製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- 主要ウイルスナビゲータ
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
- 無料セキュリティ情報サービス
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:XYZ
ウイルス情報
ウイルス名危険度
ZeroAccess.hr
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)		N/A
対応定義ファイル
(現在必要とされるバージョン)		6960 (現在7077)
対応エンジン5.4.00.1158以降 (現在5.4.00) 
エンジンバージョンの見分け方
別名Microsoft - Trojan:Win32/Sirefef.P Kaspersky - Backdoor.Win32.ZAccess.aseq Norman - W32/Troj_Generic.GIUXO F-Secure - Trojan.Generic.KDZ.2994
情報掲載日2013/01/22
発見日(米国日付)2012/10/23
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
05/15ZeroAccess!5...
05/15VBS/LoveLett...
05/15RDN/Generic ...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7077
 エンジン:5.4.00
 
ウイルス検索
 


概要TOPに戻る

・「ZeroAccess.hr」はWindowsオペレーティングシステムに感染可能なルートキットです。ここ数カ月でマシンの感染方法に大きな変化が見られます。以前、ZeroAccessは、システム起動時に昇格された権限で動作するため、システムファイルを自身のカーネルモードコンポーネントに書き換えることにより、カーネルに感染していましたが、このバージョンにはカーネルモードコンポーネントは存在せず、完全にユーザ空間で動作します。

「ZeroAccess.hr」は通常、悪質な実行ファイルによってシステムにインストールされます。ZeroAccessのドロッパが実行されると、ルートキットをインストールし、以下の動作を実行します。

ウイルスの特徴TOPに戻る

・実行時、以下のファイルをドロップ(作成)します。

  • %SYSTEMDRIVE%\RECYCLER\S-1-5-21-1708537768-606747145-725345543-500\$698a2431bf10457d451afdf8d202d9b0\@[ZeroAccess.b!envという名前で検出]
  • %SYSTEMDRIVE%\RECYCLER\S-1-5-21-1708537768-606747145-725345543-500\$698a2431bf10457d451afdf8d202d9b0\n.[ZeroAccess.b!envという名前で検出]
  • %SYSTEMDRIVE%\RECYCLER\S-1-5-18\$698a2431bf10457d451afdf8d202d9b0\@[ZeroAccess.b!envという名前で検出]
  • %SYSTEMDRIVE%\RECYCLER\S-1-5-18\$698a2431bf10457d451afdf8d202d9b0\n. [ZeroAccess.b!envという名前で検出]
  • %AppData%\Microsoft\Windows\UsrClass.dat.LOG

・次に、dllファイルである「n」がservices.exe、explorer.exeに挿入されます。

・ZeroAccess.hrの複数のインスタンスが作成されるのを防ぐため、「SHIMLIB_LOG_MUTEX」という名前のMutexを作成します。

・以下のIPアドレスに接続しようとします。

  • 10.2[削除]55
  • 101.6[削除]50
  • 109.5[削除]47
  • 115.2[削除]54
  • 117.2[削除]54
  • 134.2[削除]54
  • 135.2[削除]54
  • 142.1[削除]5
  • 173.1[削除]47
  • 173.3[削除]3
  • 180.2[削除]54
  • 182.2[削除]54
  • 190.2[削除]54
  • 194.1[削除]3
  • 206.2[削除]54
  • 212.2[削除]54
  • 213.2[削除]54
  • 222.2[削除]54
  • 24.1[削除]50
  • 24.1[削除]51
  • 24.9[削除]51
  • 31.1[削除]80
  • 31.1[削除]20
  • 31.1[削除]01
  • 46.1[削除]9
  • 50.2[削除]0
  • 66.8[削除]34
  • 68.2[削除]46
  • 68.3[削除]0
  • 68.5[削除]1
  • 68.5[削除]48
  • 71.1[削除]1
  • 71.2[削除]5
  • 71.2[削除]54
  • 72.2[削除]53
  • 75.1[削除]50
  • 76.1[削除]46
  • 77.2[削除]50
  • 81.1[削除]8
  • 82.4[削除]5
  • 87.2[削除]54
  • 88.2[削除]54
  • 91.2[削除]47
  • 92.2[削除]54
  • 98.2[削除]47

