製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:PQ
ウイルス情報
ウイルス名危険度
PWS-Zbot.gen.hv
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
6401
対応定義ファイル
(現在必要とされるバージョン)
6765 (現在7544)
対応エンジン5.3.01以降 (現在5600) 
エンジンバージョンの見分け方
別名Ikarus - Trojan-Downloader.Win32.Carberp Kaspersky - HEUR:Trojan.Win32.Generic Microsoft - TrojanDownloader:Win32/Carberp.C NOD32 - a variant of Win32/Kryptik.UDR Microsoft - Worm:Win32/Cridex.E Kaspersky - Trojan-Dropper.Win32.Dapato.bjvs Ikarus - Trojan-Dropper.Win32.Dapato Symantec - W32.Cridex Kaspersky - Trojan-Spy.Win32.Zbot.cqab NOD32 - a variant of Win32/Kryptik.WEE Ikarus - Trojan-Spy.Win32.Zbot Microsoft - PWS:Win32/Zbot Kaspersky - Trojan-Spy.Win32.Zbot.cntc NOD32 - Win32/Spy.Zbot.YW Ikarus - Trojan-Spy.Win32.Zbot Microsoft - PWS:Win32/Zbot
情報掲載日2012/07/20
発見日(米国日付)2011/07/08
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
08/27RDN/PWS-Mmor...
08/27RDN/PWS-Mmor...
08/27RDN/PWS-Mmor...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7544
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・PWS-Zbot.gen.hvはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

ウイルスの特徴TOPに戻る

--2012年6月29日更新---

・実行時、以下の場所に自身をコピーします。

%Appdata%\KB01154634.exe

・以下のスクリプトファイルをドロップ(作成)します。

%temp%\exp5.tmp.BAT

・実行後、上記のスクリプトファイルを使って、乗っ取ったシステムから自身を削除します。

・以下のレジストリにより、PWS-Zbot.gen.hvが乗っ取ったシステムに登録され、起動のたびに実行されるようにします。

HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion\Run:"KB01154634.exe" = %Appdata%\KB01154634.exe

・また、以下のIPアドレスの場所に接続しようとします。

123.[削除].61.59

注: - [C:\Documents and Settings\All Users\ - %AllUsersprofile%, C:\DOCUME~1\Admin\LOCALS~1\Temp - %Temp%,C:\Documents and Settings\Admin\Application Data - %Appdata%,c: - %systemdrive%,C:\Documents and Settings\Administrator - %Userprofile%]

--2012年1月23日更新---

・実行時、Explorer.exeに自身を挿入し、リモートポート80を介してsec[削除]ert.ruに接続して他の悪質なファイルをダウンロードします。

・以下のファイルがシステムに追加されます。

  • %UserProfile%\Application Data\Identities\{64DD4488-B7D5-4C11-8D65-6BAF648A65EB}\Microsoft\Outlook Express\Folders.dbx
  • %UserProfile%\Application Data\Identities\{64DD4488-B7D5-4C11-8D65-6BAF648A65EB}\Microsoft\Outlook Express\Inbox.dbx
  • %UserProfile%\Application Data\Identities\{64DD4488-B7D5-4C11-8D65-6BAF648A65EB}\Microsoft\Outlook Express\Offline.dbx
  • %UserProfile%\Application Data\Identities\{64DD4488-B7D5-4C11-8D65-6BAF648A65EB}\Microsoft\Outlook Express\Sent Items.dbx
  • %Appdata%\Microsoft\Address Book\[ユーザ].wab
  • %Appdata%\Microsoft\Address Book\[ユーザ].wab~
  • %Appdata%\Ucyha\zoowqi.exe
  • %Appdata%\Omkaiv\taihubu.tmp
  • %Appdata%\Omkaiv\taihubu.ist

