McAfee for Small Businesses

ウイルス名 危険度 PWS-Zbot.gen.t 企業ユーザ: 低 個人ユーザ: 低 種別 トロイの木馬 最小定義ファイル (最初に検出を確認したバージョン) 5772 対応定義ファイル (現在必要とされるバージョン) 5776　（現在7080) 対応エンジン 5.2.00以降　(現在5.4.00)　 エンジンバージョンの見分け方 情報掲載日 2009/10/20 発見日（米国日付） 2009/10/15 駆除補足 ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 05/18 RDN/Generic.... 05/18 RDN/Generic.... 05/18 Generic Drop... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7080  エンジン：5.4.00   ウイルス検索

ウイルスの特徴 TOPに戻る ・PWS-Zbot.gen.tが実行されると、システムのさまざまな場所に自身をコピーします。 システムの改変 ・以下のレジストリ要素が変更されます。 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] “Userinit” = "C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\sdra64.exe" ・上記のレジストリ項目により、自身をwinlogon.exeおよびuserinit.exeにフックし、自身の存在を隠します。 ・以下のレジストリ要素が変更されます。 1. %SystemDir%\lowsec\local.ds 2. %SystemDir%\lowsec\user.ds 3. %SystemDir%\sdra64.exe 4. %WINDOWS%\Temp\3F.tmp ・以下のフォルダがシステムに追加されます。 　1. %WinDir%\system32\lowsec ・実行時、自身をシステムフォルダにコピーし、以下のサイトに接続します。 　http://bfg-7[削除].com ・ユーザのシステムを乗っ取った後、ユーザのシステムに保存されている銀行に関する詳細情報や金融関連のパスワードを探し、リモートサイトに送信します。このように、乗っ取ったシステムからパスワードを盗み出すことがPWS-Zbot.gen.tの主な目的です。 ・PWS-Zbot.gen.tは、特に銀行のパスワード関連の情報を盗み出そうとする、パスワードを盗み出すトロイの木馬です。 ・特定のバージョンのPWS-Zbot.genでは、以下の動作が確認されました。 %SystemDir%フォルダに自身のコピーをドロップ（作成）します。 コードをシステムプロセスに挿入します。 特定のAPI呼び出しにフックします。 オンラインバンキングの取引などの機密情報をターゲットにします。 自身の新しいバージョンをリモート検索しようとします。 盗み出した情報をリモートサイトにポストします。 ・以下は一般的なパス変数の既定値です。（異なる場合もありますが、一般的には以下のとおりです。） %WinDir% = \WINDOWS (Windows 9x/ME/XP/Vista), \WINNT (Windows NT/2000) %SystemDir% = \WINDOWS\SYSTEM (Windows 98/ME), \WINDOWS\SYSTEM32 (Windows XP/Vista), \WINNT\SYSTEM32 (Windows NT/2000) %ProgramFiles% = \Program Files 以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る 1. PWS-Zbot.gen.tがプロセスリストで動作中です。 2. 上記のファイルおよびレジストリ項目が存在します。 3. 上記のサーバとのネットワーク活動が行われます。 感染方法 TOPへ戻る ・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、スパムメールなどを通じて配布されます。 駆除方法 TOPへ戻る ■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。 システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。 Windows ME/XPでの駆除についての補足