McAfee for Small Businesses

ウイルス名 危険度 PWS-Zbot.gen.hb 企業ユーザ: 低 個人ユーザ: 低 種別 トロイの木馬 最小定義ファイル (最初に検出を確認したバージョン) 6392 対応定義ファイル (現在必要とされるバージョン) 6457　（現在7109) 対応エンジン 5.4.00以降　(現在5.4.00)　 エンジンバージョンの見分け方 別名 Fortinet - Riskware/FrauDrop Kaspersky - Hoax.Win32.FrauDrop.bb Microsoft - Trojan:Win32/EyeStye.N Norman - W32/Eyestye.I NOD32 - Win32/Kryptik.SHQの亜種 Kaspersky - Trojan-Spy.Win32.Zbot.ccvt Microsoft - PWS:Win32/Zbot.gen!Y Symantec - Trojan.Zbot 情報掲載日 2011/09/06 発見日（米国日付） 2011/06/29 駆除補足 ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 06/17 RDN/Sdbot.bf... 06/17 VBS/LoveLett... 06/17 Generic Qhos... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7109  エンジン：5.4.00   ウイルス検索

ウイルスの特徴 TOPに戻る --2011年9月2日更新--- ・PWS-Zbot.gen.hbはキー入力を収集し、インターネットでの活動を監視し、ログイン資格情報を盗み出し、収集したデータを金銭目的のリモート攻撃者に送信するトロイの木馬です。 ・実行時、以下の場所に自身をコピーし、リモートポート80を介して207.46.19.254に接続してインターネット接続を確認します。 %SystemDrive%\Recycle.Bin\B6232F3ADAE.exe ・以下のファイルをドロップ（作成）します。 %WinDir%\Temp\AyK120.tmp %WinDir%\Temp\AyK120.exe %SystemDrive%\Recycle.Bin\D826F36BF179A72 [PWS-Spyeye!confという名前で検出] ・また、リモートポート80を介して以下の悪質なIPアドレスに接続します。 65.55.[削除] 109.127.[削除] 123.30.[削除] ・検出、駆除を防ぐため、コードインジェクションを利用します。実行後、以下の動作中のプロセスにコードを挿入する可能性があります。 explorer.exe lsass.exe svchost.exe winlogon.exe ・また、以下を実行できるルートキット機能が組み込まれています。 他のプロセスへの挿入による自身のプロセスの隠蔽 自身のバイナリコードの隠蔽およびアクセスの防止 自身のスタートアップレジストリ項目の隠蔽およびアクセスの防止 ・以下のレジストリキーが追加されます。 HKEY_USERS\S-1-5-[不定]\Software\Microsoft Windows HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\BrowserEmulation HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\IETld HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\PhishingFilter HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Recovery ・以下のレジストリ値が追加されます。 ・以下のレジストリデータを改変して、Internet Explorerのフィッシングフィルタを無効にします。 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\PhishingFilter EnabledV8 = 0x00000000 ShownServiceDownBalloon = 0x00000000 ・以下の項目を改変し、Internet Explorerの終了時に履歴を消去して、Webブラウザの履歴を削除します。 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Recovery ClearBrowsingHistoryOnExit = 0x00000000 ・以下のレジストリ項目を改変し、Internet Explorerがオンラインモードで起動するようにします。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ GlobalUserOffline = 0x00000000 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings ProxyHttp1.1 = 0x00000001 WarnOnPostRedirect = 0x00000000 WarnOnIntranet = 0x00000000 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0 1409 = 0x00000003 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1 1409 = 0x00000003 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2 1409 = 0x00000003 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3 1409 = 0x00000003 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4 1409 = 0x00000003 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 4Y3Y0C3AXF7W0DWDXLRZG = "%SystemDrive%\Recycle.Bin\B6232F3ADAE.exe /q" ・上記のレジストリ項目により、Windowsが起動するたびにPWS-Zbot.gen.hbが実行されるようにします。 ・以下のレジストリ値が改変されます。