはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC（インターネットリレーチャット）、ピアツーピアネットワークなどを通じて配布されます。

ウイルスの特徴 TOPに戻る

・「PWS-Zbot.gen.ary」は乗っ取ったマシンから機密情報を盗み出し、リモート攻撃者に送信するトロイの木馬です。また、システムで動作中のすべてのプロセスに自身を挿入します。

・「PWS-Zbot.gen.ary」は以下のアプリケーションに保存されているパスワード、キャッシュ、クッキーから情報を盗み出します。

Chrome

Firefox

Internet Explorer

・また、「PWS-Zbot.gen.ary」は、以下のレジストリを照会して、ウイルス対策など、システムにインストールされているセキュリティ関連のソフトウェアをチェックします。

"ROOT\SECURITYCENTER"

"ROOT\SECURITYCENTER2"

・見つかった場合、プロセスをシャットダウンして検出されないようにします。

・乗っ取ったマシンにインストールされている以下の製品をチェックします。

SafenSoft

SysWatch

McAfee

Security Center

McAfee

Security Center

Symantec

Client

Protection

Norton

Protection

Kaspersky

Anti-Virus

avast!

Antivirus

AntiVir

Monitor

Service

AVG

Security

ESET

Microsoft

Inspection

Security

・実行時、以下の場所にファイルをドロップ（作成）します。

%Temp%\tmp486a2364.bat

%Appdata%\Microsoft\Address Book\Naveen.wab

%Appdata%\Oryltu\omud.exe

%Appdata%\Vubood\wiyqt.tmp

%Appdata%\Vubood\wiyqt.taq

%Appdata%\Uryxyp\ihrex.ica

・以下はPWS-Zbot.gen.aryによって作成されるフォルダです。

%Appdata%\Microsoft\Address Book

%Appdata%\Oryltu

%Appdata%\Vubood

%Appdata%\Uryxyp

・以下はシステムに追加されるレジストリキーです。

HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Explorer\Privacy

HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Windows\CurrentVersion\Uninstall

HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager

HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts

HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Active Directory GC

HKEY_USERS\S-1-5-[不定]\Software\Microsoft\WAB

HKEY_USERS\S-1-5-[不定]\Software\Microsoft\WAB\WAB4

HKEY_USERS\S-1-5-[不定]\Software\Microsoft\WAB\WAB4\Wab File Name

1003\Software\Microsoft\Internet Account Manager\Accounts\Bigfoot

HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\VeriSign

HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\WhoWhere

HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Vikour

・以下はシステムに追加されるレジストリキー値です。

HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\WhoWhere\LDAP Server ID: 0x00000003

HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\WhoWhere\Account Name: "WhoWhere Internet Directory Service"

HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\WhoWhere\

LDAP Server: "ldap.whowhere.com"

LDAP URL: "http://www.whowhere.com"

LDAP Search Return: 0x00000064

LDAP Timeout: 0x0000003C

LDAP Authentication: 0x00000000

LDAP Simple Search: 0x00000001

LDAP Logo: "%ProgramFiles%\CommonFiles\Services\whowhere.bmp"

HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\VeriSign\

LDAP Server ID: 0x00000002

Account Name: "VeriSign Internet DirectoryService"

LDAP Server: "directory.verisign.com"

LDAP URL: "http://www.verisign.com"

LDAP Search Return: 0x00000064

LDAP Timeout: 0x0000003C

LDAP Authentication: 0x00000000

LDAP Search Base: "NULL"

LDAP Simple Search: 0x00000001

LDAP Logo: "%ProgramFiles%\CommonFiles\Services\verisign.bmp"

HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Bigfoot\

LDAP Server ID: 0x00000001

Account Name: "Bigfoot Internet Directory Service"

LDAP Server: "ldap.bigfoot.com"

LDAP URL: "http://www.bigfoot.com"

LDAP Search Return: 0x00000064

LDAP Timeout: 0x0000003C

LDAP Authentication: 0x00000000

LDAP Simple Search: 0x00000001

LDAP Logo: "%ProgramFiles%\Common Files\Services\bigfoot.bmp"

HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Active Directory GC\

LDAP Server ID: 0x00000000

Account Name: "Active Directory"

LDAP Server: "NULL"

LDAP Search Return: 0x00000064

LDAP Timeout: 0x0000003C

LDAP Authentication: 0x00000002

LDAP Simple Search: 0x00000000

LDAP Bind DN: 0x00000000

LDAP Port: 0x00000CC4

LDAP Resolve Flag: 0x00000001

LDAP Secure Connection: 0x00000000

LDAP User Name: "NULL"

