製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:PQ
ウイルス情報
ウイルス名危険度
PWSZbot-FLW!64211EF0BCC4!64211EF0BCC4
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
7267
対応定義ファイル
(現在必要とされるバージョン)
7268 (現在7593)
対応エンジン5.4.00.1158以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日2013/12/02
発見日(米国日付)2013/11/25
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/19Generic Back...
10/19DNSChanger.b...
10/19RDN/Generic ...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7593
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・PWSZbot-FLW!64211EF0BCC4!64211EF0BCC4はトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

ウイルスの特徴TOPに戻る

---2013年11月26日更新---

実行時、以下のIPおよびURLに接続します。

  • 29.[削除]9.46
  • 113[削除]5.74
  • 74.[削除]6.120
  • 74.1[削除]127
  • 74.1[削除].119
  • bom03[削除]7.1e100.net

実行時、以下の場所にファイルをドロップ(作成)します。

  • %AppData%\Microsoft\Address Book\Administrator.wab
  • %AppData%\ Geanak\utafu.exe
  • %AppData%\Koraz\taqya.tmp

実行時、以下の場所にフォルダをドロップ(作成)します。

  • %AppData%\Microsoft\Address Book
  • %AppData%\ Geanak
  • %AppData%\ Zahu

以下のレジストリキーがシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\Internet Account Manager
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Active Directory GC
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Bigfoot
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\VeriSign
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\WhoWhere
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\Fusoar
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\WAB
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\WAB\WAB4
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\WAB\WAB4\Wab File Name

以下のレジストリ値がシステムに追加されます。

  • HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\DisableNotifications: 0x00000000
  • HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List\9648:UDP: "9648:UDP:*:Enabled:UDP 9648"
  • HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List\3654:TCP: "3654:TCP:*:Enabled:TCP 3654"
  • HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\DisableNotifications: 0x00000000
  • HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List\9648:UDP: "9648:UDP:*:Enabled:UDP 9648"
  • HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List\3654:TCP: "3654:TCP:*:Enabled:TCP 3654"

上記のレジストリキー値により、通常の認証を回避するためのファイアウォールルールが作成されるようにします。

  • HKEY_USERS\S-1-5-21[不定]\Software\Microsoft\Windows\CurrentVersion\Run\{GUID}: %AppData%\ Ihuxji\okomz.exe""

上記のレジストリ項目により、PWSZbot-FLW!64211EF0BCC4!64211EF0BCC4がUDPおよびTCPポートの通常の認証を回避するファイアウォールルールを作成します。また、リモート攻撃者がユーザに気づかれずに乗っ取ったシステムを制御するコマンドを発行できる可能性があります。

  • [HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\WhoWhere]
  • LDAP Server ID = 0x00000003
  • Account Name = "WhoWhere Internet Directory Service"
  • LDAP Server = "ldap.whowhere.com"
  • LDAP URL = "http://www.whowhere.com"
  • LDAP Search Return = 0x00000064
  • LDAP Timeout = 0x0000003C
  • LDAP Authentication = 0x00000000
  • LDAP Simple Search = 0x00000001
  • LDAP Logo = "%ProgramFiles%\Common Files\Services\whowhere.bmp"

  • [HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\VeriSign\]
  • LDAP Server ID = 0x00000002
  • Account Name = "VeriSign Internet Directory Service"
  • LDAP Server = "directory.verisign.com"
  • LDAP URL = "http://www.verisign.com"
  • LDAP Search Return = 0x00000064
  • LDAP Timeout = 0x0000003C
  • LDAP Authentication = 0x00000000
  • LDAP Search Base = "NULL"
  • LDAP Simple Search = 0x00000001
  • LDAP Logo = "%ProgramFiles%\Common Files\Services\verisign.bmp"

  • [HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Bigfoot\]
  • LDAP Server ID = 0x00000001
  • Account Name = "Bigfoot Internet Directory Service"
  • LDAP Server = "ldap.bigfoot.com"
  • LDAP URL = "http://www.bigfoot.com"
  • LDAP Search Return = 0x00000064
  • LDAP Timeout = 0x0000003C
  • LDAP Authentication = 0x00000000
  • LDAP Simple Search = 0x00000001
  • LDAP Logo = "%ProgramFiles%\Common Files\Services\bigfoot.bmp"