・以下のレジストリキーが作成されます。

  • HKEY_USERS\S-1-5-{不定}-500\Software\Classes\clsid
  • HKEY_USERS\S-1-5-{不定}-500\Software\Classes\clsid\{GUI}
  • HKEY_USERS\S-1-5-{不定}-500\Software\Classes\clsid\{GUI}\InprocServer32
  • HKEY_USERS\S-1-5-{不定}-500_Classes\clsid
  • HKEY_USERS\S-1-5-{不定}-500_Classes\clsid\{GUI}
  • HKEY_USERS\S-1-5-{不定}-500_Classes\clsid\{GUI}\InprocServer32

・以下のレジストリの値が追加されます。

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\DeleteFlag: 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\DeleteFlag: 0x00000001
  • HKEY_USERS\S-1-5-{不定}-500\Software\Classes\clsid\{GUI}\InprocServer32\ThreadingModel: "Both"
  • HKEY_USERS\S-1-5-{不定}-500\Software\Classes\clsid\{GUI}\InprocServer32\: "%systemdrive%\RECYCLER\S-1-5-{不定}-500\$698a2431bf10457d451afdf8d202d9b0\n."
  • HKEY_USERS\S-1-5-{不定}-500_Classes\clsid\{GUI}\InprocServer32\ThreadingModel: "Both"
  • HKEY_USERS\S-1-5-{不定}-500_Classes\clsid\{GUI}\InprocServer32\: "%systemdrive%\RECYCLER\S-1-5-{不定}-500\$698a2431bf10457d451afdf8d202d9b0\n."

・以下のレジストリの値が改変されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-7{不定}7F}\InprocServer32\: "%systemdrive%\RECYCLER\S-1-5-18\$698a2431bf10457d451afdf8d202d9b0\n."

・上記のレジストリにより、WMIと呼ばれるWindowsのコアマネジメントの一部である「wbemess.dll」の代わりにZeroAccess.hrがロードされるようにします。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\TracesProcessed: 0x0000000A
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\TracesSuccessful: 0x00000006
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-19\RefCount: 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\ErrorControl: 0x00000000
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Start: 0x00000004
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Enum\Count: 0x00000000
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Enum\NextInstance: 0x00000000
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\ErrorControl: 0x00000000
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Start: 0x00000004
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum\Count: 0x00000000
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum\NextInstance: 0x00000000

・以下のレジストリキーが削除されます。

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SHAREDACCESS\0000\Control
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WSCSVC\0000\Control
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Parameters
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Security
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Enum
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHAREDACCESS\0000\Control
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WSCSVC\0000\Control
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum

・以下のレジストリの値が削除されます。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Defender:” %systemdrive%\Program Files\Windows Defender\MSASCui.exe”

