製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:XYZ
ウイルス情報
ウイルス名危険度
W32/Zbot
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
6882
対応定義ファイル
(現在必要とされるバージョン)
7270 (現在7600)
対応エンジン5.4.00.1158以降 (現在5600) 
エンジンバージョンの見分け方
別名Avira - W32/Murofet.A Windows Ikarus - Trojan-Downloader.Win32.Murofet Microsoft - Win32/Zbot Kaspersky - Trojan-Spy.Win32.Zbot Microsoft - virus:win32/zbot.b Symantec - Trojan.Zbot.B!inf Norman - W32/Murofet.A F-prot - W32/Murofet.A Fortinet - W32/Murofet.A Ikarus - Trojan-Downloader.Win32.Murofet Kaspersky - Virus.Win32.Murofet.a Microsoft - Virus:Win32/Murofet.A NOD32 - Win32/TrojanDownloader.Small.PAC Symantec - Trojan.Zbot.B!inf Kaspersky - Virus.Win32.Murofet.a NOD32 - a variant of Win32/TrojanDownloader.Small.PAC Ikarus - Virus.Win32.Murofet Microsoft - Virus:Win32/Zbot.B
情報掲載日2010/11/16
発見日(米国日付)2010/01/29
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/22Generic Down...
10/22Generic Down...
10/22FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7600
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・W32/Zbotはウイルスです。ウイルスは繰り返し自己複製するプログラムで、感染システムがウイルスを他のシステムに拡散して、ウイルスをさらに繁殖させます。多くのウイルスには破壊的なペイロードが組み込まれていますが、通常はシステムからシステムに拡散する以外には何も行いません。

ウイルスの特徴TOPに戻る

---2014年2月6日更新---

・「W32/Zbot」は乗っ取ったマシンから機密情報を盗み出し、リモート攻撃者に送信するトロイの木馬です。リモートサイトから構成ファイルをダウンロードします。

実行時、以下のファイルがシステムに追加されます。

  • %SysDir% folder as sdra64.exe
  • %SysDir%\lowsec\local.ds - 構成ファイル
  • % SysDir%\lowsec\user.ds - ログファイル
  • %AppData%\[ランダムに生成されるフォルダ名]\[ランダムに生成されるバイナリファイル名]
  • %AppData%\[ランダムに生成されるフォルダ名]\[ランダムに生成されるデータファイル名]

