製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:XYZ
ウイルス情報
ウイルス名危険度
ZeroAccess.a
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
6440
対応定義ファイル
(現在必要とされるバージョン)
6450 (現在7401)
対応エンジン5.4.00以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日2011/08/18
発見日(米国日付)2011/08/16
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
03/31RDN/Generic....
03/31StartPage-NY...
03/31PWS-Banker.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7401
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・ルートキットとは、ファイル、プロセス、レジストリキー、ネットワーク接続を隠す、どのマルウェアでも使用可能なプログラムです。ZeroAccess.aはこのような悪質プログラムのひとつです。ウイルスと異なり、ZeroAccessは自己複製しません。ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

ウイルスの特徴TOPに戻る

・ZeroAccessはWindowsオペレーティングシステムに感染可能なルートキットです。感染すると、Windowsのシステムファイルを上書きし、自身を隠すため、カーネルフックをインストールします。フックをインストールすると、ターゲットのオペレーティングシステムがZeroAccessの管理下に置かれ、ルートキットはプロセス、ファイル、ネットワーク接続を隠し、ファイルやプロセスにアクセスするため、セキュリティツールを強制終了することができるようになります。ZeroAccessは32ビット、64ビットの両方のWindowsオペレーティングシステムに感染することが確認されています。

・ZeroAccessはシステムファイルにパッチを当て、悪質なコードをロードします。オリジナルのファイルの内容が上書きされますが、オリジナルのシステムファイルはZeroAccessが作成する暗号化された仮想ファイルシステムに保管されます。仮想ファイルシステムは怪しまれないようなファイル名でディスクに格納されます。

・通常、ZeroAccessは悪質な実行ファイルによってシステムにインストールされます。ZeroAccessのドロッパが実行されると、ルートキットをインストールし、以下の動作を実行します。

注:このマルウェアの詳細はこちらのThreat Advisoryのページを参照してください。

以下のファイルがZeroAccessによって変更または作成されます。

  • ZeroAccessは%SYSTEMROOT%\system32\config\[ランダム]<ランダム>またはc:\windows\prefetch\[ランダム]<ランダム>にランダムな名前でファイルを作成します。このファイルは、構成ファイルなど、動作に必要なファイルを格納するのに使う、仮想暗号化ファイルシステムを格納するのに使われます。
  • 最近の亜種の中には、ファイルを格納するため、c:\windows\$NtUninstallKB[ランダム]<ランダム>$という名前の隠しフォルダを作成するものもあります。
  • ZeroAccessはランダムに選ばれたシステムドライバファイルにパッチを当てます。パッチを当てたファイルをZeroAccessを再起動するメカニズムとして使用し、システム起動時に悪質なカーネルコンポーネントをロードします。
  • システムをスキャンするセキュリティツールを検出するために監視するトリップワイヤファイルを作成します。トリップワイヤに触れたプロセスはすべて終了されます。以下の通り、このファイルはシステムデバイスまたはADS(代替データストリーム)として作成される場合があります。
    \\??\Global\systemroot\system32\svchost.exe\svchost.exe
    %SYSTEMROOT%\[ランダム]<ランダムな数字>:[ランダム]<ランダムな数字>.exe
(%SYSTEMROOT%はWindowsがインストールされているフォルダで、通常はC:\Window)

以下のレジストリキーが変更または作成されます。

  • サービスを作成し、サービスのImagePathキーが上記のファイルを指すようにし、システムが起動するたびにZeroAccessが動作するようにします。以下はキーの一例です。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\54e61bbc\Type: 0x00000001
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\54e61bbc\Start: 0x00000003
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\54e61bbc\ImagePath: "\systemroot\3155945044:2870600771.exe"
  • また、以下のキーを作成する場合があります。
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{f8cec7e5-22d1-631d-b463-054fb5b74060}

・新しい亜種は、プロセスを強制終了する以外に、(DACLを改変して)問題のファイルからすべてのNTFS許可を削除し、Image File Execution Optionをインストールして、ファイルの実行を無効化します。これにより、セキュリティ関連のツールとコンポーネントを無効にしようとします。

ネットワーク活動

・ZeroAccessはインストールおよびユーザの活動をリモートサーバに報告します。ルートキットは感染したマシンで動作しているすべてのツールのネットワーク接続を隠すため、システム管理者はネットワーク活動を監視するために外部の監視ツールを使用しなければならない場合があります。

・感染後、ZeroAccessはHTTPリクエストを使ってインストールおよびシステムの活動を報告します。これらのリクエストは通常、ポート80に対して行われますが、亜種の中には、ポート8083を使って通信するものもあります。

・リクエストの特徴は以下のとおりです。

GET /stat2.php?w=46&i=d5d6a3459af7a34558e98254eb873a62&a=11 HTTP/1.1
Host: <IPアドレス>
User-Agent: Opera/6 (Windows NT 5.1; U; LangID=416; x86)

