製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:PQ
ウイルス情報
ウイルス名危険度
PWS-Zbot.gen.hb
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
6392
対応定義ファイル
(現在必要とされるバージョン)
6457 (現在7514)
対応エンジン5.4.00以降 (現在5600) 
エンジンバージョンの見分け方
別名Fortinet - Riskware/FrauDrop Kaspersky - Hoax.Win32.FrauDrop.bb Microsoft - Trojan:Win32/EyeStye.N Norman - W32/Eyestye.I NOD32 - Win32/Kryptik.SHQの亜種 Kaspersky - Trojan-Spy.Win32.Zbot.ccvt Microsoft - PWS:Win32/Zbot.gen!Y Symantec - Trojan.Zbot
情報掲載日2011/09/06
発見日(米国日付)2011/06/29
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/28RDN/Download...
07/28Generic.dx!0...
07/28Generic Down...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7514
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・PWS-Zbot.gen.hbはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

ウイルスの特徴TOPに戻る

--2011年9月2日更新---

・PWS-Zbot.gen.hbはキー入力を収集し、インターネットでの活動を監視し、ログイン資格情報を盗み出し、収集したデータを金銭目的のリモート攻撃者に送信するトロイの木馬です。

・実行時、以下の場所に自身をコピーし、リモートポート80を介して207.46.19.254に接続してインターネット接続を確認します。

  • %SystemDrive%\Recycle.Bin\B6232F3ADAE.exe

・以下のファイルをドロップ(作成)します。

  • %WinDir%\Temp\AyK120.tmp
  • %WinDir%\Temp\AyK120.exe
  • %SystemDrive%\Recycle.Bin\D826F36BF179A72 [PWS-Spyeye!confという名前で検出]

・また、リモートポート80を介して以下の悪質なIPアドレスに接続します。

  • 65.55.[削除]
  • 109.127.[削除]
  • 123.30.[削除]

・検出、駆除を防ぐため、コードインジェクションを利用します。実行後、以下の動作中のプロセスにコードを挿入する可能性があります。

  • explorer.exe
  • lsass.exe
  • svchost.exe
  • winlogon.exe

・また、以下を実行できるルートキット機能が組み込まれています。

  • 他のプロセスへの挿入による自身のプロセスの隠蔽
  • 自身のバイナリコードの隠蔽およびアクセスの防止
  • 自身のスタートアップレジストリ項目の隠蔽およびアクセスの防止

・以下のレジストリキーが追加されます。

  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft Windows
  • HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\BrowserEmulation
  • HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\IETld
  • HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\PhishingFilter
  • HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Recovery

・以下のレジストリ値が追加されます。

・以下のレジストリデータを改変して、Internet Explorerのフィッシングフィルタを無効にします。

  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\PhishingFilter
    EnabledV8 = 0x00000000
    ShownServiceDownBalloon = 0x00000000

・以下の項目を改変し、Internet Explorerの終了時に履歴を消去して、Webブラウザの履歴を削除します。

  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Recovery
    ClearBrowsingHistoryOnExit = 0x00000000

・以下のレジストリ項目を改変し、Internet Explorerがオンラインモードで起動するようにします。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
    GlobalUserOffline = 0x00000000
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    ProxyHttp1.1 = 0x00000001
    WarnOnPostRedirect = 0x00000000
    WarnOnIntranet = 0x00000000
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
    1409 = 0x00000003
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
    1409 = 0x00000003
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
    1409 = 0x00000003
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
    1409 = 0x00000003
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4
    1409 = 0x00000003
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    4Y3Y0C3AXF7W0DWDXLRZG = "%SystemDrive%\Recycle.Bin\B6232F3ADAE.exe /q"

・上記のレジストリ項目により、Windowsが起動するたびにPWS-Zbot.gen.hbが実行されるようにします。

・以下のレジストリ値が改変されます。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    WarnOnPost =
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\1
    1406 = 0x00000000
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\3
    1406 = 0x00000000
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\4
    1406 = 0x00000000
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
    1609 = 0x00000000
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
    1406 = 0x00000000
    1609 = 0x00000000
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
    1609 = 0x00000000
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
    1406 = 0x00000000
    1609 = 0x00000000
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4
    1406 = 0x00000000
    1609 = 0x00000000