以下は、W32/Zbotがターゲットにする簡略化されたバンキングサイトのリストで、解読された構成ファイルで見つかっています。

  • hxxps://online.wellsfargo.com/signon*
  • hxxps://www.paypal.com/*/webscr?cmd=_account
  • hxxps://www.paypal.com/*/webscr?cmd=_login-done*
  • hxxps://www#.usbank.com/internetBanking/LoginRouter
  • hxxps://easyweb*.tdcanadatrust.com/servlet/*FinancialSummaryServlet*
  • hxxps://www#.citizensbankonline.com/*/index-wait.jsp
  • hxxps://onlinebanking.nationalcity.com/OLB/secure/AccountList.aspx
  • hxxps://www.suntrust.com/portal/server.pt*parentname=Login*
  • hxxps://www.53.com/servlet/efsonline/index.html*
  • hxxps://web.da-us.citibank.com/*BS_Id=MemberHomepage*
  • hxxps://onlineeast#.bankofamerica.com/cgi-bin/ias/*/GotoWelcome
  • hxxps://online.wamu.com/Servicing/Servicing.aspx?targetPage=AccountSummary
  • hxxps://onlinebanking#.wachovia.com/myAccounts.aspx?referrer=authService
  • hxxps://resources.chase.com/MyAccounts.aspx
  • hxxps://bancaonline.openbank.es/servlet/PProxy?*
  • hxxps://extranet.banesto.es/*/loginParticulares.htm
  • hxxps://banesnet.banesto.es/*/loginEmpresas.htm
  • hxxps://empresas.gruposantander.es/WebEmpresas/servlet/webempresas.servlets.*
  • hxxps://www.gruposantander.es/bog/sbi*?ptns=acceso*
  • hxxps://www.bbvanetoffice.com/local_bdno/login_bbvanetoffice.html
  • hxxps://www.bancajaproximaempresas.com/ControlEmpresas*
  • hxxps://www.citibank.de*
  • hxxps://probanking.procreditbank.bg/main/main.asp*
  • hxxps://ibank.internationalbanking.barclays.com/logon/icebapplication*
  • hxxps://ibank.barclays.co.uk/olb/x/LoginMember.do
  • hxxps://online-offshore.lloydstsb.com/customer.ibc
  • hxxps://online-business.lloydstsb.co.uk/customer.ibc
  • hxxps://www.dab-bank.com*
  • hxxp://www.hsbc.co.uk/1/2/personal/internet-banking*
  • hxxps://www.nwolb.com/Login.aspx*
  • hxxps://home.ybonline.co.uk/login.html*
  • hxxps://home.cbonline.co.uk/login.html*
  • hxxps://welcome27.co-operativebank.co.uk/CBIBSWeb/start.do
  • hxxps://welcome23.smile.co.uk/SmileWeb/start.do
  • hxxps://www.halifax-online.co.uk/_mem_bin/formslogin.asp*
  • hxxps://www2.bancopopular.es/AppBPE/servlet/servin*
  • hxxps://www.bancoherrero.com/es/*
  • hxxps://pastornetparticulares.bancopastor.es/SrPd*
  • hxxps://intelvia.cajamurcia.es/2043/entrada/01entradaencrip.htm
  • hxxps://www.caja-granada.es/cgi-bin/INclient_2031
  • hxxps://www.fibancmediolanum.es/BasePage.aspx*
  • hxxps://carnet.cajarioja.es/banca3/tx0011/0011.jsp
  • hxxps://www.cajalaboral.com/home/acceso.asp
  • hxxps://www.cajasoldirecto.es/2106/*
  • hxxps://www.clavenet.net/cgi-bin/INclient_7054
  • hxxps://www.cajavital.es/Appserver/vitalnet*
  • hxxps://banca.cajaen.es/Jaen/INclient.jsp
  • hxxps://www.cajadeavila.es/cgi-bin/INclient_6094
  • hxxps://www.caixatarragona.es/esp/sec_1/oficinacodigo.jsp
  • hxxp://caixasabadell.net/banca2/tx0011/0011.jsp
  • hxxps://www.caixaontinyent.es/cgi-bin/INclient_2045
  • hxxps://www.caixalaietana.es/cgi-bin/INclient_2042
  • hxxps://www.cajacirculo.es/ISMC/Circulo/acceso.jsp
  • hxxps://areasegura.banif.es/bog/bogbsn*
  • hxxps://www.bgnetplus.com/niloinet/login.jsp
  • hxxps://www.caixagirona.es/cgi-bin/INclient_2030*
  • hxxps://www.unicaja.es/PortalServlet*
  • hxxps://www.sabadellatlantico.com/es/*
  • hxxps://oi.cajamadrid.es/CajaMadrid/oi/pt_oi/Login/login
  • hxxps://www.cajabadajoz.es/cgi-bin/INclient_6010*
  • hxxps://extranet.banesto.es/npage/OtrosLogin/LoginIBanesto.htm
  • hxxps://montevia.elmonte.es/cgi-bin/INclient_2098*
  • hxxps://www.cajacanarias.es/cgi-bin/INclient_6065
  • hxxps://oie.cajamadridempresas.es/CajaMadrid/oie/pt_oie/Login/login_oie_1
  • hxxps://www.gruppocarige.it/grps/vbank/jsp/login.jsp
  • hxxps://bancopostaonline.poste.it/bpol/bancoposta/formslogin.asp
  • hxxps://privati.internetbanking.bancaintesa.it/sm/login/IN/box_login.jspe
  • hxxps://hb.quiubi.it/newSSO/x11logon.htm
  • hxxps://www.iwbank.it/private/index_pub.jhtml*
  • hxxps://web.secservizi.it/siteminderagent/forms/login.fcc
  • hxxps://www.isideonline.it/relaxbanking/sso.Login*