GET /bad.php?w=109&fail=0&i=d5d6a3459af7a3457ce3916737df5160 HTTP/1.1
Connection: keep-alive
Host: <IPアドレス>
User-Agent: Opera/6 (Windows NT 5.1; U; LangID=416; x86)

・また、以下のユーザエージェントが使われる可能性があります。

GET /%s HTTP/1.0
Host: %s
User-Agent: NSIS_Inetc (Mozilla)

・テストでは、以下のIPアドレスへのアクセスが行われました。

  • 95.64.46.44
  • 193.105.154.210
  • 69.50.212.157
  • 85.17.226.180

ルートキットの動作

・ZeroAccessのルートキットコンポーネントは、高度な方法を使って自身を保護し、自身を検出、駆除しようとするセキュリティツールを無効化します。

・セキュリティツールがディスクの監視ファイルまたはメモリのサービスプロセスにアクセスしようとすると、ZeroAccessはアクセス試行を特定し、自身の保護システムを起動します。

・保護のため、カーネルモードからプロセスを強制終了しますが、これはあらゆるタイプのセキュリティツールに対して有効です。

・また、ZeroAccessはシステムAPIにフックします。以下は、一般提供されているGMERツールが作成したログに記載されていたフックの一例です。

-- Kernel code sections - GMER 1.0.15 ----
.text  ntkrnlpa.exe!IoReuseIrp + 8B  804EE879 7 Bytes  CALL F60880F5
.text  atapi.sys               F850384D   7 Bytes CALL F60838F0
.text  mrxsmb.sys              F6D93000 107 Bytes [06, 0F, 83, 2D, B5, 00, 00, ...]
.text  mrxsmb.sys              F6D9306C 101 Bytes [EC, 8B, 45, 08, 8B, 40, 40, ...]
.text  mrxsmb.sys              F6D930D2  52 Bytes CALL 386296E7
.text  mrxsmb.sys              F6D93107  31 Bytes [90, 90, 90, 90, 90, FF, 25, ...]
.text  mrxsmb.sys              F6D93127  42 Bytes [F6, 42, 08, 80, 0F, 84, C5, ...]
?
-- Kernel IAT/EAT - GMER 1.0.15 ----
IAT \SystemRoot\system32\DRIVERS\mrxsmb.sys[HAL.dll!HalGetAdapter]         840FFC4D
IAT \SystemRoot\system32\DRIVERS\mrxsmb.sys[HAL.dll!IoWritePartitionTable] 00008258
IAT \SystemRoot\system32\DRIVERS\mrxsmb.sys[HAL.dll!HalDisplayString]      0F01FE83

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • 上記のファイルおよびレジストリキーが存在します。
  • 上記のネットワーク通信が存在します。
  • システムをスキャンすると、セキュリティツールが強制終了され、無効化されます。
  • プロセス/ファイルスキャンツールの予期しないDACLの改変が行われます。
  • 上記のシステムフックが存在します。

感染方法TOPへ戻る

・通常、ZeroAccessはさまざまなソースからマシンに届くドロッパコンポーネントによってインストールされます。マシンに感染する一般的な方法のひとつは、アプリケーションをクラックするのに使う小さな実行ファイルをダウンロードして実行することです。これらのクラックツールは、クラックされたアプリケーションを配布しているさまざまなWebサイトで見つけることができます。また、これらのサイトでは、悪質なファイルやエクスプロイトも配布されているため、感染する可能性を下げるため、見知らぬWebサイトにはアクセスしないようにしてください。

・最近の亜種の中には、偽のウイルス対策ソフトウェアやファイル感染ウイルスであるW32/Katushaと一緒に届くものもあります。ZeroAccessは、システムが再起動するたびにこれらのコンポーネントによってダウンロードされるため、取り除くのは非常に困難です。

駆除方法TOPへ戻る

・ZeroAccessの最新の亜種について、マカフィーはシグネチャによる保護を提供しています。最新のウイルス定義ファイルとエンジンがインストールされていることを確認してください。マカフィーなどのセキュリティ製品が無効化される最新の亜種については、以下の手動での駆除方法に従って駆除してください。ZeroAccess.aの駆除に役立つ単体のツールが近い将来に提供される予定です。

NTFSのフォルダ許可の変更

・ファイルまたはプロセスにアクセスしようとするセキュリティツールを強制終了する以外に、ZeroAccessの新しい亜種は、新しい保護方法により、セキュリティツールを無効化します。

プロセスの強制終了後、すべてのNTFS許可を削除して、ファイルが実行できないようにします。セキュリティツールを無効化するこの方法は、以前にも、W32/Pinkslipbot、W32/Simfectといったマルウェアで確認されています。 以下の手順により、ファイル許可を元に戻すことができます。

