McAfee for Small Businesses

ウイルス名 危険度 W32/Zbot 企業ユーザ: 低 個人ユーザ: 低 種別 ウイルス 最小定義ファイル (最初に検出を確認したバージョン) 5876 対応定義ファイル (現在必要とされるバージョン) 6166　（現在7077) 対応エンジン 5.3.00以降　(現在5.4.00)　 エンジンバージョンの見分け方 別名 Kaspersky - Virus.Win32.Murofet.a Microsoft - Virus:Win32/Murofet.A NOD32 - Win32/TrojanDownloader.Small.PAC Symantec - Trojan.Zbot.B!inf 情報掲載日 2010/11/16 発見日（米国日付） 2010/01/29 駆除補足 ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 05/15 ZeroAccess!5... 05/15 VBS/LoveLett... 05/15 RDN/Generic ... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7077  エンジン：5.4.00   ウイルス検索

ウイルスの特徴 TOPに戻る -- 2010年11月11日更新 -- ・他のファイルに感染できる亜種が発見されました。感染したコードにはランダムなドメインを生成するアルゴリズムが組み込まれています。 ・HTTPリクエストのフォーマットは以下のとおりです。 http://randomdomainname/forum/ ・「W32/Zbot」はパスワードを盗み出すリモートアクセス型トロイの木馬です。 ・Internet ExplorerおよびMozilla Firefoxが使用するAPIにフックし、ユーザが特定のWebサイトにアクセスすると、ログインに必要な資格情報を盗み出します。構成ファイルがリモートサーバからダウンロードされる可能性があります。また、収集されたデータが電子メールサーバに送信されます。 ・以下のファイルをドロップ（作成）します。 %AppData%\Qogyr\riic.exe ・また、以下のファイルがシステムに追加されます。 %AppData%\Microsoft\Address Book\[ユーザ名].wab %AppData%\Microsoft\Address Book\[ユーザ名].wab~ %AppData%\Avic\koofe.ivk %AppData%\Avic\koofe.tmp ・以下のプロセスのアドレス空間にコードを挿入して自身の存在を隠し、xaltwnuty[削除].infoに接続します。 explorer.exe ctfmon.exe wscntfy.exe ・以下のWindows APIにフックして、機密データを収集します。 HttpSendRequestExA HttpSendRequestExW InternetSetStatusCallbackA InternetQueryDataAvailable InternetReadFileExA HttpSendRequestW GetUrlCacheEntryInfoW InternetSetStatusCallbackW HttpAddRequestHeadersW HttpAddRequestHeadersA InternetSetCookieA TranslateMessage GetClipboardData PFXImportCertStore ・ターゲットコンピュータから以下の機密情報を盗み出します。 キャッシュパスワード 証明書 IEのクッキー ・また、キー入力を記録し、乗っ取ったシステムのスナップショットを撮影します。 ・以下のレジストリキーが追加されます。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DownloadManager HKEY_USERS\[S-1-不定]\Identities\{EBA1757B-EB14-4E48-8CE7-3AA790B4FB28}\Software\Microsoft\Outlook Express\5.0\Mail HKEY_USERS\[S-1-不定]\Identities\{EBA1757B-EB14-4E48-8CE7-3AA790B4FB28}\Software\Microsoft\Outlook Express\5.0\News HKEY_USERS\[S-1-不定]\Identities\{EBA1757B-EB14-4E48-8CE7-3AA790B4FB28}\Software\Microsoft\Outlook Express\5.0\Rules HKEY_USERS\[S-1-不定]\Identities\{EBA1757B-EB14-4E48-8CE7-3AA790B4FB28}\Software\Microsoft\Outlook Express\5.0\Rules\Mail HKEY_USERS\[S-1-不定]\Identities\{EBA1757B-EB14-4E48-8CE7-3AA790B4FB28}\Software\Microsoft\Outlook Express\5.0\Trident HKEY_USERS\[S-1-不定]\Identities\{EBA1757B-EB14-4E48-8CE7-3AA790B4FB28}\Software\Microsoft\Outlook Express\5.0\Trident\Main HKEY_USERS\[S-1-不定]\Identities\{EBA1757B-EB14-4E48-8CE7-3AA790B4FB28}\Software\Microsoft\Outlook Express\5.0\Trident\Settings HKEY_USERS\[S-1-不定]\Software\Microsoft\Internet Explorer\Privacy HKEY_USERS\[S-1-不定]\Software\Microsoft\Ikixg HKEY_USERS\[S-1-不定]\Software\Microsoft\Internet Account Manager HKEY_USERS\[S-1-不定]\Software\Microsoft\Internet Account Manager\Accounts HKEY_USERS\[S-1-不定]\Software\Microsoft\Internet Account Manager\Accounts\Active Directory GC HKEY_USERS\[S-1-不定]\Software\Microsoft\Internet Account Manager\Accounts\Bigfoot HKEY_USERS\[S-1-不定]\Software\Microsoft\Internet Account Manager\Accounts\VeriSign HKEY_USERS\[S-1-不定]\Software\Microsoft\Internet Account Manager\Accounts\WhoWhere HKEY_USERS\[S-1-不定]\Software\Microsoft\WAB HKEY_USERS\[S-1-不定]\Software\Microsoft\WAB\WAB4 HKEY_USERS\[S-1-不定]\Software\Microsoft\WAB\WAB4\Wab File Name ・以下のレジストリ値が追加されます。 