McAfee for Small Businesses

ウイルス名 危険度 PWS-Zbot.gen.ab 企業ユーザ: 中 個人ユーザ: 中 種別 トロイの木馬 最小定義ファイル (最初に検出を確認したバージョン) 5857 対応定義ファイル (現在必要とされるバージョン) 6543　（現在7077) 対応エンジン 5.4.00以降　(現在5.4.00)　 エンジンバージョンの見分け方 別名 F-Secure - Trojan-Spy:W32/Zbot. Microsoft - PWS:Win32/Zbot Sophos - Troj/Agent-UBA Symantec - Trojan.Zbot 情報掲載日 2011/11/29 発見日（米国日付） 2009/12/17 駆除補足 ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 05/15 ZeroAccess!5... 05/15 VBS/LoveLett... 05/15 RDN/Generic ... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7077  エンジン：5.4.00   ウイルス検索

ウイルスの特徴 TOPに戻る --2011年11月30日更新--- ・現在の亜種では、自身を以下にコピーすることが確認されています。 %AppData%\KB00[random numbers].exe ・また、%AppData% にフォルダを作成します。 %AppData%\[random characters] ・スタートアップで自動的に実行されるために、以下のレジストリを作成します。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ KB00[random numbers].exe = "%AppData%\KB00[random numbers].exe" ・また、以下のレジストリを作成します。 Software\Microsoft\Windows Media Center\[random characters] 注：[%AppData% - C:\Documents and Settings\[UserName]\Application Data] ・以下のWebサイトに接続し、データの送受信ならびにさらなるマルウェアをダウンロードしようとします。 lavonoplanet.ru hherbalessensess.ru ultravioletdreammm.ru sonvletnuunoch.ru ・ここでダウンロードされるマルウェアはGeneric Downloader.zであり、これはさらに　Generic BackDoor.vd および Generic Backdoor.u　をダウンロードします。 ・ダウンロードされるマルウェアは %Windows%/temp に保存されます。 注：[%Windows% - c:\Windows] --2011年11月17日更新--- ・別名 F-Secure - Trojan-Spy:W32/Zbot. Microsoft - PWS:Win32/Zbot Sophos - Troj/Agent-UBA Symantec - Trojan.Zbot ・実行時、以下のファイルをドロップ（作成）します。 %AppData%\Elfyo\uhreux.exe %AppData% \Hyym\byanpab.tmp ・以下のレジストリ値が追加されます。 HKEY_USERS\S-1-5-[varies]\Software\Microsoft\Ukboo ・以下のレジストリ値が改変されます。 HKEY_USERS \S-1-5-[varies]\Software\Microsoft\Windows\CurrentVersion\Run\ {4A72E50B-757A-7502-3A7B-C98493DCDFB1} = ""%AppData%\Elfyo\uhreux.exe"" HKEY_USERS \S-1-5-[varies]\Software\Microsoft\Ukboo\ Nooccot = binary data ・上記の二つのレジストリのエントリにより、PWS-Zbot.gen.abはWindowsの起動のたびに自身を実行するようにします。 ・実行後、PWS-Zbot.gen.abは自身をシステムから削除します。 ・また、以下のフォルダがシステム内に作成されます。 %AppData%\Elfyo %AppData%\Hyym 注：[%AppData% - C:\Documents and Settings\[UserName]\Application Data] --2011年5月11日更新--- ・新しい亜種が偽装された電子メールの添付ファイルで確認されました。これらの電子メールはマイクロソフトからの月例更新プログラムに関するメールを装っています。 ・実行時、以下のファイルをドロップ（作成）します。 %UserProfile%\Application Data\Tuti\myynw.exe (PWS-Zbot.gen.ab) %UserProfile%\Application Data\Upuhy\ekufq.tmp(バイナリデータ) %UserProfile%\Application Data\Upuhy\ekufq.zoe (バイナリデータ) ・以下のレジストリキーが改変されます。 HKEY_CURRENT_USER\Software\Microsoft\Boylw "Roonbub" = (バイナリ) HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "{20D67A25-FEC0-313C-0828-EB1A6CE61592}" = %UserProfile%\Application Data\Tuti\myynw.exe ・以下のホストに接続しようとします。 visitortracker.[削除].nl -- 2010年1月10日更新 -- ・実行時、以下の場所に自身をコピーします。 %UserProfile%\Start Menu\Programs\Startup\ifba.exe [PWS-Zbot.gen.abという名前で検出] %UserProfile%\Start Menu\Programs\Startup\tuohcu.exe [PWS-Zbot.gen.abという名前で検出] %UserProfile%\Start Menu\Programs\Startup\yzetf.exe [PWS-Zbot.gen.abという名前で検出] %UserProfile%\Start Menu\Programs\Startup\apyg.exe [PWS-Zbot.gen.abという名前で検出] %UserProfile%\Start Menu\Programs\Startup\ibola.exe [PWS-Zbot.gen.abという名前で検出] %UserProfile%\Start Menu\Programs\Startup\mixic.exe [PWS-Zbot.gen.abという名前で検出] ・また、以下のファイルをドロップ（作成）します。 %UserProfile%\Local Settings\Application Data\Identities\{EBA1757B-EB14-4E48-8CE7-3AA790B4FB28}\Microsoft\Outlook Express\Folders.dbx %UserProfile%\Local Settings\Application Data\Identities\{EBA1757B-EB14-4E48-8CE7-3AA790B4FB28}\Microsoft\Outlook Express\Inbox.dbx %UserProfile%\Local Settings\Application Data\Identities\{EBA1757B-EB14-4E48-8CE7-3AA790B4FB28}\Microsoft\Outlook Express\Offline.dbx %UserProfile%\Local Settings\Application Data\Identities\{EBA1757B-EB14-4E48-8CE7-3AA790B4FB28}\Microsoft\Outlook Express\Sent Items.dbx %AppData%\Microsoft\Address Book\Administrator.wab %AppData%\Microsoft\Address Book\Administrator.wab~ %AppData%\Ugyx\vori.tmp ・以下のレジストリキーがシステムに追加されます。 HKEY_CURRENT_USER\S-1-(不定)\Identities\EBA1757B-EB14-4E48-8CE7-3AA790B4FB28}\Software\Microsoft\Outlook Express\5.0\Mail HKEY_CURRENT_USER\S-1-(不定)\Identities\EBA1757B-EB14-4E48-8CE7-3AA790B4FB28}\Software\Microsoft\Outlook Express\5.0\News HKEY_CURRENT_USER\S-1-(不定)\Identities\EBA1757B-EB14-4E48-8CE7-3AA790B4FB28}\Software\Microsoft\Outlook Express\5.0\Rules HKEY_CURRENT_USER\S-1-(不定)\Identities\EBA1757B-EB14-4E48-8CE7-3AA790B4FB28}\Software\Microsoft\Outlook Express\5.0\Trident HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Internet Explorer\Privacy HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Internet Account Manager\Accounts\Active Directory GC HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Internet Account Manager\Accounts\Bigfoot HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Internet Account Manager\Accounts\VeriSign HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Internet Account Manager\Accounts\WhoWhere HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Unerr HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\WAB ・以下のレジストリ値が追加されます。 [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Run\] “{1E2D2803-F1E8-7A2D-A097-4214038F05F9}” = ""%AppData%\Bial\ycud.exe"" ・上記のレジストリにより、PWS-Zbot.gen.abがRUN項目を乗っ取ったシステムに登録し、起動のたびに自身を実行するようにします。 HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Internet Explorer\Privacy\CleanCookies: 0x00000000 ・上記のレジストリにより、PWS-Zbot.gen.abによってInternet Explorerのクッキーの削除オプションが無効化されるようにします。 ・以下のレジストリ値が改変されます。 [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\] “1609” = “0x00000000” [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\] “1406” = “0x00000000” [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\] “1609” = “0x00000000” [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\] “1406” = “0x00000000” [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\] “1406” = “0x00000000” ・上記のレジストリ項目により、PWS-Zbot.gen.abによってInternet Explorerのセキュリティ設定が無効化されるようにします。 ・また、影響を受けるコンピュータから以下の機密情報を盗み出そうとする可能性があります。 証明書 IEのクッキー キャッシュパスワード [%UserProfile%は%UserProfile%\、%Temp%は%UserProfile%\Local Settings\Temp\、%SystemDrive%はオペレーティングシステムがインストールされているドライブで、通常はC:\] -- 2010年7月9日更新 -- ・実行時、以下の場所にランダムな名前で自身をコピーします。 %USERPROFILE%\Start Menu\Programs\Startup\epmu.exe [PWS-Zbot.gen.abという名前で検出] %USERPROFILE%\Start Menu\Programs\Startup\kylu.exe [PWS-Zbot.gen.abという名前で検出] %USERPROFILE%\Start Menu\Programs\Startup\nuikf.exe [PWS-Zbot.gen.abという名前で検出] %USERPROFILE%\Start Menu\Programs\Startup\ocni.exe [PWS-Zbot.gen.abという名前で検出] %USERPROFILE%\Start Menu\Programs\Startup\zeryi.exe [PWS-Zbot.gen.abという名前で検出] %USERPROFILE%\Start Menu\Programs\Startup\enmo.exe [PWS-Zbot.gen.abという名前で検出] %USERPROFILE%\Start Menu\Programs\Startup\hodeeg.exe [PWS-Zbot.gen.abという名前で検出] %USERPROFILE%\Start Menu\Programs\Startup\ydur.exe [PWS-Zbot.gen.abという名前で検出] %USERPROFILE%\Start Menu\Programs\Startup\diit.exe [PWS-Zbot.gen.abという名前で検出] ・また、以下のファイルをドロップ（作成）します。 %USERPROFILE%\Application Data\Amnu\diozc.tmp %Temp%\tmpe1ef3100.bat ・以下のレジストリキーがシステムに追加されます。 [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Internet Explorer\Privacy] [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Gica] The following registry value has been added. [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Internet Explorer\Privacy\] “CleanCookies” = “ 0x00000000” ・以下のレジストリにより、PWS-Zbot.gen.abが乗っ取ったシステムに登録され、起動のたびに実行されるようにします。 [HKEY_CURRENT_USER\S-1-(不定)\Software\Microsoft\Windows\CurrentVersion\Run\] “{012F2CDD-D90E-7A2A-8AF9-ECEA0955AB07}” = ""%USERPROFILE%\Application Data\Uhvi\ibpoo.exe"" ・また、以下のプロセスに自身を挿入しようとします。 ctfmon.exe rdpclip.exe dwm.exe wscntfy.exe taskeng.exe taskhost.exe explorer.exe [%UserProfile%はc:\Documents and Settings\Administrator\、%Temp%はC:\Documents and Settings\Administrator\Local Settings\Temp\、%SystemDrive%はオペレーティングシステムがインストールされているドライブで、通常はC:\] -- 2010年1月10日更新 -- ・以下のWebサイトで注目されたため、危険度を[低（要注意）]に変更しました。 http://isc.sans.org/diary.html?storyid=7918&rss -- ・実行時、以下のファイルをドロップ（作成）します。 %system%\sdra64.exe - 自身のコピー %system%\lowsec\local.ds - データファイル %system%\lowsec\user.ds %system%\lowsec\user.ds.lll ・成功すると、svchostプロセスのアドレス空間に新しいメモリページを作成します。 Svchost.exe ・以下の隠しフォルダが作成されます。 %System%\lowsec ・以下のレジストリキーが作成されます。 HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{334613DB-50C1-B3BE-95ED-E9915A134FF1} HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{4776C4DC-E894-7C06-2148-5D73CEF5F905} HKEY_USERS\S-1-5-19\Software\Microsoft\Windows NT\CurrentVersion\Network "UID" "computer name_B4DF7611864C7708" HKEY_USERS\.DEFAULT\Software\Microsoft\Protected Storage System Provider ・以下のレジストリの値が改変されます。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Userinit" "C:\WINDOWS\system32\userinit.exe," " C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe," ・以下のリモートサーバへのトラフィックが発生します。 http://nekoxxx.ru/cbd/nexxxx.bri 以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る * PWS-Zbot.gen.abがプロセスリストで動作中です。 * 上記のファイルおよびレジストリ項目が存在します。 * 上記のサーバとのネットワーク活動が見られます。 感染方法 TOPへ戻る ・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、スパムメールなどを通じて配布されます。 駆除方法 TOPへ戻る ■最新のエンジンとウイルス定義ファイルの組み合わせで、検出・駆除してください。McAfee Labs は、見慣れたもしくは安全に見えるファイルアイコン（特に、ユーザーがファイルを共有できるP2Pクライアント、IRC、E-mailまたはその他のメディアから受け取ったファイルを）を信用しないことを推奨します。