また、システム起動時に自身を実行するため、以下の場所にRUN項目を作成する可能性があります。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • {ランダムなUID} = %AppData%\[ランダムな名前のフォルダ]\[ランダムなファイル名]
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
  • "Userinit" = "%System%\userinit.exe, %System%\sdra64.exe"

また、以下のレジストリ項目を追加、改変して、Internet Explorerのセキュリティ設定を確認します。

  • HKEY_USERS\Software\Microsoft\Internet Explorer\Privacy CleanCookies = 0x00000000
  • HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0 1609 = 0x00000000
  • HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1 1406 = 0x00000000
  • HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1 1609 = 0x00000000
  • HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2 1609 = 0x00000000
  • HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3 1406 = 0x00000000
  • HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3 1609 = 0x00000000
  • HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4 1406 = 0x00000000
  • HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4 1609 = 0x00000000

---2012年1月31日更新---

W32/Zbotは感染ファイルです。感染ファイルには、システム時刻に基づいてランダムにURLを生成するコードが組み込まれています。また、PEファイルに感染する可能性があります。

URLは以下の形式で生成されます。

  • hxxp://[ランダムな名前].biz/forum/
  • hxxp://[ランダムな名前].info/forum/
  • hxxp://[ランダムな名前].org/forum/
  • hxxp://[ランダムな名前].net/forum/
  • hxxp://[ランダムな名前].com/forum/

実行時、リモートポート80を介して、以下のURLまたはIPアドレスに接続しようとします。

  • hxxp://amm[削除]fupr.com/forum/
  • hxxp://amm[削除]ozqfupr.net/forum/
  • hxxp://biw[削除]molrj.info/forum/
  • hxxp://biw[削除]lpnmolrj.org/forum/
  • hxxp://blm[削除]pwdequr.biz/forum/
  • hxxp://blm[削除]pwdequr.info/forum/
  • hxxp://cvm[削除]psbvot.biz/forum/
  • hxxp://cvm[削除]bvot.com/forum/
  • hxxp://cxn[削除]vuyov.biz/forum/
  • hxxp://cxnq[削除]yvuyov.com/forum/
  • hxxp://czng[削除]ztoor.biz/forum/
  • hxxp://czng[削除]ztoor.info/forum/
  • hxxp://dhh[削除]ebdos.net/forum/
  • hxxp://dhh[削除]bdos.org/forum/
  • hxxp://dhjzh[削除]zho.info/forum/
  • hxxp://dhjz[削除]kozho.org/forum/
  • hxxp://dlk[削除]xxjm.biz/forum/
  • hxxp://dlktq[削除]jm.org/forum/
  • hxxp://dmsts[削除]orn.com/forum/
  • hxxp://dmst[削除]ugorn.info/forum/
  • hxxp://dnu[削除]rpwfgckks.biz/forum/
  • hxxp://dnutw[削除]fgckks.info/forum/
  • hxxp://dzwt[削除]nqdzp.biz/forum/
  • hxxp://dzwtq[削除]nqdzp.com/forum/
  • hxxp://edfo[削除]ppxrmpvm.com/forum/
  • hxxp://edfom[削除]xrmpvm.info/forum/
  • hxxp://ees[削除]pttq.info/forum/
  • hxxp://eesl[削除]oospttq.org/forum/
  • hxxp://efulhs[削除]mv.biz/forum/
  • hxxp://eful[削除]nsmv.com/forum/
  • hxxp://erq[削除]koyisfex.com/forum/
  • hxxp://erqij[削除]yisfex.net/forum/
  • hxxp://esnh[削除]ublvxo.biz/forum/
  • hxxp://esn[削除]mublvxo.org/forum/
  • hxxp://ezx[削除]ivrls.biz/forum/
  • hxxp://ez[削除]qpivrls.org/forum/
  • hxxp://fer[削除]qyuqhxuw.info/forum/
  • hxxp://ferm[削除]yuqhxuw.org/forum/
  • hxxp://fghpyl[削除].com/forum/
  • hxxp://fgh[削除]wcpyllo.info/forum/
  • hxxp://fgls[削除]nmostu.com/forum/
  • hxxp://fgls[削除]mostu.net/forum/
  • hxxp://fhzy[削除]stpkqsv.com/forum/
  • hxxp://fh[削除]sllstpkqsv.info/forum/
  • hxxp://filqo[削除]nkudr.info/forum/
  • hxxp://filqo[削除].org/forum/
  • hxxp://foui[削除]kmiltw.com/forum/
  • hxxp://fouic[削除]kmiltw.info/forum/
  • hxxp://fps[削除]ukoomll.biz/forum/
  • hxxp://fpss[削除]ukoomll.info/forum/
  • hxxp://fsqwp[削除]rqnxf.com/forum/
  • hxxp://fsqwp[削除]nxf.info/forum/

