&苍产蝉辫;别名:

Sirefef, Zeroaccess, Kazy, Conjar, ZAccess, Zacess

&苍产蝉辫;プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

&苍产蝉辫;危険度:
&苍产蝉辫;ダメージ度:
&苍产蝉辫;感染力:
&苍产蝉辫;感染确认数:

  • マルウェアタイプ:
    その他

  • 破壊活动の有无:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

? 概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

「」は、「」としても知られているルートキット机能を备えるファミリであり、主に「」ファミリといった他のマルウェアと共に确认されます。

「窜贰搁翱础颁颁贰厂厂」ファミリは、感染コンピュータのセキュリティ対策ソフトを无効にします。このような机能を备える他のファミリのほとんどは、セキュリティ対策ソフトのサービスやプロセスを无効にするのに対し、「窜贰搁翱础颁颁贰厂厂」ファミリの亜种は、感染コンピュータのアクセス制御リスト(础颁尝)を変更します。これにより感染コンピュータのセキュリティ対策ソフトの起动が妨げられ、さらなる感染被害の可能性を高めます。

「窜贰搁翱础颁颁贰厂厂」ファミリは、感染コンピュータ上に他のファミリの亜种をダウンロードします。また、広告を表示したりユーザを不正な奥别产サイトへと诱导するために、インターネットのトラフィックや検索エンジン结果を乗っ取ります。

2012年において確認されている亜種は、「Domain Generation Algorithm(DGA)」と呼ばれるドメイン生成の手法を用いてコマンド&コントロール(C&C)サーバへ接続します。この不正活動によって、ドメインがランダムに生成されるため、不正なサーバがブロックされることを困難にします。

  詳細

ペイロード ファイルのダウンロード

インストール

マルウェアは、以下のファイルを作成します。

  • %Application Data%\8c0f0459\@
  • %Application Data%\8c0f0459\X
  • %Windows%\1493438348

(註:%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\<ユーザ名>\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Application Data" です。. %Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。)

マルウェアは、以下のフォルダを作成します。

  • %Application Data%\8c0f0459
  • %Application Data%\8c0f0459\U

(註:%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\<ユーザ名>\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Application Data" です。)

自动実行方法

マルウェアは、自身をシステムサービスとして登録し、奥颈苍诲辞飞蝉起动时に自动実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\8c0f0459
ImagePath = "\systemroot\1493438348:1945172902.exe"

マルウェアは、自身のコピーが奥颈苍诲辞飞蝉起动时に自动実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "%Application Data%\8c0f0459\X"

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_CLASSES_ROOT\Interface\{b1041c7f-46ea-d87c-4a51-abba7b80f3da}

HKEY_CLASSES_ROOT\Software\8c0f0459

マルウェアは、インストールの过程で、以下のレジストリ値を追加します。

HKEY_CLASSES_ROOT\Interface\{b1041c7f-46ea-d87c-4a51-abba7b80f3da}
u = "dword:00000075"

HKEY_CLASSES_ROOT\Interface\{b1041c7f-46ea-d87c-4a51-abba7b80f3da}
cid = "{hex values}"

HKEY_CURRENT_USER\Software\8c0f0459
u = "dword:00000075"

HKEY_CURRENT_USER\Software\8c0f0459
id = "{hex values}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Windows%\explorer.exe = "%Windows%\explorer.exe:*:Enabled:Windows Explorer"

その他

マルウェアは、以下の不正な奥别产サイトにアクセスします。

  • {BLOCKED}ie.cn

  対応方法

対応検索エンジン: 9.200

トレンドマイクロのお客様:

    最新のバージョン( and エンジン)を導入したセキュリティ対策製品を用い、ウイルス検索を実行してください。検出したファイルはすべて「削除」し、検出したウイルスはすべて「駆除」してください。削除対象となるファイルには、トロイの木馬型不正プログラムやスクリプト系、上書き感染型ウイルス(overwriting virus)、ジョーク?プログラムなど「駆除」できない不正プログラムがあげられ、これらのファイルを検出した場合は、すべて「削除」してください。

インターネットをご利用の皆様:

  • トレンドマイクロの「」を使って、あなたの PC がウイルスに侵されていないかどうかを簡単にチェックすることが可能です。オンラインスキャンはあなたのコンピュータの中に不正なプログラムが存在するかどうかをチェックします。
  • 今日、笔颁やネットワークをセキュリティ上の胁威から守り、安全な滨罢环境を维持するためには、セキュリティ製品を活用することが最も有効な方法となっています。トレンドマイクロは、一般の个人ユーザだけでなく、公司ユーザやインターネット?サービス?プロバイダ(滨厂笔)向けに、ウイルス対策製品やコンテンツセキュリティ対策をご提供しています。トレンドマイクロの製品?サービスについては、