  • [HKEY_USER\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Active Directory GC\]
  • LDAP Server ID: 0x00000000
  • Account Name: "Active Directory"
  • LDAP Server: "NULL"
  • LDAP Search Return: 0x00000064
  • LDAP Timeout: 0x0000003C
  • LDAP Authentication: 0x00000002
  • LDAP Simple Search: 0x00000000
  • LDAP Bind DN: 0x00000000
  • LDAP Port: 0x00000CC4
  • LDAP Resolve Flag: 0x00000001
  • LDAP Secure Connection: 0x00000000
  • LDAP User Name: "NULL"
  • LDAP Search Base: "NULL"

  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\PreConfigVer: 0x00000004
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\PreConfigVerNTDS: 0x00000001
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Server ID: 0x00000004
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Default LDAP Account: "Active Directory GC"
  • HKEY_USERS\S-1-5-21-[不定]\Software\Microsoft\Ovbymedu\b8g465d: Binary data
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Windows\CurrentVersion\Run\Quiwbe: ""%APPDATA%\Ihuxji\okomz.exe""
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\WAB\WAB4\Wab File Name\: "%appdata%\Microsoft\Address Book\Administrator.wab"
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\WAB\WAB4\OlkContactRefresh: 0x00000000
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\WAB\WAB4\OlkFolderRefresh: 0x00000000
...................................................................

PWSZbot-FLW!64211EF0BCC4!64211EF0BCC4はトロイの木馬です。

ファイルプロパティ プロパティ値
マカフィーの検出名 PWSZbot-FLW!64211EF0BCC4
長さ 331776バイト
MD5 64211ef0bcc405f1027e5b7276daabc4
SHA1 74063ee662721b971c8bafa011bb51ab9d03f136

他社の一般的な検出名

企業名 検出名
EMSI Software Gen:Variant.Zusy.72179 (B)
ahnlab Trojan/Win32.Zbot
avast Win32:Zbot-RZO [Trj]/td>
Kaspersky Trojan-Spy.Win32.Zbot.qoml
BitDefender Gen:Variant.Zusy.72179
Eset Win32/Injector.AQFWの亜種
panda Generic Malware
Sophos Mal/Generic-S
Trend Micro TROJ_GEN.R0CBH07KI13

他社のブランドおよび名前は他社から所有権が主張される可能性があります。

活動 危険度
先にロードされたプロセスのメモリロケーションへの書き込み。 Medium
システムファイルおよびフォルダのリストアップ。 Low
プロセスによる自身の繰り返しの呼び出し。 Low
未知のプロセスのメモリロケーションへの書き込み。 Low
デジタル署名の欠如。 informational


マカフィーのウイルス定義ファイルのスキャン スキャンの検出名
ベータ版 PWSZbot-FLW!64211EF0BCC4
マカフィーの検出名 PWSZbot-FLW!64211EF0BCC4

システムの改変

・正式な場所は構成によって異なりますが、いくつかのパスの値が環境変数に置き換えられます。

%WINDIR% = \WINDOWS (Windows 9x/ME/XP/Vista/7), \WINNT (Windows NT/2000)

%PROGRAMFILES% = \Program Files

以下のファイルが解析されました。

74063EE662721B971C8BAFA011BB51AB9D03F136

以下のファイルがシステムに追加されます。

  • %TEMP%\~DFF8E2.tmp
  • %TEMP%\~DF5092.tmp
  • %APPDATA%\Zaanu\moid.omn
  • %APPDATA%\Microsoft\Address Book\Administrator.wab
  • %TEMP%\4510A.dmp
  • %USERPROFILE%\Local Settings\Application Data\Identities\{D47E487F-702B-475C-B6B6-EF78A72CD682}\Microsoft\Outlook Express\F
  • %TEMP%\3D708.dmp
  • %TEMP%\WER1B.tmp
  • %APPDATA%\Ficeqo\afyfg.exe
  • %APPDATA%\Zaanu\moid.tmp
  • %TEMP%\41569.dmp
  • %APPDATA%\Enupa\gyma.iko