・以下のレジストリキーがシステムに追加されます。

  • HKEY_USERS\S-1-5-[不定]\Identities\{64DD4488-B7D5-4C11-8D65-6BAF648A65EB}\Software\Microsoft\Outlook Express\5.0\Mail
  • HKEY_USERS\S-1-5-[不定]\Identities\{64DD4488-B7D5-4C11-8D65-6BAF648A65EB}\Software\Microsoft\Outlook Express\5.0\News
  • HKEY_USERS\S-1-5-[不定]\Identities\{64DD4488-B7D5-4C11-8D65-6BAF648A65EB}\Software\Microsoft\Outlook Express\5.0\Rules
  • HKEY_USERS\S-1-5-[不定]\Identities\{64DD4488-B7D5-4C11-8D65-6BAF648A65EB}\Software\Microsoft\Outlook Express\5.0\Rules\Mail
  • HKEY_USERS\S-1-5-[不定]\Identities\{64DD4488-B7D5-4C11-8D65-6BAF648A65EB}\Software\Microsoft\Outlook Express\5.0\Trident
  • HKEY_USERS\S-1-5-[不定]\Identities\{64DD4488-B7D5-4C11-8D65-6BAF648A65EB}\Software\Microsoft\Outlook Express\5.0\Trident\Main
  • HKEY_USERS\S-1-5-[不定]\Identities\{64DD4488-B7D5-4C11-8D65-6BAF648A65EB}\Software\Microsoft\Outlook Express\5.0\Trident\Settings
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Explorer\Privacy
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Active Directory GC
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Bigfoot
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\VeriSign
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\WhoWhere
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Rivib

・以下のレジストリ値がシステムに追加されます。

  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\]
    %Windir%\EXPLORER.EXE = "%Windir%\EXPLORER.EXE = *:Enabled:Windows Explorer"
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Explorer\Privacy\CleanCookies = 0x00000000

・上記のレジストリにより、PWS-Zbot.gen.hvによってInternet Explorerのクッキーの削除オプションが無効化されるようにします。

  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Windows\CurrentVersion\Run]
    {709C0C2E-AA1E-83E0-9ECE-7BB26FA662F2} = ""%Appdata%\Ucyha\zoowqi.exe""

・上記のレジストリにより、PWS-Zbot.gen.hvがRUN項目を乗っ取ったシステムに登録し、起動のたびに自身を実行するようにします。

・以下のmutexを作成します。

  • {1BAF61A0-C790-E8D3-9ECE-7BB26FA662F2}

[注:C:\WINDOWSは%Windir%、C:\Documents and Settings\[ユーザ]\Application Data は%Appdata%、C:\Documents and Settings\Naveen\Local Settingsは%UserProfile%]

--2011年11月10日更新---

・実行時、explorer.exeに自身を挿入し、リモートポート80を介して[削除]ndconcert.ruに接続して他の悪質なファイルをダウンロードします。

・以下のファイルがシステムに追加されます。

  • %Appdata%\Aqyhn\fadaytp.exe
  • %Appdata%\Weheety\fyepox.tmp

・以下のレジストリキーがシステムに追加されます。

  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Explorer\Privacy
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Active Directory GC
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Bigfoot
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\VeriSign
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\WhoWhere
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Ircih

・以下のレジストリ値がシステムに追加されます。

  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
    %WinDir%\EXPLORER.EXE = "%WinDir%\EXPLORER.EXE:*:Enabled:Windows Explorer"
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Explorer\Privacy\CleanCookies = 0x00000000

・上記のレジストリにより、PWS-Zbot.gen.hvによってInternet Explorerのクッキーの削除オプションが無効化されるようにします。

  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Windows\CurrentVersion\Run]
    {709C0C2E-AA1E-83E0-9ECE-7BB26FA662F2} = ""%Appdata%\Aqyhn\fadaytp.exe""

・上記のレジストリにより、PWS-Zbot.gen.hvがRUN項目を乗っ取ったシステムに登録し、起動のたびに自身を実行するようにします。

  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\WhoWhere\LDAP Server ID = 0x00000003
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\WhoWhere\Account Name: "WhoWhere Internet Directory Service"
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\WhoWhere\LDAP Server = "ldap.whowhere.com"
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\WhoWhere\LDAP URL = "http://www.whowhere.com"
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\WhoWhere\LDAP Search Return = 0x00000064
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\WhoWhere\LDAP Timeout = 0x0000003C
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\WhoWhere\LDAP Authentication = 0x00000000
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\WhoWhere\LDAP Simple Search = 0x00000001
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\WhoWhere\LDAP Logo = "%ProgramFiles%\Common Files\Services\whowhere.bmp"
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\VeriSign\LDAP Server ID = 0x00000002
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\VeriSign\Account Name = "VeriSign Internet Directory Service"
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\VeriSign\LDAP Server = "directory.verisign.com"
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\VeriSign\LDAP URL = "http://www.verisign.com"
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\VeriSign\LDAP Search Return = 0x00000064
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\VeriSign\LDAP Timeout = 0x0000003C
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\VeriSign\LDAP Authentication = 0x00000000
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\VeriSign\LDAP Search Base = "NULL"
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\VeriSign\LDAP Simple Search = 0x00000001
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\VeriSign\LDAP Logo = "%ProgramFiles%\Common Files\Services\verisign.bmp"
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Bigfoot\LDAP Server ID = 0x00000001
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Bigfoot\Account Name = "Bigfoot Internet Directory Service"
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Bigfoot\LDAP Server = "ldap.bigfoot.com"
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Bigfoot\LDAP URL = "http://www.bigfoot.com"
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Bigfoot\LDAP Search Return = 0x00000064
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Bigfoot\LDAP Timeout = 0x0000003C
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Bigfoot\LDAP Authentication = 0x00000000
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Bigfoot\LDAP Simple Search = 0x00000001
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Bigfoot\LDAP Logo = "%ProgramFiles%\Common Files\Services\bigfoot.bmp"
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Ircih\Begy = [バイナリデータ]