HKEY_USERS \S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Run\ {1E2D2803-F1E8-7A2D-A097-4214038F05F9} = "%AppData% \Qogyr\riic.exe" ・上記のレジストリ項目により、Windowsが起動するたびにW32/Zbotが実行されるようにします。 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\ %Windir%\explorer.exe: " %Windir% \explorer.exe:*:Enabled:Windows Explorer" HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\WhoWhere\ LDAP Server ID: 0x00000003 Account Name: "WhoWhere Internet Directory Service" LDAP Server: "ldap.whowhere.com" LDAP URL: "http://www.whowhere.com" LDAP Search Return: 0x00000064 LDAP Timeout: 0x0000003C LDAP Authentication: 0x00000000 LDAP Simple Search: 0x00000001 LDAP Logo: "%ProgramFiles%\Common Files\Services\whowhere.bmp" HKEY_USERS\S-1-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Bigfoot\LDAP Server ID: 0x00000001 Account Name: "Bigfoot Internet Directory Service" LDAP Server: "ldap.bigfoot.com" LDAP URL: "http://www.bigfoot.com" LDAP Search Return: 0x00000064 LDAP Timeout: 0x0000003C LDAP Authentication: 0x00000000 LDAP Simple Search: 0x00000001 LDAP Logo: "%ProgramFiles%\Common Files\Services\bigfoot.bmp" HKEY_USERS\S-1-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Active Directory GC\LDAP Server ID: 0x00000000 Account Name: "Active Directory" LDAP Server: "NULL" LDAP Search Return: 0x00000064 LDAP Timeout: 0x0000003C LDAP Authentication: 0x00000002 LDAP Simple Search: 0x00000000 LDAP Bind DN: 0x00000000 LDAP Port: 0x00000CC4 LDAP Resolve Flag: 0x00000001 LDAP Secure Connection: 0x00000000 LDAP User Name: "NULL" LDAP Search Base: "NULL" HKEY_USERS\S-1-[不定]\Software\Microsoft\Internet Account Manager\Accounts\ PreConfigVer: 0x00000004 PreConfigVerNTDS: 0x00000001 ConnectionSettingsMigrated: 0x00000001 ・以下のフォルダが追加されます。 %AppData%\Avic %AppData%\Qogyr %AppData%\Microsoft\Address Book [注： %WinDir% = \WINDOWS (Windows 9x/ME/XP/Vista), \WINNT (Windows NT/2000) %AppData% = \Documents and Settings\Administrator\Application Data] 以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る 上記のレジストリキーおよびファイルが存在します。 「firefox.exe」プロセスに悪質なコードを挿入し、悪質な活動を行います。 感染方法 TOPへ戻る ・ウイルスは自己複製します。多くの場合、ネットワーク、またはリムーバブルディスク、書き込み可能なCD、USBドライブなどのリムーバブルメディアへの送信によって拡散されます。また、ネットワークファイルシステム、他のコンピュータと共有されているファイルシステムのファイルに感染して、拡散する可能性があります。 駆除方法 TOPへ戻る 脅威と危険と思われる要素を取り除くため、サポートされているすべてのWindowsに対して以下の処置を行ってください。 システムリストアを無効にしてください。(Windows ME/XPのみ) 脅威の検出・駆除のために最新のエンジンとDATにアップデートしてください。 Complete system scanを実行してください。 システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。 通常の修正が成功しなかった場合、サンプルを McAfee Labsまで送付してください。