  1. 問題のファイルの親フォルダを右クリックし、[プロパティ]を選択します。
  2. ウィンドウが開いたら、[セキュリティ]タブを選択します。
  3. [詳細設定]をクリックします。
  4. 許可のリストの下に2つのチェックボックスがあります。[親フォルダの許可を継承する]のチェックボックスがチェックされている場合、チェックを外します。
  5. 再び[継承]ボックスにチェックを入れ、親フォルダから許可設定を継承します。
  6. ボックスをチェックして、許可設定を子オブジェクトにコピーします。これにより、ZeroAccessによって削除された許可が置き換えられます。
  7. 以下の手順を実行するまで、VSEを実行しないでください。再び強制終了されます。

手動での駆除手順

・パッチが当てられたシステムドライバによって悪質なコードがロードされます。手動でシステムの駆除を行うには、悪質な.SYSファイルを特定し、インストールメディアの正常なコピーに置き換える必要があります。

置き換えられたシステムドライバを特定するには、以下のツールが必要です。
  1. 最初に、他のマルウェアがZeroAccessをダウンロードしてインストールし、再感染するのを防ぐため、インターネット接続を切断する必要があります。
  2. GMERを実行し、ZeroAccessが監視するファイルとプロセスのスキャンを回避する、以下の赤い丸で囲まれたオプションを無効化します。
GRER options
  1. 青い丸で囲まれたオプションを有効にし、GMERにシステムのIRPフックをスキャンさせます。
  2. ルートキットスキャンを開始し、終了するまで待ちます。
  3. システムが感染している場合、黄色い丸で示されているように、パッチが当てられた.SYSファイルの名前が表示されるので、その名前をメモします。
  4. %SYSTEMROOT%\ServicePackFiles\i386フォルダで上記と同じ名前のファイルを探します。
  5. 上記のフォルダにファイルのコピーが存在する場合、ドライブCのルートにコピーします。コピーしたファイルは後で必要になります。
  6. 上記のフォルダにファイルが存在しない場合、インストールメディアまたはバージョンと言語が同じWindowsがインストールされている別のマシンからファイルをコピーする必要があります。
  7. BartPEなどの感染していないブートメディアまたは別のブートCDを使って、感染したマシンを起動します。
  8. 感染していないブートから、先にコピーした、ルートフォルダに格納されているファイルをパッチが当てられたシステムドライバの場所にコピーします。
    たとえば、c:\mrxsmb.sysをc:\windows\system32\drivers\mrxsmb.sysにコピーします。
  9. システムをセーフモードで再起動し、管理者としてログインします。
  10. ベータDATを使ってCSSCANコマンドラインツールを実行し、システムからトロイの木馬や感染ファイルを削除します。
    1. VSE 8.7: "C:\Program Files\McAfee\VirusScan Enterprise\csscan.exe" -All -Unzip -Program -Analyze -Sub -Clean -Log c:\scan-rpt.txt C:\
    2. VSE 8.8: “C:\Program Files\Common Files\McAfee\SystemCore\csscan.exe” -All -Unzip -Program -Analyze -Sub -Clean -Log c:\scan-rpt.txt C:\
    3. 他のマカフィー製品を利用している場合、単体ツールであるStingerを使用してください。
      Stingerを使用するには、ターゲットの「プロセス」と「レジストリ」が無効化され、Stingerの「List of all files scanned」インターフェースが有効になっていることを確認してから、感染マシンをスキャンしてください。
  11. Stingerの使用について詳しくはこちらを参照してください。
  12. 通常通り、システムを再起動します。
  13. 再びGMERを実行し、パッチが当てられたファイルの悪質なスレッドが存在していないことを確認します。

単体の駆除ツールの使用方法

・上記の他に、マカフィーは、お客様の感染マシンからZeroAccessルートキットを検出、駆除する単体ツールを提供しています。ツールはこちらからダウンロードできます。

注:マカフィーは、ZeroAccessの駆除を支援するため、この単体ツールを用意しました。マカフィーの品質保証部門はこのツールのバージョン0.60を最小限テストしていますが、マカフィーはこれらのファイルにエラーがないことを保証しません。

・ツールをテンポラリフォルダに解凍し、コマンドラインから実行します。ツールがマルウェアを検出、駆除すると、以下のような画像が表示されます。

・ZeroAccessは他のマルウェアと一緒に届くことが確認されています。よって、必要に応じて、ここにある最新のベータDATを使って、最新のシグネチャを入手してください。これらのファイルは、上記の手順(「手動での駆除手順」のステップ12)に記載されている通り、コマンドラインスキャナであるcsscan.exeと一緒に使用できます。