また、以下のファイルをシステムにドロップ(作成)します。

  • %Temp%\tmp143.tmp
  • %Temp%\tmp144.tmp
  • %Temp%\tmp145.tmp
--2010年1月19日更新---

ファイル情報

  • MD5 - 93eb83774f21ac712f7766d458601761
  • SHA1 - 6fcd7da5c7ef5817fe5038265b87dafba82574f7

「W32/Zbot」はパスワードを盗み出すリモートアクセス型トロイの木馬です。

・Internet ExplorerおよびMozilla Firefoxが使用するAPIにフックし、ユーザが特定のWebサイトにアクセスすると、ログインに必要な資格情報を盗み出します。構成ファイルがリモートサーバからダウンロードされる可能性があります。また、収集されたデータが電子メールサーバに送信されます。

以下のファイルをドロップ(作成)します。

  • %AppData%\Veagne\esun.exe

また、以下のファイルがシステムに追加されます。

  • %AppData%\Microsoft\Address Book\[ユーザ名].wab
  • %AppData%\Microsoft\Address Book\[ユーザ名].wab~
  • %AppData%\Ipyr\uhhae.tmp

以下のプロセスのアドレス空間にコードを挿入して自身の存在を隠し、209.85.[削除]に接続します。

  • explorer.exe
  • ctfmon.exe
  • wscntfy.exe

以下のレジストリキーが追加されます。

  • HKEY_USERS\S-1-[不定]\Identities\{64DD4488-B7D5-4C11-8D65-6BAF648A65EB}\Software\Microsoft\Outlook Express\5.0\Mail
  • HKEY_USERS\S-1-[不定]\Identities\{64DD4488-B7D5-4C11-8D65-6BAF648A65EB}\Software\Microsoft\Outlook Express\5.0\News
  • HKEY_USERS\S-1-[不定]\Identities\{64DD4488-B7D5-4C11-8D65-6BAF648A65EB}\Software\Microsoft\Outlook Express\5.0\Rules
  • HKEY_USERS\S-1-[不定]\Identities\{64DD4488-B7D5-4C11-8D65-6BAF648A65EB}\Software\Microsoft\Outlook Express\5.0\Rules\Mail
  • HKEY_USERS\S-1-[不定]\Identities\{64DD4488-B7D5-4C11-8D65-6BAF648A65EB}\Software\Microsoft\Outlook Express\5.0\Trident
  • HKEY_USERS\S-1-[不定]\Identities\{64DD4488-B7D5-4C11-8D65-6BAF648A65EB}\Software\Microsoft\Outlook Express\5.0\Trident\Main
  • HKEY_USERS\S-1-[不定]\Identities\{64DD4488-B7D5-4C11-8D65-6BAF648A65EB}\Software\Microsoft\Outlook Express\5.0\Trident\Settings
  • HKEY_USERS\S-1-[不定]\Software\Microsoft\Internet Explorer\Privacy
  • HKEY_USERS\S-1-[不定]\Software\Microsoft\Internet Account Manager
  • HKEY_USERS\S-1-[不定]\Software\Microsoft\Internet Account Manager\Accounts
  • HKEY_USERS\S-1-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Active Directory GC
  • HKEY_USERS\S-1-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Bigfoot
  • HKEY_USERS\S-1-[不定]\Software\Microsoft\Internet Account Manager\Accounts\VeriSign
  • HKEY_USERS\S-1-[不定]\Software\Microsoft\Internet Account Manager\Accounts\WhoWhere
  • HKEY_USERS\S-1-[不定]\Software\Microsoft\Ohevt
  • HKEY_USERS\S-1-[不定]\Software\Microsoft\WAB
  • HKEY_USERS\S-1-[不定]\Software\Microsoft\WAB\WAB4
  • HKEY_USERS\S-1-[不定]\Software\Microsoft\WAB\WAB4\Wab File Name

