--2012年6月29日更新---
・実行時、以下の場所に自身をコピーします。
%Appdata%\KB01154634.exe
・以下のスクリプトファイルをドロップ(作成)します。
%temp%\exp5.tmp.BAT
・実行後、上記のスクリプトファイルを使って、乗っ取ったシステムから自身を削除します。
・以下のレジストリにより、PWS-Zbot.gen.hvが乗っ取ったシステムに登録され、起動のたびに実行されるようにします。
HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion\Run:"KB01154634.exe" = %Appdata%\KB01154634.exe
・また、以下のIPアドレスの場所に接続しようとします。
123.[削除].61.59
注: - [C:\Documents and Settings\All Users\ - %AllUsersprofile%, C:\DOCUME~1\Admin\LOCALS~1\Temp - %Temp%,C:\Documents and Settings\Admin\Application Data - %Appdata%,c: - %systemdrive%,C:\Documents and Settings\Administrator - %Userprofile%]
--2012年1月23日更新---
・実行時、Explorer.exeに自身を挿入し、リモートポート80を介してsec[削除]ert.ruに接続して他の悪質なファイルをダウンロードします。
・以下のファイルがシステムに追加されます。
- %UserProfile%\Application Data\Identities\{64DD4488-B7D5-4C11-8D65-6BAF648A65EB}\Microsoft\Outlook Express\Folders.dbx
- %UserProfile%\Application Data\Identities\{64DD4488-B7D5-4C11-8D65-6BAF648A65EB}\Microsoft\Outlook Express\Inbox.dbx
- %UserProfile%\Application Data\Identities\{64DD4488-B7D5-4C11-8D65-6BAF648A65EB}\Microsoft\Outlook Express\Offline.dbx
- %UserProfile%\Application Data\Identities\{64DD4488-B7D5-4C11-8D65-6BAF648A65EB}\Microsoft\Outlook Express\Sent Items.dbx
- %Appdata%\Microsoft\Address Book\[ユーザ].wab
- %Appdata%\Microsoft\Address Book\[ユーザ].wab~
- %Appdata%\Ucyha\zoowqi.exe
- %Appdata%\Omkaiv\taihubu.tmp
- %Appdata%\Omkaiv\taihubu.ist
・以下のレジストリキーがシステムに追加されます。
- HKEY_USERS\S-1-5-[不定]\Identities\{64DD4488-B7D5-4C11-8D65-6BAF648A65EB}\Software\Microsoft\Outlook Express\5.0\Mail
- HKEY_USERS\S-1-5-[不定]\Identities\{64DD4488-B7D5-4C11-8D65-6BAF648A65EB}\Software\Microsoft\Outlook Express\5.0\News
- HKEY_USERS\S-1-5-[不定]\Identities\{64DD4488-B7D5-4C11-8D65-6BAF648A65EB}\Software\Microsoft\Outlook Express\5.0\Rules
- HKEY_USERS\S-1-5-[不定]\Identities\{64DD4488-B7D5-4C11-8D65-6BAF648A65EB}\Software\Microsoft\Outlook Express\5.0\Rules\Mail
- HKEY_USERS\S-1-5-[不定]\Identities\{64DD4488-B7D5-4C11-8D65-6BAF648A65EB}\Software\Microsoft\Outlook Express\5.0\Trident
- HKEY_USERS\S-1-5-[不定]\Identities\{64DD4488-B7D5-4C11-8D65-6BAF648A65EB}\Software\Microsoft\Outlook Express\5.0\Trident\Main
- HKEY_USERS\S-1-5-[不定]\Identities\{64DD4488-B7D5-4C11-8D65-6BAF648A65EB}\Software\Microsoft\Outlook Express\5.0\Trident\Settings
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Explorer\Privacy
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Active Directory GC
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Bigfoot
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\VeriSign
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\WhoWhere
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Rivib
・以下のレジストリ値がシステムに追加されます。
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\]
%Windir%\EXPLORER.EXE = "%Windir%\EXPLORER.EXE = *:Enabled:Windows Explorer"
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Explorer\Privacy\CleanCookies = 0x00000000
・上記のレジストリにより、PWS-Zbot.gen.hvによってInternet Explorerのクッキーの削除オプションが無効化されるようにします。
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Windows\CurrentVersion\Run]
{709C0C2E-AA1E-83E0-9ECE-7BB26FA662F2} = ""%Appdata%\Ucyha\zoowqi.exe""
・上記のレジストリにより、PWS-Zbot.gen.hvがRUN項目を乗っ取ったシステムに登録し、起動のたびに自身を実行するようにします。
・以下のmutexを作成します。
- {1BAF61A0-C790-E8D3-9ECE-7BB26FA662F2}
[注:C:\WINDOWSは%Windir%、C:\Documents and Settings\[ユーザ]\Application Data は%Appdata%、C:\Documents and Settings\Naveen\Local Settingsは%UserProfile%]
--2011年11月10日更新---
・実行時、explorer.exeに自身を挿入し、リモートポート80を介して[削除]ndconcert.ruに接続して他の悪質なファイルをダウンロードします。
・以下のファイルがシステムに追加されます。
- %Appdata%\Aqyhn\fadaytp.exe
- %Appdata%\Weheety\fyepox.tmp
・以下のレジストリキーがシステムに追加されます。
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Explorer\Privacy
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Active Directory GC
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Bigfoot
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\VeriSign
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\WhoWhere
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Ircih
・以下のレジストリ値がシステムに追加されます。
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
%WinDir%\EXPLORER.EXE = "%WinDir%\EXPLORER.EXE:*:Enabled:Windows Explorer"
