製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:PQ
ウイルス情報
ウイルス名危険度
PWSZbot-FMK
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
7210
対応定義ファイル
(現在必要とされるバージョン)
7279 (現在7607)
対応エンジン5.4.00.1158以降 (現在5600) 
エンジンバージョンの見分け方
別名Kaspersky - Trojan-Spy.Win32.Zbot.qtiu Ikarus - Trojan.Injector Nod32 - Win32/Spy.Zbot.AAU Drweb - Trojan.PWS.Panda.5182 Kaspersky - Trojan-Spy.Win32.Zbot.qtiu Microsoft - PWS:Win32/Zbot Nod32 - Win32/Spy.Zbot.AAU
情報掲載日2013/12/03
発見日(米国日付)2013/11/27
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/29RDN/Generic....
10/29Generic.bfr!...
10/29Generic Drop...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7607
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・PWSZbot-FMKはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

ウイルスの特徴TOPに戻る

---2013年12月5日更新---

・「PWSZbot-FMK」は乗っ取ったマシンから機密情報を盗み出し、リモート攻撃者に送信するトロイの木馬です。実行に成功すると、ソースファイルを削除します。

実行時、以下のIPアドレスに接続します。

  • S68.[削除].com
  • Finl[削除]u
  • 188.[削除].238
  • 99-98-252-106.[削除].sbcglobal.net
  • 166.[削除].68
  • 99.[削除].151
  • 75.[削除].250
  • 69.[削除].22
  • 85.[削除].124
  • 67.[削除].4
  • 5.[削除].29
  • 109.[削除].220
  • 188.[削除].238
  • 174.[削除].238
  • 173.[削除].42
  • 172.[削除].122
  • 92.[削除].26
  • 61.[削除].140
  • 68.[削除].34
  • 93.[削除].180
  • 173.[削除].98
  • 86.[削除].12
  • 124.[削除].97
  • 207.[削除].60
  • 79.[削除].8
  • 190.[削除].138
  • 77.[削除].166
  • 217.[削除].53
  • 146.[削除].150
  • 108.[削除].240
  • 79.[削除].148
  • 217.[削除].109
  • 101.[削除].134
  • 86.[削除].74
  • 121.[削除].119
  • 99.[削除].106
  • 113.[削除].100
  • 80.[削除].182
  • 75.[削除].185
  • 24.[削除].134
  • 203.[削除].138
  • 212.[削除].8
  • 116.[削除].70
  • 66.[削除].229
  • 212.[削除].34
  • 99.[削除].122
  • 80.[削除].95
  • 118.[削除].93
  • 93.[削除].51
  • 81.[削除].254
  • 86.[削除].61
  • 87.[削除].103
  • 108.[削除].48
  • 178.[削除].166
  • 81.[削除].157
  • 115.[削除].216
  • 107.[削除].38
  • 83.[削除].87
  • 95.[削除].34
  • 217.[削除].80
  • 173.[削除].105
  • 88.[削除].132
  • 39.[削除].140
  • 188.[削除].139
  • 85.[削除].177
  • 122.[削除].214
  • 98.[削除].118
  • 76.[削除].79
  • 213.[削除].82
  • 75.[削除].66
  • 70.[削除].44
  • 86.[削除].29
  • 79.[削除].164
  • 176.[削除].210
  • 182.[削除].237
  • 108.[削除].157
  • 87.[削除].122
  • 61.[削除].188
  • 95.[削除].109

実行時、以下のファイルがシステムに追加されます。

  • %APPDATA%\Microsoft\Address Book\Administrator.wab
  • %APPDATA%\Pijo\eppuag.exe

実行時、以下のフォルダがシステムに追加されます。

  • %APPDATA%\Microsoft\Address Book
  • %APPDATA%\ Pijo

以下のレジストリキーがシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\Internet Account Manager
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Active Directory GC
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Bigfoot
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\VeriSign
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\WhoWhere
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\Ywilenlekyel
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\WAB
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\WAB\WAB4
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\WAB\WAB4\Wab File Name

