-- 2010年11月19日更新 --
・実行時、以下のファイルをドロップ(作成)します。
- %Appdata%\Microsoft\Address Book\[ユーザ名].wab
- %Appdata%\Microsoft\Address Book\[ユーザ名].wab~
- %Appdata%\Epukta\voyx.tmp
- %Appdata%\Identities\{EBA1757B-EB14-4E48-8CE7-3AA790B4FB28}\Microsoft\Outlook Express\Folders.dbx
- %Appdata%\Identities\{EBA1757B-EB14-4E48-8CE7-3AA790B4FB28}\Microsoft\Outlook Express\Inbox.dbx
- %Appdata%\Identities\{EBA1757B-EB14-4E48-8CE7-3AA790B4FB28}\Microsoft\Outlook Express\Offline.dbx
- %Appdata%\Identities\{EBA1757B-EB14-4E48-8CE7-3AA790B4FB28}\Microsoft\Outlook Express\Sent Items.dbx
・以下のレジストリキーがシステムに追加されます。
- HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Internet Explorer\Privacy
- HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Ucbaux
・以下のレジストリ値が追加されます。
- HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Run\]
“{C326FF9A-C26C-7A2D-9DD5-C208371285E5}” = "%Appdata%\Sealim\obdei.exe""
・上記のレジストリにより、PWS-Zbot.gen.bxがRUN項目を乗っ取ったシステムに登録し、起動のたびに自身を実行するようにします。
- [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Internet Explorer\Privacy\]
“CleanCookies” = “0x00000000”
・上記のレジストリにより、PWS-Zbot.gen.bxによってInternet Explorerのクッキーの削除オプションが無効化されるようにします。
- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\]
“C:\WINDOWS\explorer.exe” = "C:\WINDOWS\explorer.exe:*:Enabled:Windows Explorer"
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\]
“C:\WINDOWS\explorer.exe” = "C:\WINDOWS\explorer.exe:*:Enabled:Windows Explorer"
・以下のレジストリ値が改変されます。
- [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\]
“1609” = “0x00000000”
- [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\]
“1406” = “0x00000000”
- [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\]
“1609” = “0x00000000”
- [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\]
“1406” = “0x00000000”
- [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\]
“1406” = “0x00000000”
・上記のレジストリ項目により、PWS-Zbot.gen.bxによってInternet Explorerのセキュリティ設定が無効化されるようにします。
・PWS-Zbot.gen.bxは上記の情報を乗っ取ったコンピュータから盗み出し、攻撃者に送信します。
[%UserProfile%はc:\Documents and Settings\Administrator\、%Temp%はC:\Documents and Settings\Administrator\Local Settings\Temp\、%SystemDrive%はオペレーティングシステムがインストールされているドライブで、通常はC:\]
・実行時、以下のファイルをドロップ(作成)します。
- %Appdata%\Microsoft\Address Book\Administrator.wab
- %Appdata%\Microsoft\Address Book\Administrator.wab~
- %Appdata%\Foheb\exyf.wyy
- %Appdata%\Goaqlo\ucke.cay
- %Appdata%\Goaqlo\ucke.tmp
- %Appdata%\Nuacat\icziy.exe [PWS-Zbot.gen.bxという名前で検出]
- %Appdata%\Rehevo\hicya.exe [PWS-Zbot.gen.bxという名前で検出]
- %Appdata%\Identities\{EBA1757B-EB14-4E48-8CE7-3AA790B4FB28}\Microsoft\Outlook Express\Folders.dbx
- %Appdata%\Identities\{EBA1757B-EB14-4E48-8CE7-3AA790B4FB28}\Microsoft\Outlook Express\Inbox.dbx
- %Appdata%\Identities\{EBA1757B-EB14-4E48-8CE7-3AA790B4FB28}\Microsoft\Outlook Express\Offline.dbx
- %Appdata%\Identities\{EBA1757B-EB14-4E48-8CE7-3AA790B4FB28}\Microsoft\Outlook Express\Sent Items.dbx
- %Temp%\tmp0be7418c.bat
- %Temp%\tmp860c6934.bat
- %Temp%\tmpdbfa5ff4.bat
- %USERPROFILE%\Start Menu\Programs\Startup\igzail.exe [W32/Zbotという名前で検出]
- %USERPROFILE%\Start Menu\Programs\Startup\Start Menu\Programs\StartUp\yndi.exe [W32/Zbotという名前で検出]
- %USERPROFILE%\Start Menu\Programs\Startup\ikdiy.exe [W32/Zbotという名前で検出]
・以下のレジストリキーがシステムに追加されます。
- HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Internet Explorer\Privacy
- HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Xowa
- HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Ucwial
- HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\WAB
・以下のレジストリ値が追加されます。
- HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Run\]
“{1E2D2803-F1E8-7A2D-A097-4214038F05F9}” = ""%Appdata%\Nuacat\icziy.exe""
・上記のレジストリにより、PWS-Zbot.gen.bxがRUN項目を乗っ取ったシステムに登録し、起動のたびに自身を実行するようにします。
- [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Internet Explorer\Privacy\]
“CleanCookies” = “0x00000000”
・上記のレジストリにより、PWS-Zbot.gen.bxによってInternet Explorerのクッキーの削除オプションが無効化されるようにします。
- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\]
“C:\WINDOWS\explorer.exe” = "C:\WINDOWS\explorer.exe:*:Enabled:Windows Explorer"
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\]
“C:\WINDOWS\explorer.exe” = "C:\WINDOWS\explorer.exe:*:Enabled:Windows Explorer"
・以下のレジストリ値が改変されます。
- [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\]
“1609” = “0x00000000”
- [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\]
“1406” = “0x00000000”
- [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\]
“1609” = “0x00000000”
- [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\]
“1406” = “0x00000000”
- [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\]
“1406” = “0x00000000”
・上記のレジストリ項目により、PWS-Zbot.gen.bxによってInternet Explorerのセキュリティ設定が無効化されるようにします。
・PWS-Zbot.gen.bxは上記の情報を乗っ取ったコンピュータから盗み出し、攻撃者に送信します。
[%UserProfile%はc:\Documents and Settings\Administrator\、%Temp%はC:\Documents and Settings\Administrator\Local Settings\Temp\、%Appdata%はApplication Dataフォルダ]
