製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:XYZ
ウイルス情報
ウイルス名危険度
ZeroAccess-FCCR
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
7102
対応定義ファイル
(現在必要とされるバージョン)
7102 (現在7568)
対応エンジン5.4.00.1158以降 (現在5600) 
エンジンバージョンの見分け方
別名Microsoft - TrojanDropper:Win32/Sirefef.gen!E Nod32 - a variant of Win32/Kryptik.BCVU Kaspersky - Backdoor.Win32.ZAccess.ckdy Ikarus - Trojan-Dropper.Win32.Sirefef
情報掲載日2013/06/13
発見日(米国日付)2013/06/10
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
09/20Generic Back...
09/20GenericR-CBX...
09/20RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7568
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・ZeroAccess.HRはWindowsオペレーティングシステムに感染可能なルートキットです。ここ数カ月でマシンの感染方法に大きな変化が見られます。以前、ZeroAccessは、システム起動時に昇格された権限で動作するため、システムファイルを自身のカーネルモードコンポーネントに書き換えることにより、カーネルに感染していましたが、このバージョンにはカーネルモードコンポーネントは存在せず、完全にユーザ空間で動作します。

ウイルスの特徴TOPに戻る

・「ZeroAccess-FCCR!325D950D1C39」は自身を隠すために使用されるルートキットです。多くの場合、悪質なWebサイトにアクセスしたときにダウンロードされ、インストールされます(ドライブバイダウンロード攻撃)。これにより、他の悪質なファイルがダウンロードされます。サービス拒否(DoS)、分散DoS(DDoS)を仕掛けることができます。また、ポート番号16464に接続します。

・「ZeroAccess-FCCR!325D950D1C39」はシステムファイアウォール、プロキシ、Windowsセキュリティセンターサービスを無効にします。

・実行時、以下のIPに接続しようとします。

  • 50.[削除].70
  • 209.[削除].176
  • 194.[削除].3
  • 79.[削除].41
  • 89.[削除].42
  • 115.[削除].254
  • 197.[削除].254
  • 117.[削除].254
  • 190.[削除].254
  • 119.[削除].254
  • 184.[削除].254
  • 134.[削除].254
  • 183.[削除].254
  • 135.[削除].254
  • 182.[削除].254
  • 158.[削除].254
  • 180.[削除].254
  • 166.[削除].254
  • 181.[削除].31
  • 85.[削除].51
  • 189.[削除].55
  • 186.[削除].29
  • 121.[削除].63
  • 99.[削除].64
  • 78.[削除].64
  • 208.[削除].75
  • 77.[削除].76
  • 190.[削除].78
  • 177.[削除].252
  • 89.[削除].251
  • 182.[削除].78
  • 87.[削除].78
  • 68.[削除].82
  • 79.[削除].83
  • 24.[削除].85
  • 1.[削除].92
  • 66.[削除].102
  • 50.[削除].104
  • 91.[削除].247
  • 111.[削除].18
  • 79.[削除].110
  • 89.[削除].113
  • 188.[削除].1
  • 188.[削除].115
  • 194.[削除].119
  • 123.[削除].231
  • 219.[削除].126
  • 82.[削除].230
  • 72.[削除].229
  • 101.[削除].129
  • 114.[削除].130
  • 69.[削除].4
  • 165.[削除].131
  • 96.[削除].227
  • 1.[削除].33
  • 117.[削除].172
  • 175.[削除].179
  • 96.[削除].191
  • 114.[削除].192
  • 98.[削除].6
  • 79.[削除].195
  • 111.[削除].219
  • 151.[削除].203
  • 103.[削除].217
  • 118.[削除].204
  • 83.[削除].207
  • 77.[削除].207
  • 71.[削除].210
  • 24.[削除].208
  • 68.[削除].207
  • 114.[削除].211
  • 90.[削除].213
  • 71.[削除].8
  • 114.[削除].206
  • 205.[削除].206
  • 190.[削除].205
  • 190.[削除].9
  • 118.[削除].9
  • 177.[削除].217
  • 68.[削除].219
  • 99.[削除].203
  • 97.[削除].203
  • 76.[削除].221
  • 14.[削除].195
  • 24.[削除].221
  • 82.[削除].222
  • 76.[削除].11
  • 108.[削除].186

・実行時、以下の場所にファイルをドロップ(作成)します。

  • %SYSTEMDRIVE%\RECYCLER\S-1-5-18\$6576a1a85f9fdb0e20568660563a58ee\@
  • %SYSTEMDRIVE%\RECYCLER\S-1-5-18\$6576a1a85f9fdb0e20568660563a58ee\n
  • %SYSTEMDRIVE%\RECYCLER\S-1-5-21-1454471165-515967899-839522115-1003\$6576a1a85f9fdb0e20568660563a58ee\@
  • %SYSTEMDRIVE%\RECYCLER\S-1-5-21-1454471165-515967899-839522115-1003\$6576a1a85f9fdb0e20568660563a58ee\n