以下のレジストリ値が追加されます。

  • HKEY_USERS \S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Run\
    {012F2CDD-D90E-7A2A-8AF9-ECEA0955AB07} = "%AppData%\ Veagne\esun.exe

上記のレジストリ項目により、Windowsが起動するたびにW32/Zbotが実行されるようにします。

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\ %Windir%\explorer.exe: " %Windir% \explorer.exe:*:Enabled:Windows Explorer"
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\WhoWhere\
    LDAP Server ID: 0x00000003
    Account Name: "WhoWhere Internet Directory Service"
    LDAP Server: "ldap.whowhere.com"
    LDAP URL: "http://www.whowhere.com"
    LDAP Search Return: 0x00000064
    LDAP Timeout: 0x0000003C
    LDAP Authentication: 0x00000000
    LDAP Simple Search: 0x00000001
    LDAP Logo: "%ProgramFiles%\Common Files\Services\whowhere.bmp"
  • HKEY_USERS\S-1-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Bigfoot\LDAP Server ID: 0x00000001
    Account Name: "Bigfoot Internet Directory Service"
    LDAP Server: "ldap.bigfoot.com"
    LDAP URL: "http://www.bigfoot.com"
    LDAP Search Return: 0x00000064
    LDAP Timeout: 0x0000003C
    LDAP Authentication: 0x00000000
    LDAP Simple Search: 0x00000001
    LDAP Logo: "%ProgramFiles%\Common Files\Services\bigfoot.bmp"
  • HKEY_USERS\S-1-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Active Directory GC\LDAP Server ID: 0x00000000
    Account Name: "Active Directory"
    LDAP Server: "NULL"
    LDAP Search Return: 0x00000064
    LDAP Timeout: 0x0000003C
    LDAP Authentication: 0x00000002
    LDAP Simple Search: 0x00000000
    LDAP Bind DN: 0x00000000
    LDAP Port: 0x00000CC4
    LDAP Resolve Flag: 0x00000001
    LDAP Secure Connection: 0x00000000
    LDAP User Name: "NULL"
    LDAP Search Base: "NULL"
  • HKEY_USERS\S-1-[不定]\Software\Microsoft\Internet Account Manager\Accounts\
    PreConfigVer: 0x00000004
    PreConfigVerNTDS: 0x00000001
    ConnectionSettingsMigrated: 0x00000001

以下のフォルダが追加されます。

  • %AppData%\Veagne
  • %AppData%\ Ipyr
  • %UserProfile%\Local Settings\Application Data\Identities
  • %UserProfile%\Local Settings\Application Data\Identities\{64DD4488-B7D5-4C11-8D65-6BAF648A65EB}
  • %UserProfile%\Local Settings\Application Data\Identities\{64DD4488-B7D5-4C11-8D65-6BAF648A65EB}\Microsoft
  • %UserProfile%\Local Settings\Application Data\Identities\{64DD4488-B7D5-4C11-8D65-6BAF648A65EB}\Microsoft\Outlook Express