・ZeroAccess.hrはシステムにインストールされているセキュリティソフトウェアに関連するレジストリキーを削除します。

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SHAREDACCESS\0000\Control\ActiveService: "SharedAccess"
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SHAREDACCESS\0000\Service: "SharedAccess"
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SHAREDACCESS\0000\Legacy: 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SHAREDACCESS\0000\ConfigFlags: 0x00000020
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SHAREDACCESS\0000\Class: "LegacyDriver"
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SHAREDACCESS\0000\ClassGUID: "{GUI}"
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SHAREDACCESS\0000\DeviceDesc: "Windows Firewall/Internet Connection Sharing (ICS)"
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SHAREDACCESS\NextInstance: 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WSCSVC\0000\Control\ActiveService: "wscsvc"
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WSCSVC\0000\Service: "wscsvc"
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WSCSVC\0000\Legacy: 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WSCSVC\0000\ConfigFlags: 0x00000020
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WSCSVC\0000\Class: "LegacyDriver"
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WSCSVC\0000\ClassGUID: "{GUI}"
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WSCSVC\0000\DeviceDesc: "Security Center"
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WSCSVC\NextInstance: 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Epoch\Epoch: 0x00000046
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List\%windir%\system32\sessmgr.exe: "%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\%windir%\system32\sessmgr.exe: "%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\EnableFirewall: 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\ServiceDll: "%SystemRoot%\System32\ipnathlp.dll"
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate\All: 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Setup\ServiceUpgrade: 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Enum\0: "Root\LEGACY_SHAREDACCESS\0000"
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Enum\0: "Root\LEGACY_WSCSVC\0000"
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Enum\Count: 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Enum\NextInstance: 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Parameters\ServiceDll: "%SYSTEMROOT%\system32\wscsvc.dll"
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Type: 0x00000020
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Start: 0x00000002
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc\ErrorControl: 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc\ImagePath: "%SystemRoot%\System32\svchost.exe -k netsvcs"
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc\DisplayName: "Security Center"
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc\DependOnService: 'RpcSs winmgmt'
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc\ObjectName: "LocalSystem"
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Description: "Monitors system security settings and configurations."
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHAREDACCESS\0000\Control\ActiveService: "SharedAccess"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHAREDACCESS\0000\Service: "SharedAccess"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHAREDACCESS\0000\Legacy: 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHAREDACCESS\0000\ConfigFlags: 0x00000020
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHAREDACCESS\0000\Class: "LegacyDriver"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHAREDACCESS\0000\ClassGUID: "{GUI}"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHAREDACCESS\0000\DeviceDesc: "Windows Firewall/Internet Connection Sharing (ICS)"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHAREDACCESS\NextInstance: 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WSCSVC\0000\Control\ActiveService: "wscsvc"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WSCSVC\0000\Service: "wscsvc"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WSCSVC\0000\Legacy: 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WSCSVC\0000\ConfigFlags: 0x00000020
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WSCSVC\0000\Class: "LegacyDriver"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WSCSVC\0000\ClassGUID: "{GUI}"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WSCSVC\0000\DeviceDesc: "Security Center"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WSCSVC\NextInstance: 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch\Epoch: 0x00000046
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List\%windir%\system32\sessmgr.exe: "%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\%windir%\system32\sessmgr.exe: "%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\EnableFirewall: 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\ServiceDll: "%SystemRoot%\System32\ipnathlp.dll"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate\All: 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\ServiceUpgrade: 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum\0: "Root\LEGACY_SHAREDACCESS\0000"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum\0: "Root\LEGACY_WSCSVC\0000"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum\Count: 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum\NextInstance: 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters\ServiceDll: "%SYSTEMROOT%\system32\wscsvc.dll"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Type: 0x00000020
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start: 0x00000002
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\ErrorControl: 0x00000001
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\ImagePath: "%SystemRoot%\System32\svchost.exe -k netsvcs"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\DisplayName: "Security Center"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\DependOnService: 'RpcSs winmgmt'
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\ObjectName: "LocalSystem"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Description: "Monitors system security settings and configurations."

・Windows 7およびVistaでは、services.exeに存在する704バイトの「ScRegisterTCPEndpoint」関数に悪質なコードを上書きします。

・上記の画像により、services.exeの関数を上書きします。
NTFSレコードの拡張属性に悪質なコンテンツを格納します。

・上記の画像はNTFSの拡張属性です。
感染した「services.exe」がロードされると、悪質なコードは実際に悪質なコードが存在する拡張属性を読み取ります。

・上記の画像には、EAのハッシュをチェックしてロードする関数が表示されています。
また、Windowsが同じアドレスでservices.exeをロードさせるASLR機能をservices.exeから取り除きます。

・上記の画像にはASLRが表示されていません。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • 通常、ZeroAccessはさまざまなソースからマシンに届くドロッパコンポーネントによってインストールされます。最近の亜種は偽のウイルス対策ソフトウェアと一緒に届くことが確認されています。
  • 上記のファイルおよびレジストリの活動が見られます。
  • 上記のネットワーク接続が存在します。

感染方法TOPへ戻る

・通常、ZeroAccessはさまざまなソースからマシンに届くドロッパコンポーネントによってインストールされます。最近の亜種は偽のウイルス対策ソフトウェアと一緒に届くことが確認されています。

駆除方法TOPへ戻る
■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。