ウイルス情報

ウイルス名 危険度

ZeroAccess.en

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
6751
対応定義ファイル
(現在必要とされるバージョン)
6755 (現在7656)
対応エンジン 5.2.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 Ikarus - Trojan-Ransom.Win32.Birele NOD32 - Win32/Sirefef.EV Kaspersky - HEUR:Trojan.Win32.Generic Microsoft - Trojan:Win32/Sirefef.AB
情報掲載日 2012/06/29
発見日(米国日付) 2012/06/13
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・ZeroAccess.enはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

TOPへ戻る

ウイルスの特徴

・ZeroAccessは高度なルートキットを使って自身を隠すトロイの木馬です。多くの場合、悪質なWebサイトにアクセスしたときにダウンロードされ、インストールされます(ドライブバイダウンロード攻撃)。

・ZeroAccess.enには、リモートアクセス接続処理、サービス拒否(DoS)または分散DoS(DDoS)攻撃、キーボード入力の収集、ファイルやオブジェクトの削除、プロセスの終了といった機能が組み込まれています。

・以下の場所に以下のファイルを作成します。

  • %windir%\assembly\GAC\Desktop.ini

・また、以下のフォルダをシステムに追加します。

  • %windir%\assembly
  • %windir%\assembly\GAC
  • %windir%\assembly\GAC_MSIL

・以下のレジストリキーが追加されます。

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{36FC9E60-C465-11CF-8056-444553540000}\0007
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}\0003
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F}\0003
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\SNL HiveManager
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\Windows\CurrentVersion\Controls Folder
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{755b213c-be6c-11e1-9f83-000c29d7cda1}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{29D3773E-54F4-23C2-D523-236A4453B845}_is1

・以下のレジストリ値が追加されます。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\SNL HiveManager\EventMessageFile: ""
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\SNL HiveManager\TypesSupported: 0x00000007
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\SNL HiveManager\CategoryMessageFile: ""
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\SNL HiveManager\CategoryCount: 0x00000002
  • HKEY_USER\S-1-[不定]\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\ITBarLayout: 11 00 00 00 4C 00 00 00 00 00 00 00 24 00 00 00 1B 00 00 00 52 00 00 00 01 00 00 00 20 07 00 00 A0 0F 00 00 05 00 00 00 62 05 00 00 26 00 00 00 02 00 00 00 21 07 00 00 A0 0F 00 00 04 00 00 00 21 01 00
  • HKEY_USER\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{755b213c-be6c-11e1-9f83-000c29d7cda1}\BaseClass: "Drive"

・また、以下のレジストリ値が改変されます。

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\Sources: 'SNL HiveManager WSH WMIAdapter WmdmPmSp WinMgmt Winlogon Windows Product Activation Windows 3.1 Migration WebClient VSS vmtools VBRuntime Userinit Userenv UploadM Tlntsvr SysmonLog SpoolerCtrs Software Installation SclgNtfy SceSrv
    SceCli safrslv SAFrdms PerfProc PerfOS PerfNet Perfmon Perflib PerfDisk Perfctrs Offline Files Oakley ntbackup MsiInstaller MSDTC Client MSDTC mnmsrvc Microsoft H.323 Telephony Service Provider LoadPerf HelpSvc Folder Redirection File Deployment EventSystem ESENT EAPOL DrWatson DiskQuota crypt32 COM+ Ci Chkdsk AutoEnrollment Autochk Application Management Application Hang Application Error Application'
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001\
    LibraryPath = "%SystemRoot%\System32\mswsock.dll"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001\
    LibraryPath = "mswsock.dll"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003\
    LibraryPath = "%SystemRoot%\System32\mswsock.dll"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003\
    LibraryPath ="mswsock.dll"

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・上記のファイルおよびレジストリの活動が見られます。

TOPへ戻る

感染方法

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、スパムメールなどを通じて配布されます。

TOPへ戻る

駆除方法

全ての Windows ユーザー

脅威と危険と思われる要素を取り除くため、サポートされているすべてのWindowsに対して以下の処置を行ってください。
  1. システムリストアを無効にしてください。
  2. 脅威の検出・駆除のために最新のエンジンとDATにアップデートしてください。
  3. Complete system scanを実行してください。
    システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます
  4. 回復コンソールでクリーンなMBRに修復してください。

Windows XPの場合

CD-ROM ドライブに Windows XP CD-ROM を挿入し、コンピュータを再起動します。
「セットアップの開始」 画面が表示されたら、R キーを押して回復コンソールを起動します。
対象となるWindowsのインストールを選択し、管理者パスワードを入力してください。
マスタ ブート レコードを修復するfixmbrコマンドを発行します。
画面上の指示に従ってください。
CD-ROM ドライブからCDを取り出しリセットしてください。


Windows Vista および 7 の場合

CD-ROM ドライブに Windows CD-ROM を挿入し、コンピュータを再起動します。
「コンピュータを修復する」をクリックします。
[システム回復オプション] ダイアログ ボックスで、[コマンド プロンプト] を選択します。
マスタ ブート レコードを修復するbootrec /fixmbrコマンドを発行します。
画面上の指示に従ってください。
CD-ROM ドライブからCDを取り出しリセットしてください。

TOPへ戻る