以下のレジストリ値がシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\DisableNotifications: 0x00000000
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List\6788:UDP: "6788:UDP:*:Enabled:UDP 6788"
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List\3269:TCP: "3269:TCP:*:Enabled:TCP 3269"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\DisableNotifications: 0x00000000
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List\6788:UDP: "6788:UDP:*:Enabled:UDP 6788"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List\3269:TCP: "3269:TCP:*:Enabled:TCP 3269"

上記のレジストリ項目により、PWSZbot-FMKがUDPおよびTCPポートの通常の認証を回避するファイアウォールルールを作成します。また、リモート攻撃者がユーザに気づかれずに乗っ取ったシステムを制御するコマンドを発行できる可能性があります。

  • [HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\WhoWhere]
  • LDAP Server ID = 0x00000003
  • Account Name = "WhoWhere Internet Directory Service"
  • LDAP Server = "ldap.whowhere.com"
  • LDAP URL = "http://www.whowhere.com"
  • LDAP Search Return = 0x00000064
  • LDAP Timeout = 0x0000003C
  • LDAP Authentication = 0x00000000
  • LDAP Simple Search = 0x00000001
  • LDAP Logo = "%ProgramFiles%\Common Files\Services\whowhere.bmp"
  • [HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\VeriSign\]
  • LDAP Server ID = 0x00000002
  • Account Name = "VeriSign Internet Directory Service"
  • LDAP Server = "directory.verisign.com"
  • LDAP URL = "http://www.verisign.com"
  • LDAP Search Return = 0x00000064
  • LDAP Timeout = 0x0000003C
  • LDAP Authentication = 0x00000000
  • LDAP Search Base = "NULL"
  • LDAP Simple Search = 0x00000001
  • LDAP Logo = "%ProgramFiles%\Common Files\Services\verisign.bmp"
  • [HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Bigfoot\]
  • LDAP Server ID = 0x00000001
  • Account Name = "Bigfoot Internet Directory Service"
  • LDAP Server = "ldap.bigfoot.com"
  • LDAP URL = "http://www.bigfoot.com"
  • LDAP Search Return = 0x00000064
  • LDAP Timeout = 0x0000003C
  • LDAP Authentication = 0x00000000
  • LDAP Simple Search = 0x00000001
  • LDAP Logo = "%ProgramFiles%\Common Files\Services\bigfoot.bmp"
  • [HKEY_USER\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Active Directory GC\]
  • LDAP Server ID: 0x00000000
  • Account Name: "Active Directory"
  • LDAP Server: "NULL"
  • LDAP Search Return: 0x00000064
  • LDAP Timeout: 0x0000003C
  • LDAP Authentication: 0x00000002
  • LDAP Simple Search: 0x00000000
  • LDAP Bind DN: 0x00000000
  • LDAP Port: 0x00000CC4
  • LDAP Resolve Flag: 0x00000001
  • LDAP Secure Connection: 0x00000000
  • LDAP User Name: "NULL"
  • LDAP Search Base: "NULL"
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\PreConfigVer: 0x00000004
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\PreConfigVerNTDS: 0x00000001
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Server ID: 0x00000004
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Default LDAP Account: "Active Directory GC"
  • HKEY_USERS\S-1-5-21-[不定]\Software\Microsoft\Ywilenlekyel\1i624109: Binary data
  • HKEY_USERS\S-1-5-21-436374069-1757981266-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run\Eppuag: ""%APPDATA%\Pijo\eppuag.exe""

上記のレジストリにより、PWSZbot-FMKが乗っ取ったシステムにRUN項目を登録し、起動のたびに自身を実行するようにします。

  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\WAB\WAB4\Wab File Name\: "%appdata%\Microsoft\Address Book\Administrator.wab"
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\WAB\WAB4\OlkContactRefresh: 0x00000000
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\WAB\WAB4\OlkFolderRefresh: 0x00000000

