ウイルス情報

ウイルス名 危険度

ZeroAccess

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
6462
対応定義ファイル
(現在必要とされるバージョン)
6598 (現在7634)
対応エンジン 5.4.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 F-Secure - Trojan.Clicker.NAE Kaspersky - Trojan.Win32.Genome.adags Microsoft - Trojan:Win32/Sirefef.J NOD32 - Win32/Sirefef.DV
情報掲載日 2012/02/24
発見日(米国日付) 2011/09/07
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・ルートキットとは、ファイル、プロセス、レジストリキー、ネットワーク接続を隠す、どのマルウェアでも使用可能なプログラムです。ZeroAccess.aはこのような悪質プログラムのひとつです。ウイルスと異なり、ZeroAccessは自己複製しません。ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

TOPへ戻る

ウイルスの特徴

--2012年1月30日更新---

・「ZeroAccess」はWindowsオペレーティングシステムに感染可能なルートキットです。感染すると、Windowsのシステムファイルを上書きし、自身を隠すため、カーネルフックをインストールします。フックをインストールすると、ターゲットのオペレーティングシステムがZeroAccessの管理下に置かれ、ルートキットはプロセス、ファイル、ネットワーク接続を隠し、ファイルやプロセスにアクセスするため、セキュリティツールを強制終了することができるようになります。ZeroAccessは32ビット、64ビットの両方のWindowsオペレーティングシステムに感染することが確認されています。

・ZeroAccessはシステムファイルにパッチを当て、悪質なコードをロードします。オリジナルのファイルの内容が上書きされますが、オリジナルのシステムファイルはZeroAccessが作成する暗号化された仮想ファイルシステムに保管されます。仮想ファイルシステムは怪しまれないようなファイル名でディスクに格納されます。

・通常、ZeroAccessは悪質な実行ファイルによってシステムにインストールされます。ZeroAccessのドロッパが実行されると、ルートキットをインストールし、以下の動作を実行します。

・ZeroAccessは感染したユーザのインターネットでの検索結果を改変し、Webサイトの所有者にペイパークリックの広告収入をもたらします。

・ZeroAccessは以下のサイトに接続します。

  • hxxp://[削除].fling.com/geo/txt/city.php
  • hxxp://prom[削除]ing.com/geo/txt/city.php

・また、以下のフォルダを作成します。

%WinDir%\assembly\GAC_MSIL\
注: [%WinDir%\ -C:\Windows]

・ZeroAccessに関する詳細は ZeroAccess.a のウイルス情報を参照してください。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・ZeroAccessのファイル、レジストリ、ネットワーク通信については、「ウイルスの特徴」を参照してください。

TOPへ戻る

感染方法

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電子メールなどを通じて配布されます。

TOPへ戻る

駆除方法

全ての Windows ユーザー

脅威と危険と思われる要素を取り除くため、サポートされているすべてのWindowsに対して以下の処置を行ってください。
  1. システムリストアを無効にしてください。
  2. 脅威の検出・駆除のために最新のエンジンとDATにアップデートしてください。
  3. Complete system scanを実行してください。
    システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます
  4. 回復コンソールでクリーンなMBRに修復してください。

Windows XPの場合

CD-ROM ドライブに Windows XP CD-ROM を挿入し、コンピュータを再起動します。
「セットアップの開始」 画面が表示されたら、R キーを押して回復コンソールを起動します。
対象となるWindowsのインストールを選択し、管理者パスワードを入力してください。
マスタ ブート レコードを修復するfixmbrコマンドを発行します。
画面上の指示に従ってください。
CD-ROM ドライブからCDを取り出しリセットしてください。


Windows Vista および 7 の場合

CD-ROM ドライブに Windows CD-ROM を挿入し、コンピュータを再起動します。
「コンピュータを修復する」をクリックします。
[システム回復オプション] ダイアログ ボックスで、[コマンド プロンプト] を選択します。
マスタ ブート レコードを修復するbootrec /fixmbrコマンドを発行します。
画面上の指示に従ってください。
CD-ROM ドライブからCDを取り出しリセットしてください。

TOPへ戻る