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Explorer\Privacy\CleanCookies = 0x00000000
・上記のレジストリにより、PWS-Zbot.gen.hvによってInternet Explorerのクッキーの削除オプションが無効化されるようにします。
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Windows\CurrentVersion\Run]
{709C0C2E-AA1E-83E0-9ECE-7BB26FA662F2} = ""%Appdata%\Aqyhn\fadaytp.exe""
・上記のレジストリにより、PWS-Zbot.gen.hvがRUN項目を乗っ取ったシステムに登録し、起動のたびに自身を実行するようにします。
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\WhoWhere\LDAP Server ID = 0x00000003
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\WhoWhere\Account Name: "WhoWhere Internet Directory Service"
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\WhoWhere\LDAP Server = "ldap.whowhere.com"
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\WhoWhere\LDAP URL = "http://www.whowhere.com"
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\WhoWhere\LDAP Search Return = 0x00000064
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\WhoWhere\LDAP Timeout = 0x0000003C
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\WhoWhere\LDAP Authentication = 0x00000000
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\WhoWhere\LDAP Simple Search = 0x00000001
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\WhoWhere\LDAP Logo = "%ProgramFiles%\Common Files\Services\whowhere.bmp"
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\VeriSign\LDAP Server ID = 0x00000002
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\VeriSign\Account Name = "VeriSign Internet Directory Service"
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\VeriSign\LDAP Server = "directory.verisign.com"
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\VeriSign\LDAP URL = "http://www.verisign.com"
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\VeriSign\LDAP Search Return = 0x00000064
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\VeriSign\LDAP Timeout = 0x0000003C
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\VeriSign\LDAP Authentication = 0x00000000
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\VeriSign\LDAP Search Base = "NULL"
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\VeriSign\LDAP Simple Search = 0x00000001
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\VeriSign\LDAP Logo = "%ProgramFiles%\Common Files\Services\verisign.bmp"
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Bigfoot\LDAP Server ID = 0x00000001
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Bigfoot\Account Name = "Bigfoot Internet Directory Service"
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Bigfoot\LDAP Server = "ldap.bigfoot.com"
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Bigfoot\LDAP URL = "http://www.bigfoot.com"
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Bigfoot\LDAP Search Return = 0x00000064
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Bigfoot\LDAP Timeout = 0x0000003C
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Bigfoot\LDAP Authentication = 0x00000000
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Bigfoot\LDAP Simple Search = 0x00000001
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Bigfoot\LDAP Logo = "%ProgramFiles%\Common Files\Services\bigfoot.bmp"
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Ircih\Begy = [バイナリデータ]
・以下のフォルダがシステムに追加されます。
- %Appdata%\Aqyhn
- %Appdata%\Weheety
[注:C:\Documents and Settings\User\Application Dataは%Appdata%、C:\WINDOWSは%WinDir%、%SystemDrive%はオペレーティングシステムがインストールされているドライブで、通常はC:\]
・実行時、以下の場所に自身をコピーし、リモートポート80から46.19.[削除]に接続してさらに悪質なファイルをダウンロードします。
- %UserProfile%\Start Menu\Programs\Startup\igfxtray.exe
- %Temp%/6.tmp
・PWS-Zbot.gen.hvはWindowsが起動するたびに動作します。
・以下の悪質でないファイルをドロップ(作成)します。
・リモートサイトに接続し、以下の動作を実行します。
- 新たな感染を作者に報告します。
- 設定などのデータを受信します。
- 任意のファイル(アップデート、追加マルウェアを含む)をダウンロードして実行します。
- リモート攻撃者からの指示を受け取ります。
- ターゲットコンピュータから取得したデータをアップロードします。
・以下のレジストリ値が追加されます。
- HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Explorer\Main\
TabProcGrowth = 0"
・以下のレジストリ値が改変されます。
- HKEY_LOCAL_MACHINE\ S-1-5-[不定]\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\
1609 = 0x00000000
・以下のフォルダが追加されます。
注:
[%UserProfile% - C:\Documents and Settings\[ユーザ名],
%Temp% - C:\Documents and Settings\[ユーザ名]\Local Settings\Temp,
%AppData% - C:\Documents and Settings\[ユーザ名]\Application Data]