・「PWSZbot-FMK」は乗っ取ったマシンから機密情報を盗み出し、リモート攻撃者に送信するトロイの木馬です。実行後、自身を削除する可能性があります。

実行時、以下のURLおよびIPに接続します。

  • Fi[削除]y.su
  • mu[削除]es.ru
  • na[削除]oi.vn
  • mx[削除]x.net
  • fri[削除]n.com
  • off[削除]ng.ru
  • erik[削除]en.ru
  • 250.[削除].75
  • 29.[削除].5
  • 217.[削除].81
  • 34.[削除].68
  • 11.[削除].65
  • 178.[削除].16
  • 184.[削除].217
  • 16.[削除].178
  • 238.[削除].183
  • 88.[削除].65
  • 120.[削除].65
  • 72.[削除].65
  • 195.[削除].64
  • 34.[削除].98
  • 45.[削除].63
  • 253.[削除].195
  • 35.[削除].66
  • 104.[削除].65
  • 3.[削除].68
  • 192.[削除].255
  • 166.[削除].68
  • 99.[削除].151
  • 75.[削除].250
  • 192.[削除].39
  • 69.[削除].22
  • 202.[削除].5
  • 85.[削除].124
  • 67.[削除].4
  • 109.[削除].220
  • 174.[削除].238
  • 173.[削除].42
  • 172.[削除].122
  • 92.[削除].26
  • 5.[削除].29
  • 61.[削除].140
  • 81.[削除].217
  • 68.[削除].34
  • 93.[削除].180
  • 65.[削除].11
  • 217.[削除].184
  • 178.[削除].16
  • 173.[削除].98
  • 183.[削除].238
  • 65.[削除].88
  • 86.[削除].12
  • 124.[削除].97
  • 202.[削除].6
  • 5.[削除].48
  • 202.[削除].5
  • 202.[削除].60
  • 65.[削除].120
  • 79.[削除].3
  • 93.[削除].151
  • 193.[削除].228
  • 64.[削除].195
  • 65.[削除].72
  • 98.[削除].34
  • 212.[削除].104
  • 63.[削除].45
  • 195.[削除].253
  • 129.[削除].176
  • 62.[削除].3
  • 66.[削除].35
  • 71.[削除].191
  • 65.[削除].104
  • 91.[削除].104
  • 184.[削除].155
  • 68.[削除].3

実行時、以下のファイルがシステムに追加されます。

  • %userprofile%\%Appdata%\Microsoft\Address Book\AVERT.wab~
  • %userprofile%\%Appdata%\ Oxole\mutoo.exe

実行時、以下のファイルがシステムに追加されます。

  • %userprofile%\%Appdata%\Microsoft\Address Book
  • %userprofile%\%Appdata%\ Oxole

以下のレジストリキーが追加されます。

  • HKEY_USERS\S-1-5-21[不定]\Software\Microsoft\Internet Account Manager
  • HKEY_USERS\S-1-5-21[不定]\Software\Microsoft\Internet Account Manager\Accounts
  • HKEY_USERS\S-1-5-21[不定]\Software\Microsoft\Internet Account Manager\Accounts\Active Directory GC
  • HKEY_USERS\S-1-5-21[不定]\Software\Microsoft\Internet Account Manager\Accounts\Bigfoot
  • HKEY_USERS\S-1-5-21[不定]\Software\Microsoft\Internet Account Manager\Accounts\VeriSign
  • HKEY_USERS\S-1-5-21[不定]\Software\Microsoft\Internet Account Manager\Accounts\WhoWhere
  • HKEY_USERS\S-1-5-21[不定]\Software\Microsoft\ Qoveyscedi
  • HKEY_USERS\S-1-5-21[不定]\Software\Microsoft\WAB
  • HKEY_USERS\S-1-5-21[不定]\Software\Microsoft\WAB\WAB4
  • HKEY_USERS\S-1-5-21[不定]\Software\Microsoft\WAB\WAB4\Wab File Name

以下のレジストリキー値がシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\DisableNotifications: 0x00000000