[注: %WinDir% = \WINDOWS (Windows 9x/ME/XP/Vista), \WINNT (Windows NT/2000), %ProgramFiles% = \ProgramFiles, UserProfile% = C:\Documents and Settings\[ユーザ名], %AppData% = \Documents and Settings\[ユーザ名]\Application Data]


--2010年1月17日更新 --

ファイル情報

  • MD5 - DAA1027308F82778134F3EAD4D988531
  • SHA - 0D681AC95E759C6C6F10EB116E9618F9E822A767

W32/ZbotはWindows実行ファイルに感染し、他の悪質なファイルをダウンロードしようとするウイルスです。

実行時、以下のファイルをドロップ(作成)します。

  • %Temp%\tmp10.tmp
  • %Temp%\tmp11.tmp
  • %Temp%\tmp12.tmp
  • %Temp%\tmp13.tmp
  • %Temp%\tmpA.tmp
  • %Temp%\tmpB.tmp

W32/Zbotは自身が生成したURLからファイルをダウンロードしようとします。ドメイン名はシステム時刻に基づいて生成されます。

以下のドメインに接続しようとします。

  • lhsypksnkb[削除]mjje.info
  • lhsypksnkb[削除]mjje.com
  • nwtvqozxwj[削除]pni.net
  • nwtvqozxwj[削除]pni.org
  • mgywiqojso[削除]veg.biz
  • mgywiqojs[削除]veg.com
  • ktgqpkpnu[削除]ztg.org
  • ktgqpkpnu[削除]ztg.com
  • krsjppityq[削除]xuq.info
  • krsjppity[削除]xuq.biz
  • ulmnusnqs[削除]nnl.net
  • ulmnusnqs[削除]gnnl.com
  • fdnvsmjw[削除]oxp.info
  • fdnvsmjw[削除]xp.com
  • ptdtogfst[削除]xuzuu.biz
  • ptdtogf[削除]xuzuu.org
  • rkthgwnl[削除]golpa.info
  • rkthgwnl[削除]jgolpa.com
  • sxvife[削除]hnm.org
  • sxvifer[削除]hnm.biz
  • umjjktfz[削除]uqqofv.info
  • umjjktfzk[削除]qqofv.org
  • rivou[削除]kotp.net
  • rivourjn[削除]kotp.com
  • gkplpur[削除]djt.biz
  • gkplpu[削除]udjt.com
  • cguuzptf[削除]zrein.net
  • cguuzpt[削除]rein.org
  • usnhwypt[削除]jkv.info
  • usnhwyp[削除]pjkv.biz
  • xrjrmpm[削除]jdo.org
  • xrjrmpmp[削除]jdo.com
  • xtvjxwgmt[削除]tr.info

[%UserProfile%はc:\Documents and Settings\Administrator\、%Temp%はC:\Documents and Settings\Administrator\Local Settings\Temp\、%SystemDrive%はオペレーティングシステムがインストールされているドライブで、通常はC:\]


-- 2010年11月11日更新 --

・他のファイルに感染できる亜種が発見されました。感染したコードにはランダムなドメインを生成するアルゴリズムが組み込まれています。

・HTTPリクエストのフォーマットは以下のとおりです。

  • http://randomdomainname/forum/

「W32/Zbot」はパスワードを盗み出すリモートアクセス型トロイの木馬です。

・Internet ExplorerおよびMozilla Firefoxが使用するAPIにフックし、ユーザが特定のWebサイトにアクセスすると、ログインに必要な資格情報を盗み出します。構成ファイルがリモートサーバからダウンロードされる可能性があります。また、収集されたデータが電子メールサーバに送信されます。