LDAP Search Base: "NULL"

HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\

PreConfigVer: 0x00000004

PreConfigVerNTDS: 0x00000001

ConnectionSettingsMigrated: 0x00000001

HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\

Server ID: 0x00000004

Default LDAP Account: "Active Directory GC"

HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Vikour\Ocnaepich: 7B 60 46 D7 F0 B7 63 F0 0D 8C 32 FE CE 8E D9 39 7B 60 46 D7 F0 B7 63 F0 0D 8C 32 FE CE 8E D9 39 7B 60 46 D7 F0 B7 63 F0 0D 8C 32 FE CE 8E D9 39 7B 60 46 D7 F0 B7 63 F0 0D 8C 32 FE CE 8E D9 39 7B 60 46 D7 F0 B7 63 F0 0D 8C 32 FE CE 8E D9 39 7B 60 46 D7 F0 B7 63 F0 0D 8C 32 FE CE 8E D9 39 7B 60 46 D7 F0 B7 63 F0 0D 8C 32 FE CE 8E D9 39 07 99 5A 54 9C 6B 24 F2 43 A6 33 01 64 5C 65 0F 7B 60 46 D7 F0 B7 63 F0 0D 8C 32 FE CE 8E D9 39 7B 60 46 D7 F0 B7 63 F0 0D 8C 32 FE CE 8E D9 39

HKEY_USERS\S-1-5-[不定]\Software\Microsoft\WAB\WAB4\Wab File Name\: "%Appdata% \Microsoft\Address Book\Naveen.wab"

HKEY_USERS\S-1-5-[不定]\Software\Microsoft\WAB\WAB4\OlkContactRefresh: 0x00000000

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\EXPLORER.EXE: "Windows

HKEY_USERS \S-1-5-21-1004336348-1326574676-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run\Ygqyyc: ""%Appdata% \Oryltu\omud.exe""

・上記のレジストリにより、PWS-Zbot.gen.aryが乗っ取ったシステムに登録され、起動のたびに実行されるようにします。

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\EXPLORER.EXE: "Windows Explorer"U\S-1-5-21-1004336348-1326574676-839522115-1003\Software\Microsoft\Internet Explorer\Privacy\CleanCookies: 0x00000000

・上記のレジストリ項目により、クッキーを無効にします。

HKEY_LOCALMACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\%WINDIR%\EXPLORER.EXE: "%WINDIR%\EXPLORER.EXE:*:Disabled:Windows Explorer"

HKEY_LOCALMACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\%WINDIR%\EXPLORER.EXE: "%WINDIR%\EXPLORER.EXE:*:Disabled:Windows Explorer"

・上記のレジストリキーにより、通常の認証を通過するためのexplorer.exeのファイアウォールルールを作成します。

・以下のコマンドを使って感染したマシンからシステム情報を収集し、リモート攻撃者に送信します。

GetUserDefaultUILanguage

GetComputerNameW

GetNativeSystemInfo

GetKeyboardState

SetKeyboardState

GetKeyboardLayoutList

GetUserNameExW

Getaddrinfo

NetUserGetInfo

・以下のコマンドにより、システムからブラウザのクッキーの情報を収集し、リモート攻撃者に送信します。

_getFirefoxCookie

・収集したデータをリモート攻撃者に受け渡すため、以下のコマンドを使用します。

InternetCloseHandle

HttpSendRequestExA

HttpQueryInfoA

HttpSendRequestExW

InternetQueryDataAvailable

InternetReadFileExA

InternetReadFile

HttpSendRequestW

HttpOpenRequestA

HttpOpenRequestW

InternetSetFilePointer

HttpEndRequestA

HttpSendRequestA

HttpEndRequestW

GetUrlCacheEntryInfoW

InternetSetStatusCallbackW

HttpAddRequestHeadersW

InternetGetCookieA

HttpAddRequestHeadersA

InternetQueryOptionA

InternetConnectA

InternetQueryOptionW

InternetCrackUrlA

InternetSetOptionA

InternetOpenA

InternetSetStatusCallbackA

以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る

・上記の活動が見られます。

感染方法 TOPへ戻る

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、スパムメールなどを通じて配布されます。

駆除方法 TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

McAfee for Small Businesses

Navigation

Utility Navigation

Footer