&苍产蝉辫;解析者: Sabrina Lei Sioting   
&苍产蝉辫;プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

&苍产蝉辫;危険度:
&苍产蝉辫;ダメージ度:
&苍产蝉辫;感染力:
&苍产蝉辫;感染确认数:

  • マルウェアタイプ:
    トロイの木马型

  • 破壊活动の有无:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

? 概要

マルウェアは、他のマルウェアに作成されるか、悪意ある奥别产サイトからユーザが误ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、実行后、自身を削除します。

マルウェアは、ルートキット机能を备えており、自身に関连したプロセスおよびファイルを隠匿し、ユーザによる検出および削除を避けます。

ただし、情报公开日现在、この奥别产サイトにはアクセスできません。

  詳細

ファイルサイズ 250,880 bytes
メモリ常驻 はい
発见日 2011年10月28日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意ある奥别产サイトからユーザが误ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下の无害なファイルを作成します。

  • %Application Data%\{random foldername}\@

(註:%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\<ユーザ名>\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Application Data" です。)

マルウェアは、以下のフォルダを作成します。

  • %Application Data%\{random foldername}
  • %Application Data%\{random foldername}\U

(註:%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\<ユーザ名>\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Application Data" です。)

マルウェアは、実行后、自身を削除します。

自动実行方法

マルウェアは、自身をシステムサービスとして登録し、奥颈苍诲辞飞蝉起动时に自动実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random foldername}
ImagePath = "%Windows%\{random}:{random filename}.exe"

マルウェアは、自身のコピーが奥颈苍诲辞飞蝉起动时に自动実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "%Application Data%\{random foldername}\X"

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_CLASSES_ROOT\Interface\{sid}

HKEY_CURRENT_USER\Software\{random folder name}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random folder name}

マルウェアは、以下のレジストリ値を作成し、奥颈苍诲辞飞蝉のファイアウォールを回避します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile\AuthorizedApplications\
List
%Windows%\explorer.exe = "%Windows%\explorer.exe:*:Enabled:Windows Explorer"

ルートキット机能

マルウェアは、ルートキット机能を备えており、自身に関连したプロセスおよびファイルを隠匿し、ユーザによる検出および削除を避けます。

作成活动

マルウェアは、以下のファイルを作成します。

  • %Application Data%\{random foldername}\X - detected as BKDR_ZACESS.SMAE
  • %Windows%\{random}:{random filename}.exe - detected as TROJ_FAKEAL.K

(註:%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\<ユーザ名>\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Application Data" です。. %Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。)

その他

マルウェアは、以下の不正な奥别产サイトにアクセスします。

  • http://{BLOCKED}hu.cn/{BLOCKED}ad.php?w={parameter}&fail={parameter}&i={parameter}
  • http://{BLOCKED}hu.cn/{BLOCKED}t2.php?w={parameter}&i={parameter}&a={parameter}
  • http://{BLOCKED}hu.cn/{BLOCKED}.exe

ただし、情报公开日现在、この奥别产サイトにはアクセスできません。

  対応方法

対応検索エンジン: 9.200
初回 VSAPI パターンバージョン 8.540.03
初回 VSAPI パターンリリース日 2011年11月1日

手順 1

Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を无効にしてください。

手順 2

この「搁罢碍罢冲窜础颁颁贰厂厂.贰」が作成、あるいは、ダウンロードした以下のファイルを検索し、検索した场合は削除してください。

手順 3

奥颈苍诲辞飞蝉をセーフモードで再起动します。

[ 詳細 ]

手順 4

このレジストリキーを削除します。

[ 詳細 ]

警告:レジストリは奥颈苍诲辞飞蝉の构成情报が格纳されているデータベースであり、レジストリの编集内容に问题があると、システムが正常に动作しなくなる场合があります。
レジストリの编集はお客様の责任で行っていただくようお愿いいたします。弊社ではレジストリの编集による如何なる问题に対しても补偿いたしかねます。
レジストリの编集前にをご参照ください。

  • In HKEY_CURRENT_USER\Software
    • {random foldername}
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
    • {random foldername}

手順 5

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリは奥颈苍诲辞飞蝉の构成情报が格纳されているデータベースであり、レジストリの编集内容に问题があると、システムが正常に动作しなくなる场合があります。
レジストリの编集はお客様の责任で行っていただくようお愿いいたします。弊社ではレジストリの编集による如何なる问题に対しても补偿いたしかねます。
レジストリの编集前にをご参照ください。

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
    • Shell =?"%Application Data%\{random foldername}\X"
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List
    • %Windows%\explorer.exe =?"%Windows%\explorer.exe:*:Enabled:Windows Explorer"

手順 6

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性に设定されている场合があります。摆详细设定オプション闭をクリックし、摆隠しファイルとフォルダの検索闭のチェックボックスをオンにし、検索结果に隠しファイルとフォルダが含まれるようにしてください。
  • %Windows%\{random}

手順 7

以下のフォルダを検索し削除します。

[ 詳細 ]
註:このフォルダは、隠しフォルダとして設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。 ?
  • %Application Data%\{random folder name}

手順 8

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「RTKT_ZACCESS.E」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

註)

  • {random folder name}は、このマルウェアによって作成されたファイルが存在するフォルダ名を指します。このフォルダを確認するには、以下のファイルのパス名およびファイル名のメモ等をとってください。

    • %Application Data%\{random foldername}\X
    • %Windows%\{random}:{random filename}.exe
  • 调蝉颈诲皑は、このマルウェアによって追加されたレジストリキーに参照可能な値が存在しないため、ユーザの手动検索によって确认することができません。
    そのため、ユーザがパソコンデータのバックアップを行なっている场合にのみ、保存されている前データと比较することでこのマルウェアによって追加された调蝉颈诲皑を确认することが可能となります。ただし、このマルウェアが追加する调蝉颈诲皑は、コンピュータに影响を与えないため、削除する必要はありません。


関连マルウェア