以下のファイルをドロップ(作成)します。

  • %AppData%\Qogyr\riic.exe

また、以下のファイルがシステムに追加されます。

  • %AppData%\Microsoft\Address Book\[ユーザ名].wab
  • %AppData%\Microsoft\Address Book\[ユーザ名].wab~
  • %AppData%\Avic\koofe.ivk
  • %AppData%\Avic\koofe.tmp

以下のプロセスのアドレス空間にコードを挿入して自身の存在を隠し、xaltwnuty[削除].infoに接続します。

  • explorer.exe
  • ctfmon.exe
  • wscntfy.exe

以下のWindows APIにフックして、機密データを収集します。

  • HttpSendRequestExA
  • HttpSendRequestExW
  • InternetSetStatusCallbackA
  • InternetQueryDataAvailable
  • InternetReadFileExA
  • HttpSendRequestW
  • GetUrlCacheEntryInfoW
  • InternetSetStatusCallbackW
  • HttpAddRequestHeadersW
  • HttpAddRequestHeadersA
  • InternetSetCookieA
  • TranslateMessage
  • GetClipboardData
  • PFXImportCertStore

ターゲットコンピュータから以下の機密情報を盗み出します。

  • キャッシュパスワード
  • 証明書
  • IEのクッキー

また、キー入力を記録し、乗っ取ったシステムのスナップショットを撮影します。

以下のレジストリキーが追加されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DownloadManager
  • HKEY_USERS\[S-1-不定]\Identities\{EBA1757B-EB14-4E48-8CE7-3AA790B4FB28}\Software\Microsoft\Outlook Express\5.0\Mail
  • HKEY_USERS\[S-1-不定]\Identities\{EBA1757B-EB14-4E48-8CE7-3AA790B4FB28}\Software\Microsoft\Outlook Express\5.0\News
  • HKEY_USERS\[S-1-不定]\Identities\{EBA1757B-EB14-4E48-8CE7-3AA790B4FB28}\Software\Microsoft\Outlook Express\5.0\Rules
  • HKEY_USERS\[S-1-不定]\Identities\{EBA1757B-EB14-4E48-8CE7-3AA790B4FB28}\Software\Microsoft\Outlook Express\5.0\Rules\Mail
  • HKEY_USERS\[S-1-不定]\Identities\{EBA1757B-EB14-4E48-8CE7-3AA790B4FB28}\Software\Microsoft\Outlook Express\5.0\Trident
  • HKEY_USERS\[S-1-不定]\Identities\{EBA1757B-EB14-4E48-8CE7-3AA790B4FB28}\Software\Microsoft\Outlook Express\5.0\Trident\Main
  • HKEY_USERS\[S-1-不定]\Identities\{EBA1757B-EB14-4E48-8CE7-3AA790B4FB28}\Software\Microsoft\Outlook Express\5.0\Trident\Settings
  • HKEY_USERS\[S-1-不定]\Software\Microsoft\Internet Explorer\Privacy
  • HKEY_USERS\[S-1-不定]\Software\Microsoft\Ikixg
  • HKEY_USERS\[S-1-不定]\Software\Microsoft\Internet Account Manager
  • HKEY_USERS\[S-1-不定]\Software\Microsoft\Internet Account Manager\Accounts
  • HKEY_USERS\[S-1-不定]\Software\Microsoft\Internet Account Manager\Accounts\Active Directory GC
  • HKEY_USERS\[S-1-不定]\Software\Microsoft\Internet Account Manager\Accounts\Bigfoot
  • HKEY_USERS\[S-1-不定]\Software\Microsoft\Internet Account Manager\Accounts\VeriSign
  • HKEY_USERS\[S-1-不定]\Software\Microsoft\Internet Account Manager\Accounts\WhoWhere
  • HKEY_USERS\[S-1-不定]\Software\Microsoft\WAB
  • HKEY_USERS\[S-1-不定]\Software\Microsoft\WAB\WAB4
  • HKEY_USERS\[S-1-不定]\Software\Microsoft\WAB\WAB4\Wab File Name

