製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:XYZ
ウイルス情報
ウイルス名危険度
ZeroAccess
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
6462
対応定義ファイル
(現在必要とされるバージョン)
6598 (現在7508)
対応エンジン5.4.00以降 (現在5600) 
エンジンバージョンの見分け方
別名F-Secure - Trojan.Clicker.NAE Kaspersky - Trojan.Win32.Genome.adags Microsoft - Trojan:Win32/Sirefef.J NOD32 - Win32/Sirefef.DV
情報掲載日2012/02/24
発見日(米国日付)2011/09/07
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/22RDN/Generic....
07/22RDN/Generic....
07/22Generic.tfr!...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7508
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・ルートキットとは、ファイル、プロセス、レジストリキー、ネットワーク接続を隠す、どのマルウェアでも使用可能なプログラムです。ZeroAccess.aはこのような悪質プログラムのひとつです。ウイルスと異なり、ZeroAccessは自己複製しません。ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

ウイルスの特徴TOPに戻る

--2012年1月30日更新---

・「ZeroAccess」はWindowsオペレーティングシステムに感染可能なルートキットです。感染すると、Windowsのシステムファイルを上書きし、自身を隠すため、カーネルフックをインストールします。フックをインストールすると、ターゲットのオペレーティングシステムがZeroAccessの管理下に置かれ、ルートキットはプロセス、ファイル、ネットワーク接続を隠し、ファイルやプロセスにアクセスするため、セキュリティツールを強制終了することができるようになります。ZeroAccessは32ビット、64ビットの両方のWindowsオペレーティングシステムに感染することが確認されています。

・ZeroAccessはシステムファイルにパッチを当て、悪質なコードをロードします。オリジナルのファイルの内容が上書きされますが、オリジナルのシステムファイルはZeroAccessが作成する暗号化された仮想ファイルシステムに保管されます。仮想ファイルシステムは怪しまれないようなファイル名でディスクに格納されます。

・通常、ZeroAccessは悪質な実行ファイルによってシステムにインストールされます。ZeroAccessのドロッパが実行されると、ルートキットをインストールし、以下の動作を実行します。

・ZeroAccessは感染したユーザのインターネットでの検索結果を改変し、Webサイトの所有者にペイパークリックの広告収入をもたらします。

・ZeroAccessは以下のサイトに接続します。

  • hxxp://[削除].fling.com/geo/txt/city.php
  • hxxp://prom[削除]ing.com/geo/txt/city.php

・また、以下のフォルダを作成します。

%WinDir%\assembly\GAC_MSIL\
注: [%WinDir%\ -C:\Windows]

・ZeroAccessに関する詳細は ZeroAccess.a のウイルス情報を参照してください。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・ZeroAccessのファイル、レジストリ、ネットワーク通信については、「ウイルスの特徴」を参照してください。

感染方法TOPへ戻る

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電子メールなどを通じて配布されます。

駆除方法TOPへ戻る

全ての Windows ユーザー

脅威と危険と思われる要素を取り除くため、サポートされているすべてのWindowsに対して以下の処置を行ってください。
  1. システムリストアを無効にしてください。
  2. 脅威の検出・駆除のために最新のエンジンとDATにアップデートしてください。
  3. Complete system scanを実行してください。
    システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます
  4. 回復コンソールでクリーンなMBRに修復してください。

Windows XPの場合

CD-ROM ドライブに Windows XP CD-ROM を挿入し、コンピュータを再起動します。
「セットアップの開始」 画面が表示されたら、R キーを押して回復コンソールを起動します。
対象となるWindowsのインストールを選択し、管理者パスワードを入力してください。
マスタ ブート レコードを修復するfixmbrコマンドを発行します。
画面上の指示に従ってください。
CD-ROM ドライブからCDを取り出しリセットしてください。


Windows Vista および 7 の場合

CD-ROM ドライブに Windows CD-ROM を挿入し、コンピュータを再起動します。
「コンピュータを修復する」をクリックします。
[システム回復オプション] ダイアログ ボックスで、[コマンド プロンプト] を選択します。
マスタ ブート レコードを修復するbootrec /fixmbrコマンドを発行します。
画面上の指示に従ってください。
CD-ROM ドライブからCDを取り出しリセットしてください。