以下のファイルが一時的にディスクに書き込まれ、その後削除されました。

  • %TEMP%\WER1C.tmp.dir00\appcompat.txt
  • %TEMP%\WER1D.tmp
  • %TEMP%\tmpf84336b2.bat
  • %TEMP%\WER1C.tmp
  • %TEMP%\WER1A.tmp.dir00\appcompat.txt
  • %TEMP%\WER1A.tmp
  • %TEMP%\WER1D.tmp.dir00\appcompat.txt

以下のレジストリ要素が作成されます。

  • HKEY_CURRENT_USER\IDENTITIES\{D47E487F-702B-475C-B6B6-EF78A72CD682}\SOFTWARE\MICROSOFT\OUTLOOK EXPRESS\5.0\MAIL\
  • HKEY_CURRENT_USER\IDENTITIES\{D47E487F-702B-475C-B6B6-EF78A72CD682}\SOFTWARE\MICROSOFT\OUTLOOK EXPRESS\5.0\NEWS\
  • HKEY_CURRENT_USER\IDENTITIES\{D47E487F-702B-475C-B6B6-EF78A72CD682}\SOFTWARE\MICROSOFT\OUTLOOK EXPRESS\5.0\RULES\
  • HKEY_CURRENT_USER\IDENTITIES\{D47E487F-702B-475C-B6B6-EF78A72CD682}\SOFTWARE\MICROSOFT\OUTLOOK EXPRESS\5.0\RULES\MAIL\
  • HKEY_CURRENT_USER\IDENTITIES\{D47E487F-702B-475C-B6B6-EF78A72CD682}\SOFTWARE\MICROSOFT\OUTLOOK EXPRESS\5.0\TRIDENT\
  • HKEY_CURRENT_USER\IDENTITIES\{D47E487F-702B-475C-B6B6-EF78A72CD682}\SOFTWARE\MICROSOFT\OUTLOOK EXPRESS\5.0\TRIDENT\MAIN\
  • HKEY_CURRENT_USER\IDENTITIES\{D47E487F-702B-475C-B6B6-EF78A72CD682}\SOFTWARE\MICROSOFT\OUTLOOK EXPRESS\5.0\TRIDENT\SETTINGS\
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\ACCOUNTS\
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\ACCOUNTS\ACTIVE DIRECTORY GC\
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\ACCOUNTS\BIGFOOT\
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\ACCOUNTS\VERISIGN\
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\ACCOUNTS\WHOWHERE\
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\PRIVACY\
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WAB\
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WAB\WAB4\
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WAB\WAB4\WAB FILE NAME\
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\YSAQ\