以下のレジストリ値が追加されます。

  • HKEY_USERS \S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Run\
    {1E2D2803-F1E8-7A2D-A097-4214038F05F9} = "%AppData% \Qogyr\riic.exe"

上記のレジストリ項目により、Windowsが起動するたびにW32/Zbotが実行されるようにします。

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\ %Windir%\explorer.exe: " %Windir% \explorer.exe:*:Enabled:Windows Explorer"
  • HKEY_USERS\S-1-5-[不定]\Software\Microsoft\Internet Account Manager\Accounts\WhoWhere\
LDAP Server ID: 0x00000003
Account Name: "WhoWhere Internet Directory Service"
LDAP Server: "ldap.whowhere.com"
LDAP URL: "http://www.whowhere.com"
LDAP Search Return: 0x00000064
LDAP Timeout: 0x0000003C
LDAP Authentication: 0x00000000
LDAP Simple Search: 0x00000001
LDAP Logo: "%ProgramFiles%\Common Files\Services\whowhere.bmp"
  • HKEY_USERS\S-1-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Bigfoot\LDAP Server ID: 0x00000001
Account Name: "Bigfoot Internet Directory Service"
LDAP Server: "ldap.bigfoot.com"
LDAP URL: "http://www.bigfoot.com"
LDAP Search Return: 0x00000064
LDAP Timeout: 0x0000003C
LDAP Authentication: 0x00000000
LDAP Simple Search: 0x00000001
LDAP Logo: "%ProgramFiles%\Common Files\Services\bigfoot.bmp"
  • HKEY_USERS\S-1-[不定]\Software\Microsoft\Internet Account Manager\Accounts\Active Directory GC\LDAP Server ID: 0x00000000
Account Name: "Active Directory"
LDAP Server: "NULL"
LDAP Search Return: 0x00000064
LDAP Timeout: 0x0000003C
LDAP Authentication: 0x00000002
LDAP Simple Search: 0x00000000
LDAP Bind DN: 0x00000000
LDAP Port: 0x00000CC4
LDAP Resolve Flag: 0x00000001
LDAP Secure Connection: 0x00000000
LDAP User Name: "NULL"
LDAP Search Base: "NULL"
  • HKEY_USERS\S-1-[不定]\Software\Microsoft\Internet Account Manager\Accounts\
PreConfigVer: 0x00000004
PreConfigVerNTDS: 0x00000001
ConnectionSettingsMigrated: 0x00000001

以下のフォルダが追加されます。

  • %AppData%\Avic
  • %AppData%\Qogyr
  • %AppData%\Microsoft\Address Book
[注: %WinDir% = \WINDOWS (Windows 9x/ME/XP/Vista), \WINNT (Windows NT/2000) %AppData% = \Documents and Settings\Administrator\Application Data]

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • 上記のレジストリキーおよびファイルが存在します。
  • 「firefox.exe」プロセスに悪質なコードを挿入し、悪質な活動を行います。

感染方法TOPへ戻る

・ウイルスは自己複製します。多くの場合、ネットワーク、またはリムーバブルディスク、書き込み可能なCD、USBドライブなどのリムーバブルメディアへの送信によって拡散されます。また、ネットワークファイルシステム、他のコンピュータと共有されているファイルシステムのファイルに感染して、拡散する可能性があります。

駆除方法TOPへ戻る
脅威と危険と思われる要素を取り除くため、サポートされているすべてのWindowsに対して以下の処置を行ってください。
  1. システムリストアを無効にしてください。(Windows ME/XPのみ)
  2. 脅威の検出・駆除のために最新のエンジンとDATにアップデートしてください。
  3. Complete system scanを実行してください。
システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

通常の修正が成功しなかった場合、サンプルを McAfee Labsまで送付してください。