上記のレジストリキーにより、「ファイアウォールの無効化の通知メッセージ」の設定を無効にします。

  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Windows\CurrentVersion\Run\Mutoo: ""%APPDATA%\Oxole\mutoo.exe""

上記のレジストリ項目により、システムが起動するたびにPWSZbot-FMKが実行されるようにします。

  • HKEY_USERS\S-1-5-21[不定]\Software\Microsoft\Internet Account Manager\Accounts\WhoWhere\
  • LDAP Server ID: 0x00000003
  • Account Name: "WhoWhere Internet Directory Service"
  • LDAP Server: "ldap.whowhere.com"
  • LDAP URL: "http://www.whowhere.com"
  • LDAP Search Return: 0x00000064
  • LDAP Timeout: 0x0000003C
  • LDAP Authentication: 0x00000000
  • LDAP Simple Search: 0x00000001
  • LDAP Logo: "%ProgramFiles%\Common Files\Services\whowhere.bmp"
  • HKEY_USERS\S-1-5-21[不定]\Software\Microsoft\Internet Account Manager\Accounts\VeriSign\
  • LDAP Server ID: 0x00000002
  • Account Name: "VeriSign Internet Directory Service"
  • LDAP Server: "directory.verisign.com"
  • LDAP URL: "http://www.verisign.com"
  • LDAP Search Return: 0x00000064
  • LDAP Timeout: 0x0000003C
  • LDAP Authentication: 0x00000000
  • LDAP Search Base: "NULL"
  • LDAP Simple Search: 0x00000001
  • LDAP Logo: "%ProgramFiles%\Common Files\Services\verisign.bmp"
  • HKEY_USERS\S-1-5-21[不定]\Software\Microsoft\Internet Account Manager\Accounts\Bigfoot\
  • LDAP Server ID: 0x00000001
  • Account Name: "Bigfoot Internet Directory Service"
  • LDAP Server: "ldap.bigfoot.com"
  • LDAP URL: "http://www.bigfoot.com"
  • LDAP Search Return: 0x00000064
  • LDAP Timeout: 0x0000003C
  • LDAP Authentication: 0x00000000
  • LDAP Simple Search: 0x00000001
  • LDAP Logo: "%ProgramFiles%\Common Files\Services\bigfoot.bmp"
  • HKEY_USERS\S-1-5-21[不定]\Software\Microsoft\Internet Account Manager\Accounts\Active Directory GC\
  • LDAP Server ID: 0x00000000
  • Account Name: "Active Directory"
  • LDAP Server: "NULL"
  • LDAP Search Return: 0x00000064
  • LDAP Timeout: 0x0000003C
  • LDAP Authentication: 0x00000002
  • LDAP Simple Search: 0x00000000
  • LDAP Bind DN: 0x00000000
  • LDAP Port: 0x00000CC4
  • LDAP Resolve Flag: 0x00000001
  • LDAP Secure Connection: 0x00000000
  • LDAP User Name: "NULL"
  • LDAP Search Base: "NULL"
  • HKEY_USERS\S-1-5-21[不定]\Software\Microsoft\Internet Account Manager\Accounts\
  • PreConfigVer: 0x00000004
  • PreConfigVerNTDS: 0x00000001
  • HKEY_USERS\S-1-5-21[不定]\Software\Microsoft\Internet Account Manager\
  • Server ID: 0x00000004
  • Default LDAP Account: "Active Directory GC"
  • HKEY_USERS\S-1-5-21[不定]\Software\Microsoft\WAB\WAB4\Wab File Name\: "%AppData%\Microsoft\Address Book\AVERT.wab"
  • HKEY_USERS\S-1-5-21[不定]\Software\Microsoft\WAB\WAB4
  • OlkContactRefresh: 0x00000000
  • OlkFolderRefresh: 0x00000000
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\WAB\WAB4\FirstRun: 0x00000001

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・上記の活動が見られます。

感染方法TOPへ戻る

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、スパムメールなどを通じて配布されます。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。