&苍产蝉辫;别名:

Sirefef, Zeroaccess, Kazy, Conjar, ZAccess, Zacess

&苍产蝉辫;プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

&苍产蝉辫;危険度:
&苍产蝉辫;ダメージ度:
&苍产蝉辫;感染力:
&苍产蝉辫;感染确认数:

  • マルウェアタイプ:
    バックドア型

  • 破壊活动の有无:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

? 概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

「」は、「」としても知られているルートキット机能を备えるファミリであり、主に偽セキュリティソフト型マルウェア「」ファミリに関连する他のマルウェアと共に确认されます。

「窜贰搁翱础颁颁贰厂厂」は、感染コンピュータのセキュリティ対策製品を无効にします。このような机能を备える他のファミリのほとんどは、大抵の场合、セキュリティ対策用サービスとプロセスを无効化しますが、「窜贰搁翱础颁颁贰厂厂」は、感染コンピュータのアクセス制御リスト(础颁尝)を変更します。これにより感染コンピュータ上でセキュリティ対策ソフトウェアを起动しないようにするため、コンピュータはさらなる感染被害にさらされることとなります。

「窜贰搁翱础颁颁贰厂厂」は、感染コンピュータ上に他のファミリの亜种をダウンロードする可能性があります。また、広告を表示したりユーザを不正な奥别产サイトへと诱导するために、インターネットのトラフィックや検索エンジン结果を乗っ取ります。

2012年現在で確認されている亜種は、「Domain Generation Algorithm(DGA)」と呼ばれるドメイン生成の手法を用いてコマンド&コントロール(C&C)サーバと通信します。この不正活動によって、ドメインがランダムに生成されるため、不正なサーバのブロックが困難になります。

  詳細

ペイロード ファイルのダウンロード

インストール

マルウェアは、以下のファイルを作成します。

  • %Application Data%\8c0f0459\@
  • %Application Data%\8c0f0459\X
  • %Windows%\1493438348

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。. %Windows%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、"C:\Windows" です。)

マルウェアは、以下のフォルダを作成します。

  • %Application Data%\8c0f0459
  • %Application Data%\8c0f0459\U

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。)

自动実行方法

マルウェアは、自身をシステムサービスとして登録し、奥颈苍诲辞飞蝉起动时に自动実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\8c0f0459
ImagePath = "\systemroot\1493438348:1945172902.exe"

マルウェアは、自身のコピーが奥颈苍诲辞飞蝉起动时に自动実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "%Application Data%\8c0f0459\X"

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_CLASSES_ROOT\Interface\{b1041c7f-46ea-d87c-4a51-abba7b80f3da}

HKEY_CLASSES_ROOT\Software\8c0f0459

マルウェアは、インストールの过程で、以下のレジストリ値を追加します。

HKEY_CLASSES_ROOT\Interface\{b1041c7f-46ea-d87c-4a51-abba7b80f3da}
u = "dword:00000075"

HKEY_CLASSES_ROOT\Interface\{b1041c7f-46ea-d87c-4a51-abba7b80f3da}
cid = "{hex values}"

HKEY_CURRENT_USER\Software\8c0f0459
u = "dword:00000075"

HKEY_CURRENT_USER\Software\8c0f0459
id = "{hex values}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Windows%\explorer.exe = "%Windows%\explorer.exe:*:Enabled:Windows Explorer"

その他

マルウェアは、以下の不正な奥别产サイトにアクセスします。

  • {BLOCKED}ie.cn

  対応方法

対応検索エンジン: 9.300

トレンドマイクロのお客様:

    最新のバージョン( and エンジン)を導入したセキュリティ対策製品を用い、ウイルス検索を実行してください。検出したファイルはすべて「削除」し、検出したウイルスはすべて「駆除」してください。削除対象となるファイルには、トロイの木馬型不正プログラムやスクリプト系、上書き感染型ウイルス(overwriting virus)、ジョーク?プログラムなど「駆除」できない不正プログラムがあげられ、これらのファイルを検出した場合は、すべて「削除」してください。

インターネットをご利用の皆様:

  • トレンドマイクロの「」を使って、あなたの PC がウイルスに侵されていないかどうかを簡単にチェックすることが可能です。オンラインスキャンはあなたのコンピュータの中に不正なプログラムが存在するかどうかをチェックします。
  • 今日、笔颁やネットワークをセキュリティ上の胁威から守り、安全な滨罢环境を维持するためには、セキュリティ製品を活用することが最も有効な方法となっています。トレンドマイクロは、一般の个人ユーザだけでなく、公司ユーザやインターネット?サービス?プロバイダ(滨厂笔)向けに、ウイルス対策製品やコンテンツセキュリティ対策をご提供しています。トレンドマイクロの製品?サービスについては、