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings WarnOnPost = HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\1 1406 = 0x00000000 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\3 1406 = 0x00000000 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\4 1406 = 0x00000000 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0 1609 = 0x00000000 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1 1406 = 0x00000000 1609 = 0x00000000 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2 1609 = 0x00000000 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3 1406 = 0x00000000 1609 = 0x00000000 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4 1406 = 0x00000000 1609 = 0x00000000 ・また、以下のmutexを作成して、一度に1つのPWS-Zbot.gen.hbのインスタンスしか実行されないようにします。 Global\SystemService ・実行後、自身をシステムから削除します。 注 _ [%SystemDrive% - C:\, %WinDir% - C:\WINDOWS] ・実行時、explorer.exeに自身を挿入し、リモートポート80を介して[削除]esin.ruに接続して他の悪質なファイルをダウンロードします。 ・また、以下の場所にファイルをドロップ（作成）します。 %AppData%\Awaha\ufiku.exe ・以下のレジストリキーがシステムに追加されます。 HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Active Directory GC HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Bigfoot HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\VeriSign HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\WhoWhere ・以下のレジストリ値がシステムに追加されます。 HKEY_USERS\S-1-5-[不定]\Identities\{7A4BC7DA-A14C-4EF8-A617-1EA7BA8B27CD}\Identity Ordinal = 0x00000001 HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Explorer\Privacy\CleanCookies = 0x00000000 ・上記のレジストリにより、PWS-Zbot.gen.hbによってInternet Explorerのクッキーの削除オプションが無効化されるようにします。 [HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Windows\CurrentVersion\Run] {93471B72-693E-42C6-013E-B6A4369C3291} = ""%AppData%\Awaha\ufiku.exe"" ・上記のレジストリにより、PWS-Zbot.gen.hbがRUN項目を乗っ取ったシステムに登録し、起動のたびに自身を実行するようにします。 [HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\WhoWhere] LDAP Server ID = 0x00000003 Account Name: "WhoWhere Internet Directory Service" LDAP Server = "ldap.whowhere.com" LDAP URL = "http://www.whowhere.com" LDAP Search Return = 0x00000064 LDAP Timeout = 0x0000003C LDAP Authentication = 0x00000000 LDAP Simple Search = 0x00000001 LDAP Logo = "%ProgramFiles%\Common Files\Services\whowhere.bmp" [HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\VeriSign] LDAP Server ID = 0x00000002 Account Name = "VeriSign Internet Directory Service" LDAP Server = "directory.verisign.com" LDAP URL = "http://www.verisign.com" LDAP Search Return = 0x00000064 LDAP Timeout = 0x0000003C LDAP Authentication = 0x00000000 LDAP Search Base = "NULL" LDAP Simple Search = 0x00000001 LDAP Logo = "%ProgramFiles%\Common Files\Services\verisign.bmp" [HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Bigfoot] LDAP Server ID = 0x00000001 Account Name = "Bigfoot Internet Directory Service" LDAP Server = "ldap.bigfoot.com" LDAP URL = "http://www.bigfoot.com" LDAP Search Return = 0x00000064 LDAP Timeout = 0x0000003C LDAP Authentication = 0x00000000 LDAP Simple Search = 0x00000001 LDAP Logo = "%ProgramFiles%\Common Files\Services\bigfoot.bmp" [注：C:\Documents and Settings\Administrator\Application Dataは%AppData%、%SystemDrive%はオペレーティングシステムがインストールされているドライブで、通常はC:\] 以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る ・PWS-Zbot.gen.hbのファイル、レジストリ、ネットワーク通信については、「ウイルスの特徴」を参照してください。 感染方法 TOPへ戻る ・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電子メールなどを通じて配布されます。 駆除方法 TOPへ戻る 脅威と危険と思われる要素を取り除くため、サポートされているすべてのWindowsに対して以下の処置を行ってください。 システムリストアを無効にしてください。(Windows ME/XPのみ) 脅威の検出・駆除のために最新のエンジンとDATにアップデートしてください。 Complete system scanを実行してください。 システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。 通常の修正が成功しなかった場合、サンプルを McAfee Labsまで送付してください。