以下のレジストリ要素が変更されます。

  • HKEY_CURRENT_USER\IDENTITIES\IDENTITY ORDINAL = 2
  • HKEY_CURRENT_USER\IDENTITIES\LAST USER ID = {D47E487F-702B-475C-B6B6-EF78A72CD682}
  • HKEY_CURRENT_USER\IDENTITIES\LAST USERNAME = Main Identity
  • HKEY_CURRENT_USER\IDENTITIES\{D47E487F-702B-475C-B6B6-EF78A72CD682}\SOFTWARE\MICROSOFT\OUTLOOK EXPRESS\5.0\CONVERTEDTODBX = 1
  • HKEY_CURRENT_USER\IDENTITIES\{D47E487F-702B-475C-B6B6-EF78A72CD682}\SOFTWARE\MICROSOFT\OUTLOOK EXPRESS\5.0\MSIMN = 1
  • HKEY_CURRENT_USER\IDENTITIES\{D47E487F-702B-475C-B6B6-EF78A72CD682}\SOFTWARE\MICROSOFT\OUTLOOK EXPRESS\5.0\RUNNING = 1
  • HKEY_CURRENT_USER\IDENTITIES\{D47E487F-702B-475C-B6B6-EF78A72CD682}\SOFTWARE\MICROSOFT\OUTLOOK EXPRESS\5.0\SETTINGS UPGRADED = 7
  • HKEY_CURRENT_USER\IDENTITIES\{D47E487F-702B-475C-B6B6-EF78A72CD682}\SOFTWARE\MICROSOFT\OUTLOOK EXPRESS\5.0\SPELLDONTIGNOREDBCS = 1
  • HKEY_CURRENT_USER\IDENTITIES\{D47E487F-702B-475C-B6B6-EF78A72CD682}\SOFTWARE\MICROSOFT\OUTLOOK EXPRESS\5.0\STORE ROOT = %UserProfile%\Local Settings\Application Data\Identities\{D47E487F-702B-475C-B6B6-EF78A72CD682}\Microsoft\Outlook Express\
  • HKEY_CURRENT_USER\IDENTITIES\{D47E487F-702B-475C-B6B6-EF78A72CD682}\SOFTWARE\MICROSOFT\OUTLOOK EXPRESS\5.0\STOREMIGRATEDV5 = 1
  • HKEY_CURRENT_USER\IDENTITIES\{D47E487F-702B-475C-B6B6-EF78A72CD682}\SOFTWARE\MICROSOFT\OUTLOOK EXPRESS\5.0\VERSTAMP = 3
  • HKEY_CURRENT_USER\IDENTITIES\{D47E487F-702B-475C-B6B6-EF78A72CD682}\SOFTWARE\MICROSOFT\OUTLOOK EXPRESS\5.0\MAIL\ACCOUNTS CHECKED = 0
  • HKEY_CURRENT_USER\IDENTITIES\{D47E487F-702B-475C-B6B6-EF78A72CD682}\SOFTWARE\MICROSOFT\OUTLOOK EXPRESS\5.0\MAIL\WELCOME MESSAGE = 1
  • HKEY_CURRENT_USER\IDENTITIES\{D47E487F-702B-475C-B6B6-EF78A72CD682}\SOFTWARE\MICROSOFT\OUTLOOK EXPRESS\5.0\NEWS\ACCOUNTS CHECKED = 0
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\DEFAULT LDAP ACCOUNT = Active Directory GC
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\SERVER ID = 4
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\ACCOUNTS\ASSOCIATEDID = [バイナリデータ]
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\ACCOUNTS\CONNECTIONSETTINGSMIGRATED = 1
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\ACCOUNTS\PRECONFIGVER = 4
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\ACCOUNTS\PRECONFIGVERNTDS = 1
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\ACCOUNTS\ACTIVE DIRECTORY GC\ACCOUNT NAME = Active Directory
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\ACCOUNTS\ACTIVE DIRECTORY GC\LDAP AUTHENTICATION = 2
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\ACCOUNTS\ACTIVE DIRECTORY GC\LDAP BIND DN = 0
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\ACCOUNTS\ACTIVE DIRECTORY GC\LDAP PORT = 3268
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\ACCOUNTS\ACTIVE DIRECTORY GC\LDAP RESOLVE FLAG = 1
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\ACCOUNTS\ACTIVE DIRECTORY GC\LDAP SEARCH BASE = NULL
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\ACCOUNTS\ACTIVE DIRECTORY GC\LDAP SEARCH RETURN = 100
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\ACCOUNTS\ACTIVE DIRECTORY GC\LDAP SECURE CONNECTION = 0
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\ACCOUNTS\ACTIVE DIRECTORY GC\LDAP SERVER = NULL
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\ACCOUNTS\ACTIVE DIRECTORY GC\LDAP SERVER ID = 0
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\ACCOUNTS\ACTIVE DIRECTORY GC\LDAP SIMPLE SEARCH = 0
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\ACCOUNTS\ACTIVE DIRECTORY GC\LDAP TIMEOUT = 60
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\ACCOUNTS\ACTIVE DIRECTORY GC\LDAP USER NAME = NULL
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\ACCOUNTS\BIGFOOT\ACCOUNT NAME = Bigfoot Internet Directory Service
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\ACCOUNTS\BIGFOOT\LDAP AUTHENTICATION = 0
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\ACCOUNTS\BIGFOOT\LDAP LOGO = %COMMONPROGRAMFILES%\Services\bigfoot.bmp
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\ACCOUNTS\BIGFOOT\LDAP SEARCH RETURN = 100
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\ACCOUNTS\BIGFOOT\LDAP SERVER = ldap.bigfoot.com
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\ACCOUNTS\BIGFOOT\LDAP SERVER ID = 1
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\ACCOUNTS\BIGFOOT\LDAP SIMPLE SEARCH = 1
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\ACCOUNTS\BIGFOOT\LDAP TIMEOUT = 60
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\ACCOUNTS\BIGFOOT\LDAP URL = http://www.bigfoot.com
