製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:XYZ
ウイルス情報
ウイルス名危険度
ZeroAccess.fn
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
6775
対応定義ファイル
(現在必要とされるバージョン)
6779 (現在7535)
対応エンジン5.2.00以降 (現在5600) 
エンジンバージョンの見分け方
別名Microsoft: TrojanDropper:Win32/Sirefef.B Kaspersky: Trojan-Dropper.Win32.ZAccess, Backdoor.Win32.ZAccess Norman: W32/ZAccess.F, W32/Zbot.WTG Symantec: Trojan.Zeroaccess Sophos: Troj/ZAccess-F, Mal/Zbot-CX F-Secure: Gen:Variant.Kazy.28752, Trojan.Generic.KD.348130
情報掲載日2012/07/20
発見日(米国日付)2012/07/17
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
08/18W32/Expiro!7...
08/18GenericR-AXH...
08/18Generic.dx!B...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7535
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・ZeroAccessはWindowsオペレーティングシステムに感染可能なルートキットです。感染すると、Windowsのシステムファイルを上書きし、自身を隠すため、カーネルフックをインストールします。フックをインストールすると、ターゲットのオペレーティングシステムがZeroAccessの管理下に置かれ、ルートキットはプロセス、ファイル、ネットワーク接続を隠し、ファイルやプロセスにアクセスするため、セキュリティツールを強制終了することができるようになります。ZeroAccessは32ビット、64ビットの両方のWindowsオペレーティングシステムに感染することが確認されています。

・ZeroAccessはシステムファイルにパッチを当て、悪質なコードをロードします。オリジナルのファイルの内容が上書きされますが、オリジナルのシステムファイルはZeroAccessが作成する暗号化された仮想ファイルシステムに保管されます。仮想ファイルシステムは怪しまれないようなファイル名でディスクに格納されます。

・ここ数カ月でマシンの感染方法に大きな変化が見られます。以前、ZeroAccessは、システム起動時に昇格された権限で動作するため、システムファイルを自身のカーネルモードコンポーネントに書き換えることにより、カーネルに感染していましたが、このバージョンにはカーネルモードコンポーネントは存在せず、完全にユーザ空間で動作します。

・ZeroAccessは現在、Windows VistaおよびWindows 7の重要なWindowsコンポーネントであるservices.exeを悪質なコードで上書きします。上書きされたコードは他の悪質なコンポーネントをロードします。

・通常、ZeroAccessは悪質な実行ファイルによってシステムにインストールされます。ZeroAccessのドロッパが実行されると、ルートキットをインストールし、以下の動作を実行します。

ウイルスの特徴TOPに戻る

・ZeroAccessは通常、人気のあるアプリケーションのクラッキングツールを装う悪質な実行ファイルにより、システムにインストールされます。このドロッパが実行されると、以下の動作を実行します。

  • ZeroAccessは%SYSTEMROOT%\system32\config\]<ランダム>またはc:\windows\prefetch\<ランダム>にランダムな名前でファイルを作成します。このファイルは、構成ファイルなど、動作に必要なファイルを格納する際に使う、仮想暗号化ファイルシステムの格納に使われます。
  • ZeroAccessはランダムに選ばれたシステムドライバファイルにパッチを当てます。パッチを当てたファイルを、ZeroAccessを再起動するメカニズムとして使用し、システム起動時に悪質なカーネルコンポーネントをロードします。
    オリジナルのシステムドライバファイルは仮想ファイルシステム内に格納されます。ZeroAccessは、このファイルを使って、md5、デジタル署名など、ファイルコピーを含むディスクのオリジナルファイルの情報にアクセスするため、正規の情報を提供します。
  • また、トリップワイヤーデバイスも作成します。このデバイスは通常のファイルを装っていますが、アクセスされると、ルートキット保護ルーチンを起動します。
  • 古い亜種では、//\\??\Global\systemroot\system32\svchost.exe">\\??\Global\systemroot\system32\svchost.exeのような名前が使われていました。
  • 新しい亜種では、Alternate Data Stream(ADS)にインストールされます。
    注:ADSは複数のデータストリームをファイルと関連づけることができるNTFSの構造です。これらのADSはfilename.ext:adsnameのような名前のファイルによってアクセスされます。ADSの詳細はマイクロソフトのWebサイト(http://msdn.microsoft.com/en-us/library/aa364404.aspx)を参照してください。
  • ルートキットのトリップワイヤーデバイスのADSは通常、%SYSTEMROOT%\<ランダムな数字>:<ランダムな数字>.exeという名前でインストールされます。
    例:
    %SYSTEMROOT%\3155945044:2870600771.exe
    (%SYSTEMROOT%はWindowsがインストールされているフォルダで、通常はC:\Window)
  • サービスを作成し、サービスのImagePathキーがトリップワイヤーデバイスを指すようにし、システムが起動するたびにZeroAccessが動作するようにします。
  • トリップワイヤーファイルまたはメモリ内のプロセスがセキュリティツールによってアクセスされると、ルートキットのカーネルコンポーネントがカーネルからプロセスを強制終了します。
  • 新しい亜種では、プロセスの強制終了に加えて、すべてのNTFSの許可を問題のファイルから削除します。これにより、セキュリティ関連のツールとコンポーネントを無効にしようとします。
  • 最近の亜種の中には、ファイルを格納するため、c:\windows\$NtUninstallKB<ランダム>$という名前の隠しフォルダを作成するものもあります。

・新しい亜種は、自身のユーザモードのフックを実装するため、以下の動作を実行します。

  • 以下の名前を持つdllをドロップ(作成)します。
    %WINDIR%\Installer\<GUID>\n
    %USERPROFILE%\Local Settings\Application Data\<GUID>\n
  • DLLはsvchost.exe、explorer.exeに挿入されます。
  • Windows VistaおよびWindows 7では、services.exeに存在する704バイトのScRegisterTCPEndpoint関数に悪質なコードを上書きします。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

感染方法TOPへ戻る

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。