・実行時、以下の場所にフォルダを作成します。

  • %SYSTEMDRIVE%\RECYCLER\S-1-5-18\$6576a1a85f9fdb0e20568660563a58ee
  • %SYSTEMDRIVE%\RECYCLER\S-1-5-18\$6576a1a85f9fdb0e20568660563a58ee\L
  • %SYSTEMDRIVE%\RECYCLER\S-1-5-18\$6576a1a85f9fdb0e20568660563a58ee\U
  • %SYSTEMDRIVE%\RECYCLER\S-1-5-21-1454471165-515967899-839522115-1003\$6576a1a85f9fdb0e20568660563a58ee\L
  • %SYSTEMDRIVE%\RECYCLER\S-1-5-21-1454471165-515967899-839522115-1003\$6576a1a85f9fdb0e20568660563a58ee\U

・以下はシステムに追加されるレジストリキーです。

  • HKEY_USER\S-1-5-[不定]\Software\Classes\clsid
  • HKEY_USER\S-1-5-[不定]\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}
  • HKEY_USER\S-1-5-[不定]\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InprocServer32
  • HKEY_USER\S-1-5-[不定]_Classes\clsid
  • HKEY_USER\S-1-5-[不定]_Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}
  • HKEY_USER\S-1-5-[不定]_Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InprocServer32

・以下はシステムに追加されるレジストリ値です。

  • HKEY_USER\S-1-5-[不定]\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InprocServer32\ThreadingModel: "Both"
  • HKEY_USER\S-1-5-[不定]\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InprocServer32\: "%SYSTEMDRIVE%\RECYCLER\S-1-5-21-436374069-1757981266-839522115-1003\$ced07345897550b34e1a3a0bc5c4d8b6\n."
  • HKEY_USER\S-1-5-[不定]_Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InprocServer32\ThreadingModel: "Both"
  • HKEY_USER\S-1-5-[不定]_Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InprocServer32\: "%SYSTEMDRIVE%\RECYCLER\S-1-5-21-436374069-1757981266-839522115-1003\$ced07345897550b34e1a3a0bc5c4d8b6\n."

・上記のレジストリにより、ZeroAccess-FCCRが乗っ取ったシステムに登録され、再起動のたびに実行されるようにします。

・以下はシステムで改変されるレジストリ値です。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32\: "%SYSTEMDRIVE%\WINDOWS\system32\wbem\fastprox.dll"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32\: "%SYSTEMDRIVE%\RECYCLER\S-1-5-18\$ced07345897550b34e1a3a0bc5c4d8b6\n."

・以下はシステムから削除されるレジストリ値です。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHAREDACCESS\0000\
  • Service: "SharedAccess"
  • Legacy: 0x00000001
  • ConfigFlags: 0x00000020
  • Class: "LegacyDriver"
  • ClassGUID: "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
  • DeviceDes%SYSTEMDRIVE%\ "Windows Firewall/Internet Connection Sharing (ICS)"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHAREDACCESS\NextInstance: 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WSCSVC\0000\Control\
  • ActiveService: "wscsvc"
  • Service: "wscsvc"
  • Legacy: 0x00000001
  • ConfigFlags: 0x00000020
  • Class: "LegacyDriver"
  • ClassGUID: "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
  • DeviceDes%SYSTEMDRIVE%\ "Security Center"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WSCSVC\NextInstance: 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\DependOnGroup: 00
  • DependOnService: 'Netman WinMgmt'
  • Description: "Provides network address translation, addressing, name resolution and/or intrusion prevention services for a home or small office network."
  • DisplayName: "Windows Firewall/Internet Connection Sharing (ICS)"
  • ErrorControl: 0x00000001
  • ImagePath: "%SystemRoot%\system32\svchost.exe -k netsvcs"
  • ObjectName: "LocalSystem"
  • Start: 0x00000002
  • Type: 0x00000020
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch\Epoch: 0x000000B6
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List\%windir%\system32\sessmgr.exe: "%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\%windir%\system32\sessmgr.exe: "%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\EnableFirewall: 0x00000000
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\ServiceDll: "%SystemRoot%\System32\ipnathlp.dll"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate\All: 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\ServiceUpgrade: 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum\
  • 0: "Root\LEGACY_SHAREDACCESS\0000"
  • Count: 0x00000001
  • NextInstance: 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum\
  • 0: "Root\LEGACY_WSCSVC\0000"
  • Count: 0x00000001
  • NextInstance: 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security\Security: [バイナリデータ]
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters\ServiceDll: "%SYSTEMROOT%\system32\wscsvc.dll"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\
  • Type: 0x00000020
  • Start: 0x00000002
  • ErrorControl: 0x00000001
  • ImagePath: "%SystemRoot%\System32\svchost.exe -k netsvcs"
  • DisplayName: "Security Center"
  • DependOnService: 'RpcSs winmgmt'
  • ObjectName: "LocalSystem"
  • Description: "Monitors system security settings and configurations."

・上記のレジストリ項目により、ファイアウォールおよびWindowsセキュリティに関連する項目を削除し、共有アクセスサービスを無効にします。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・上記の活動が見られます。

感染方法TOPへ戻る

・通常、ZeroAccessはさまざまなソースからマシンに届くドロッパコンポーネントによってインストールされます。

マシンに感染する一般的な方法のひとつは、アプリケーションをクラックするのに使う小さな実行ファイルをダウンロードして実行することです。これらのクラックツールは、クラックされたアプリケーションを配布しているさまざまなWebサイトで見つけることができます。また、これらのサイトでは、悪質なファイルやエクスプロイトも配布されているため、感染する可能性を下げるため、見知らぬWebサイトにはアクセスしないようにしてください。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。