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\ACCOUNTS\VERISIGN\ACCOUNT NAME = VeriSign Internet Directory Service
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\ACCOUNTS\VERISIGN\LDAP AUTHENTICATION = 0
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\ACCOUNTS\VERISIGN\LDAP LOGO = %COMMONPROGRAMFILES%\Services\verisign.bmp
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\ACCOUNTS\VERISIGN\LDAP SEARCH BASE = NULL
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\ACCOUNTS\VERISIGN\LDAP SEARCH RETURN = 100
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\ACCOUNTS\VERISIGN\LDAP SERVER = directory.verisign.com
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\ACCOUNTS\VERISIGN\LDAP SERVER ID = 2
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\ACCOUNTS\VERISIGN\LDAP SIMPLE SEARCH = 1
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\ACCOUNTS\VERISIGN\LDAP TIMEOUT = 60
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\ACCOUNTS\VERISIGN\LDAP URL = http://www.verisign.com
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\ACCOUNTS\WHOWHERE\ACCOUNT NAME = WhoWhere Internet Directory Service
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\ACCOUNTS\WHOWHERE\LDAP AUTHENTICATION = 0
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\ACCOUNTS\WHOWHERE\LDAP LOGO = %COMMONPROGRAMFILES%\Services\whowhere.bmp
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\ACCOUNTS\WHOWHERE\LDAP SEARCH RETURN = 100
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\ACCOUNTS\WHOWHERE\LDAP SERVER = ldap.whowhere.com
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\ACCOUNTS\WHOWHERE\LDAP SERVER ID = 3
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\ACCOUNTS\WHOWHERE\LDAP SIMPLE SEARCH = 1
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\ACCOUNTS\WHOWHERE\LDAP TIMEOUT = 60
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT MANAGER\ACCOUNTS\WHOWHERE\LDAP URL = http://www.whowhere.com
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\PRIVACY\CLEANCOOKIES = 0
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WAB\WAB4\OLKCONTACTREFRESH = 0
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WAB\WAB4\OLKFOLDERREFRESH = 0
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.386\OPENWITHPROGIDS\VXDFILE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.AIF\OPENWITHPROGIDS\AIFFFILE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.AIFC\OPENWITHPROGIDS\AIFFFILE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.AIFF\OPENWITHPROGIDS\AIFFFILE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.ASF\OPENWITHPROGIDS\ASFFILE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.ASX\OPENWITHPROGIDS\ASXFILE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.AU\OPENWITHPROGIDS\AUFILE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.AVI\OPENWITHPROGIDS\AVIFILE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.BMP\OPENWITHPROGIDS\PAINT.PICTURE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.CDA\OPENWITHPROGIDS\CDAFILE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.CHK\OPENWITHPROGIDS\CHKFILE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.CSS\OPENWITHPROGIDS\CSSFILE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.DIB\OPENWITHPROGIDS\PAINT.PICTURE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.DOC\OPENWITHPROGIDS\WORD.DOCUMENT.8
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.DOT\OPENWITHPROGIDS\WORD.TEMPLATE.8
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.EMF\OPENWITHPROGIDS\EMFFILE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.EML\OPENWITHPROGIDS\MICROSOFT INTERNET MAIL MESSAGE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.GIF\OPENWITHPROGIDS\GIFFILE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.HTM\OPENWITHPROGIDS\HTMLFILE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.HTML\OPENWITHPROGIDS\HTMLFILE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.ICO\OPENWITHPROGIDS\ICOFILE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.IVF\OPENWITHPROGIDS\IVFFILE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.JFIF\OPENWITHPROGIDS\PJPEGFILE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.JPE\OPENWITHPROGIDS\JPEGFILE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.JPEG\OPENWITHPROGIDS\JPEGFILE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.JPG\OPENWITHPROGIDS\JPEGFILE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.M1V\OPENWITHPROGIDS\MPEGFILE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.M3U\OPENWITHPROGIDS\M3UFILE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.MHT\OPENWITHPROGIDS\MHTMLFILE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.MHTML\OPENWITHPROGIDS\MHTMLFILE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.MID\OPENWITHPROGIDS\MIDFILE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.MIDI\OPENWITHPROGIDS\MIDFILE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.MP2\OPENWITHPROGIDS\MPEGFILE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.MP2V\OPENWITHPROGIDS\MPEGFILE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.MP3\OPENWITHPROGIDS\MP3FILE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.MPA\OPENWITHPROGIDS\MPEGFILE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.MPE\OPENWITHPROGIDS\MPEGFILE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.MPEG\OPENWITHPROGIDS\MPEGFILE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.MPG\OPENWITHPROGIDS\MPEGFILE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.MPV2\OPENWITHPROGIDS\MPEGFILE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.NWS\OPENWITHPROGIDS\MICROSOFT INTERNET NEWS MESSAGE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.OBD\OPENWITHPROGIDS\OFFICE.BINDER.9
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.OBT\OPENWITHPROGIDS\OFFICE.BINDER.TEMPLATE.9
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.OCX\OPENWITHPROGIDS\OCXFILE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.PNG\OPENWITHPROGIDS\PNGFILE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.POT\OPENWITHPROGIDS\POWERPOINT.TEMPLATE.8
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.PPT\OPENWITHPROGIDS\POWERPOINT.SHOW.8
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.RMI\OPENWITHPROGIDS\MIDFILE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.RTF\OPENWITHPROGIDS\WORD.RTF.8
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.SND\OPENWITHPROGIDS\AUFILE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.TIF\OPENWITHPROGIDS\MSPAPER.DOCUMENT
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.TIFF\OPENWITHPROGIDS\MSPAPER.DOCUMENT
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.TXT\OPENWITHPROGIDS\TXTFILE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.URL\OPENWITHPROGIDS\INTERNETSHORTCUT
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.VXD\OPENWITHPROGIDS\VXDFILE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.WAV\OPENWITHPROGIDS\SOUNDREC
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.WAX\OPENWITHPROGIDS\WAXFILE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.WM\OPENWITHPROGIDS\ASFFILE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.WMA\OPENWITHPROGIDS\WMAFILE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.WMF\OPENWITHPROGIDS\WMFFILE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.WMV\OPENWITHPROGIDS\WMVFILE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.WMX\OPENWITHPROGIDS\ASXFILE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.WRI\OPENWITHPROGIDS\WRIFILE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.WVX\OPENWITHPROGIDS\WVXFILE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.XLS\OPENWITHPROGIDS\EXCEL.SHEET.8
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.XLT\OPENWITHPROGIDS\EXCEL.TEMPLATE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.XML\OPENWITHPROGIDS\XMLFILE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.XSL\OPENWITHPROGIDS\XSLFILE
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.ZIP\OPENWITHPROGIDS\WINRAR.ZIP
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONES\0\1609 = 0
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONES\1\1406 = 0
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONES\1\1609 = 0
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONES\2\1609 = 0
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONES\3\1406 = 0
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONES\3\1609 = 0
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONES\4\1406 = 0
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONES\4\1609 = 0
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\BIUFOFOFU = "%APPDATA%\Ficeqo\afyfg.exe"
  • HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\YSAQ\DIMY = [バイナリデータ]

以下のネットワーク接続を行います。

  • 151.248.125.**:80
  • hxxp://neell.su/*****

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・PWSZbot-FLW!64211EF0BCC4!64211EF0BCC4のファイル、レジストリ、ネットワーク通信については、「ウイルスの特徴」を参照してください。

感染方法TOPへ戻る

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電子メールなどを通じて配布されます。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。