製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:XYZ
ウイルス情報
ウイルス名危険度
ZeroAccess.ds.gen.a
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
6765
対応定義ファイル
(現在必要とされるバージョン)
6775 (現在7548)
対応エンジン5.2.00以降 (現在5600) 
エンジンバージョンの見分け方
別名Microsoft - TrojanDropper:Win32/Sirefef.B Kaspersky - Trojan-Dropper.Win32.ZAccess, Backdoor.Win32.ZAccess Norman - W32/ZAccess.F, W32/Zbot.WTG Symantec - Trojan.Zeroaccess Sophos - Troj/ZAccess-F, Mal/Zbot-CX F-Secure - Gen:Variant.Kazy.28752, Trojan.Generic.KD.348130
情報掲載日2012/07/12
発見日(米国日付)2012/07/07
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
08/31PWS-Mmorpg.g...
08/31Generic.tfr!...
08/31PWS-Mmorpg.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7548
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・ZeroAccess.ds.gen.aはWindowsオペレーティングシステムに感染可能なルートキットです。ここ数カ月でマシンの感染方法に大きな変化が見られます。以前、ZeroAccessは、システム起動時に昇格された権限で動作するため、システムファイルを自身のカーネルモードコンポーネントに書き換えることにより、カーネルに感染していましたが、このバージョンにはカーネルモードコンポーネントは存在せず、完全にユーザ空間で動作します。

・通常、ZeroAccessは悪質な実行ファイルによってシステムにインストールされます。ZeroAccessのドロッパが実行されると、ルートキットをインストールし、以下の動作を実行します。

ウイルスの特徴TOPに戻る

・実行時、以下の名前を持つdllをドロップ(作成)します。

  • %WINDIR%\Installer\<GUID>\n
  • %USERPROFILE%\Local Settings\Application Data\<GUID>\n

・dllはsvchost.exe、explorer.exeに挿入されます。

・実行時、ZeroAccess.ds.gen.aは、UDPプロトコルを使って、以下のIPアドレスに接続します。

  • 212.178.[削除].255
  • 105.136.[削除].70
  • 186.122.[削除].72
  • 72.145.[削除].77
  • 37.143.[削除].78
  • 196.46.[削除].81
  • 95.158.[削除].210
  • 163.121.[削除].209
  • 201.83.[削除].209
  • 46.230.[削除].208
  • 77.254.[削除].255
  • 213.222.[削除].255
  • 176.237.[削除].255
  • 32.300.[削除].255

・以下のレジストリキーが作成されます。

  • HKEY_CURRENT_USER\Software\Classes\clsid\<VALUE>: "%USERPROFILE%\Local Settings\Application Data\<GUID>\n."

・以下のレジストリキーと値が改変されます。

  • HKCR\CLSID\{GUID}\InprocServer32:%systemroot%\system32\wbem\wbemess.dll
  • HKCR\CLSID\{GUID}\InprocServer32:%\.\globalroot\systemroot\Installer\<GUID>\n

・上記のレジストリにより、WMIと呼ばれるWindowsのコアマネジメントの一部であるwbemess.dllの代わりにZeroAccess.ds.gen.aがロードされるようにします。

・Windows 7およびVistaでは、services.exeに存在する704バイトのScRegisterTCPEndpoint関数に悪質なコードを上書きします。

・上記の画像により、services.exeの関数を上書きします。

・NTFSレコードの拡張属性に悪質なコンテンツを格納します。

・上記の画像はNTFSの拡張属性です。

・感染したservices.exeがロードされると、悪質なコードは実際に悪質なコードが存在する拡張属性を読み取ります。

・上記の画像には、EAのハッシュをチェックしてロードする関数が表示されています。

・また、Windowsが同じアドレスでservices.exeをロードさせるASLR機能をservices.exeから取り除きます。

・上記の画像にはASLRが表示されていません。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

感染方法TOPへ戻る

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。