製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:XYZ
ウイルス情報
ウイルス名危険度
ZeroAccess.en
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
6751
対応定義ファイル
(現在必要とされるバージョン)
6755 (現在7507)
対応エンジン5.2.00以降 (現在5600) 
エンジンバージョンの見分け方
別名Ikarus - Trojan-Ransom.Win32.Birele NOD32 - Win32/Sirefef.EV Kaspersky - HEUR:Trojan.Win32.Generic Microsoft - Trojan:Win32/Sirefef.AB
情報掲載日2012/06/29
発見日(米国日付)2012/06/13
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/21Generic.tfr!...
07/21RDN/Generic ...
07/21Downloader.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7507
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・ZeroAccess.enはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

ウイルスの特徴TOPに戻る

・ZeroAccessは高度なルートキットを使って自身を隠すトロイの木馬です。多くの場合、悪質なWebサイトにアクセスしたときにダウンロードされ、インストールされます(ドライブバイダウンロード攻撃)。

・ZeroAccess.enには、リモートアクセス接続処理、サービス拒否(DoS)または分散DoS(DDoS)攻撃、キーボード入力の収集、ファイルやオブジェクトの削除、プロセスの終了といった機能が組み込まれています。

・以下の場所に以下のファイルを作成します。

  • %windir%\assembly\GAC\Desktop.ini

・また、以下のフォルダをシステムに追加します。

  • %windir%\assembly
  • %windir%\assembly\GAC
  • %windir%\assembly\GAC_MSIL

・以下のレジストリキーが追加されます。

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{36FC9E60-C465-11CF-8056-444553540000}\0007
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}\0003
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F}\0003
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\SNL HiveManager
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\Windows\CurrentVersion\Controls Folder
  • HKEY_USER\S-1-5-[不定]\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{755b213c-be6c-11e1-9f83-000c29d7cda1}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{29D3773E-54F4-23C2-D523-236A4453B845}_is1

・以下のレジストリ値が追加されます。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\SNL HiveManager\EventMessageFile: ""
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\SNL HiveManager\TypesSupported: 0x00000007
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\SNL HiveManager\CategoryMessageFile: ""
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\SNL HiveManager\CategoryCount: 0x00000002
  • HKEY_USER\S-1-[不定]\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\ITBarLayout: 11 00 00 00 4C 00 00 00 00 00 00 00 24 00 00 00 1B 00 00 00 52 00 00 00 01 00 00 00 20 07 00 00 A0 0F 00 00 05 00 00 00 62 05 00 00 26 00 00 00 02 00 00 00 21 07 00 00 A0 0F 00 00 04 00 00 00 21 01 00
  • HKEY_USER\S-1-[不定]\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{755b213c-be6c-11e1-9f83-000c29d7cda1}\BaseClass: "Drive"

・また、以下のレジストリ値が改変されます。

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\Sources: 'SNL HiveManager WSH WMIAdapter WmdmPmSp WinMgmt Winlogon Windows Product Activation Windows 3.1 Migration WebClient VSS vmtools VBRuntime Userinit Userenv UploadM Tlntsvr SysmonLog SpoolerCtrs Software Installation SclgNtfy SceSrv
    SceCli safrslv SAFrdms PerfProc PerfOS PerfNet Perfmon Perflib PerfDisk Perfctrs Offline Files Oakley ntbackup MsiInstaller MSDTC Client MSDTC mnmsrvc Microsoft H.323 Telephony Service Provider LoadPerf HelpSvc Folder Redirection File Deployment EventSystem ESENT EAPOL DrWatson DiskQuota crypt32 COM+ Ci Chkdsk AutoEnrollment Autochk Application Management Application Hang Application Error Application'
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001\
    LibraryPath = "%SystemRoot%\System32\mswsock.dll"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001\
    LibraryPath = "mswsock.dll"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003\
    LibraryPath = "%SystemRoot%\System32\mswsock.dll"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003\
    LibraryPath ="mswsock.dll"

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・上記のファイルおよびレジストリの活動が見られます。

感染方法TOPへ戻る

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、スパムメールなどを通じて配布されます。

駆除方法TOPへ戻る

全ての Windows ユーザー

脅威と危険と思われる要素を取り除くため、サポートされているすべてのWindowsに対して以下の処置を行ってください。
  1. システムリストアを無効にしてください。
  2. 脅威の検出・駆除のために最新のエンジンとDATにアップデートしてください。
  3. Complete system scanを実行してください。
    システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます
  4. 回復コンソールでクリーンなMBRに修復してください。

Windows XPの場合

CD-ROM ドライブに Windows XP CD-ROM を挿入し、コンピュータを再起動します。
「セットアップの開始」 画面が表示されたら、R キーを押して回復コンソールを起動します。
対象となるWindowsのインストールを選択し、管理者パスワードを入力してください。
マスタ ブート レコードを修復するfixmbrコマンドを発行します。
画面上の指示に従ってください。
CD-ROM ドライブからCDを取り出しリセットしてください。


Windows Vista および 7 の場合

CD-ROM ドライブに Windows CD-ROM を挿入し、コンピュータを再起動します。
「コンピュータを修復する」をクリックします。
[システム回復オプション] ダイアログ ボックスで、[コマンド プロンプト] を選択します。
マスタ ブート レコードを修復するbootrec /fixmbrコマンドを発行します。
画面上の指示に従ってください。
CD-ROM ドライブからCDを取り出しリセットしてください。