・以下のフォルダがシステムに追加されます。

  • %Appdata%\Aqyhn
  • %Appdata%\Weheety

[注:C:\Documents and Settings\User\Application Dataは%Appdata%、C:\WINDOWSは%WinDir%、%SystemDrive%はオペレーティングシステムがインストールされているドライブで、通常はC:\]


・実行時、以下の場所に自身をコピーし、リモートポート80から46.19.[削除]に接続してさらに悪質なファイルをダウンロードします。

  • %UserProfile%\Start Menu\Programs\Startup\igfxtray.exe
  • %Temp%/6.tmp

・PWS-Zbot.gen.hvはWindowsが起動するたびに動作します。

・以下の悪質でないファイルをドロップ(作成)します。

  • %AppData%\wndsksi.inf

・リモートサイトに接続し、以下の動作を実行します。

  • 新たな感染を作者に報告します。
  • 設定などのデータを受信します。
  • 任意のファイル(アップデート、追加マルウェアを含む)をダウンロードして実行します。
  • リモート攻撃者からの指示を受け取ります。
  • ターゲットコンピュータから取得したデータをアップロードします。

・以下のレジストリ値が追加されます。

  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Explorer\Main\
    TabProcGrowth = 0"

・以下のレジストリ値が改変されます。

  • HKEY_LOCAL_MACHINE\ S-1-5-[不定]\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
    1609 = 0x00000000

・以下のフォルダが追加されます。

  • %AppData%\MicroST
注: [%UserProfile% - C:\Documents and Settings\[ユーザ名], %Temp% - C:\Documents and Settings\[ユーザ名]\Local Settings\Temp,

%AppData% - C:\Documents and Settings\[ユーザ名]\Application Data]

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・上記のファイルおよびレジストリキーが存在します。

・上記のIPアドレスへの予期しないネットワーク接続が存在します。

・PWS-Zbot.gen.hvのファイル、レジストリ、ネットワーク通信については、「ウイルスの特徴」を参照してください。

感染方法TOPへ戻る

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電子メールなどを通じて配布されます。

駆除方法TOPへ戻る

全ての Windows ユーザー

脅威と危険と思われる要素を取り除くため、サポートされているすべてのWindowsに対して以下の処置を行ってください。
  1. システムリストアを無効にしてください。
  2. 脅威の検出・駆除のために最新のエンジンとDATにアップデートしてください。
  3. Complete system scanを実行してください。
    システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます
  4. 回復コンソールでクリーンなMBRに修復してください。

Windows XPの場合

CD-ROM ドライブに Windows XP CD-ROM を挿入し、コンピュータを再起動します。
「セットアップの開始」 画面が表示されたら、R キーを押して回復コンソールを起動します。
対象となるWindowsのインストールを選択し、管理者パスワードを入力してください。
マスタ ブート レコードを修復するfixmbrコマンドを発行します。
画面上の指示に従ってください。
CD-ROM ドライブからCDを取り出しリセットしてください。


Windows Vista および 7 の場合

CD-ROM ドライブに Windows CD-ROM を挿入し、コンピュータを再起動します。
「コンピュータを修復する」をクリックします。
[システム回復オプション] ダイアログ ボックスで、[コマンド プロンプト] を選択します。
マスタ ブート レコードを修復するbootrec /fixmbrコマンドを発行します。
画面上の指示に従ってください。
CD-ROM ドライブからCDを取り出しリセットしてください。