・また、以下のmutexを作成して、一度に1つのPWS-Zbot.gen.hbのインスタンスしか実行されないようにします。

  • Global\SystemService

・実行後、自身をシステムから削除します。

注 _ [%SystemDrive% - C:\, %WinDir% - C:\WINDOWS]

・実行時、explorer.exeに自身を挿入し、リモートポート80を介して[削除]esin.ruに接続して他の悪質なファイルをダウンロードします。

・また、以下の場所にファイルをドロップ(作成)します。

  • %AppData%\Awaha\ufiku.exe

・以下のレジストリキーがシステムに追加されます。

  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Active Directory GC
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Bigfoot
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\VeriSign
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\WhoWhere

・以下のレジストリ値がシステムに追加されます。

  • HKEY_USERS\S-1-5-[不定]\Identities\{7A4BC7DA-A14C-4EF8-A617-1EA7BA8B27CD}\Identity Ordinal = 0x00000001
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Explorer\Privacy\CleanCookies = 0x00000000

・上記のレジストリにより、PWS-Zbot.gen.hbによってInternet Explorerのクッキーの削除オプションが無効化されるようにします。

  • [HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Windows\CurrentVersion\Run]
    {93471B72-693E-42C6-013E-B6A4369C3291} = ""%AppData%\Awaha\ufiku.exe""

・上記のレジストリにより、PWS-Zbot.gen.hbがRUN項目を乗っ取ったシステムに登録し、起動のたびに自身を実行するようにします。

  • [HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\WhoWhere]
    LDAP Server ID = 0x00000003
    Account Name: "WhoWhere Internet Directory Service"
    LDAP Server = "ldap.whowhere.com"
    LDAP URL = "http://www.whowhere.com"
    LDAP Search Return = 0x00000064
    LDAP Timeout = 0x0000003C
    LDAP Authentication = 0x00000000
    LDAP Simple Search = 0x00000001
    LDAP Logo = "%ProgramFiles%\Common Files\Services\whowhere.bmp"
  • [HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\VeriSign]
    LDAP Server ID = 0x00000002
    Account Name = "VeriSign Internet Directory Service"
    LDAP Server = "directory.verisign.com"
    LDAP URL = "http://www.verisign.com"
    LDAP Search Return = 0x00000064
    LDAP Timeout = 0x0000003C
    LDAP Authentication = 0x00000000
    LDAP Search Base = "NULL"
    LDAP Simple Search = 0x00000001
    LDAP Logo = "%ProgramFiles%\Common Files\Services\verisign.bmp"
  • [HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Bigfoot]
    LDAP Server ID = 0x00000001
    Account Name = "Bigfoot Internet Directory Service"
    LDAP Server = "ldap.bigfoot.com"
    LDAP URL = "http://www.bigfoot.com"
    LDAP Search Return = 0x00000064
    LDAP Timeout = 0x0000003C
    LDAP Authentication = 0x00000000
    LDAP Simple Search = 0x00000001
    LDAP Logo = "%ProgramFiles%\Common Files\Services\bigfoot.bmp"

[注:C:\Documents and Settings\Administrator\Application Dataは%AppData%、%SystemDrive%はオペレーティングシステムがインストールされているドライブで、通常はC:\]

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・PWS-Zbot.gen.hbのファイル、レジストリ、ネットワーク通信については、「ウイルスの特徴」を参照してください。

感染方法TOPへ戻る

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電子メールなどを通じて配布されます。

駆除方法TOPへ戻る
脅威と危険と思われる要素を取り除くため、サポートされているすべてのWindowsに対して以下の処置を行ってください。
  1. システムリストアを無効にしてください。(Windows ME/XPのみ)
  2. 脅威の検出・駆除のために最新のエンジンとDATにアップデートしてください。
  3. Complete system scanを実行してください。
システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

通常の修正が成功しなかった場合、サンプルを McAfee Labsまで送付してください。