ウイルス情報

ウイルス名 危険度

ZeroAccess.ba

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
6582
対応定義ファイル
(現在必要とされるバージョン)
6595 (現在7634)
対応エンジン 5.3.01以降 (現在5600) 
エンジンバージョンの見分け方
別名 Kaspersky - Backdoor.Win32.ZAccess.bwd Microsoft - Trojan:Win32/Sirefef.J NOD32 - probably a variant of Win32/Sirefef.DV Sophos - Mal/Sirefef-K
情報掲載日 2012/01/12
発見日(米国日付) 2012/01/07
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・ルートキットとは、ファイル、プロセス、レジストリキー、ネットワーク接続を隠す、どのマルウェアでも使用可能なプログラムです。ZeroAccess.aはこのような悪質プログラムのひとつです。ウイルスと異なり、ZeroAccessは自己複製しません。ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

TOPへ戻る

ウイルスの特徴

ZeroAccess.baは、感染したユーザのインターネットの検索結果を改変し、Webサイトの所有者にペイパークリックの広告収入をもたらすZeroAccess.aのコンポーネントです。

・ZeroAccess.baは、ユーザに気づかれずに特定のWebサイトにアクセスして通信します。

・以下の例のように、特殊なHTTP GETリクエストをリモートサーバに送信し、他の悪質なファイルをダウンロードします。

[リモートサーバ]/p/task2.php?w=[データ列]&i=[データ列]&n=[データ列]

また、以下のプロセスに自身を挿入し、さらに悪質な活動を行います。

iexplorer.exe

firefox.exe

opera.exe

chrome.exe

safari.exe

maxthon.exe

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・ZeroAccess.baのファイル、レジストリ、ネットワーク通信については、「ウイルスの特徴」を参照してください。

TOPへ戻る

感染方法

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電子メールなどを通じて配布されます。

TOPへ戻る

駆除方法

全ての Windows ユーザー

脅威と危険と思われる要素を取り除くため、サポートされているすべてのWindowsに対して以下の処置を行ってください。
  1. システムリストアを無効にしてください。
  2. 脅威の検出・駆除のために最新のエンジンとDATにアップデートしてください。
  3. Complete system scanを実行してください。
    システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます
  4. 回復コンソールでクリーンなMBRに修復してください。

Windows XPの場合

CD-ROM ドライブに Windows XP CD-ROM を挿入し、コンピュータを再起動します。
「セットアップの開始」 画面が表示されたら、R キーを押して回復コンソールを起動します。
対象となるWindowsのインストールを選択し、管理者パスワードを入力してください。
マスタ ブート レコードを修復するfixmbrコマンドを発行します。
画面上の指示に従ってください。
CD-ROM ドライブからCDを取り出しリセットしてください。


Windows Vista および 7 の場合

CD-ROM ドライブに Windows CD-ROM を挿入し、コンピュータを再起動します。
「コンピュータを修復する」をクリックします。
[システム回復オプション] ダイアログ ボックスで、[コマンド プロンプト] を選択します。
マスタ ブート レコードを修復するbootrec /fixmbrコマンドを発行します。
画面上の指示に従ってください。
CD-ROM ドライブからCDを取り出しリセットしてください。

TOPへ戻る