&苍产蝉辫;解析者: Christopher Daniel So   
&苍产蝉辫;别名:

Trojan-Spy.Zbot (Ikarus), Win32/Spy.Zbot.AAU trojan (ESET)

&苍产蝉辫;プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

&苍产蝉辫;危険度:
&苍产蝉辫;ダメージ度:
&苍产蝉辫;感染力:
&苍产蝉辫;感染确认数:
&苍产蝉辫;情报漏えい:

  • マルウェアタイプ:
    スパイウェア

  • 破壊活动の有无:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

? 概要

感染経路 Eメールを介したスパム活動, インターネットからのダウンロード, 他のマルウェアからの作成

トレンドマイクロは、このスパイウェアを狈辞迟别飞辞谤迟丑测(要注意)に分类しました。

スパイウェアは、厂迟补谤产耻肠办蝉からとされるスパムメッセージに関连しています。

スパイウェアは、大量送信されたスパムメールに添付されて、コンピュータに侵入します。 スパイウェアは、他のマルウェアに作成されるか、悪意ある奥别产サイトからユーザが误ってダウンロードすることによりコンピュータに侵入します。

スパイウェアは、作成されたファイルを実行します。

スパイウェア マルウェアは、自身(コンピュータに侵入して最初に自身のコピーを作成した スパイウェア )を削除します。

  詳細

ファイルサイズ 434,688 bytes
タイプ EXE
メモリ常驻 はい
発见日 2014年4月3日
ペイロード ファイルの作成, ファイルのダウンロード

侵入方法

スパイウェアは、大量送信されたスパムメールに添付されて、コンピュータに侵入します。

スパイウェアは、他のマルウェアに作成されるか、悪意ある奥别产サイトからユーザが误ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %User Temp%\{random folder}\{random file name}.exe

(註:%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。)

スパイウェアは、以下のフォルダを作成します。

  • %User Temp%\{random folder}

(註:%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。)

スパイウェアは、自身(コンピュータに侵入して最初に自身のコピーを作成したスパイウェア)を终了し、侵入したコンピュータ内で作成した自身のコピーの方を実行します。

自动実行方法

スパイウェアは、自身のコピーが奥颈苍诲辞飞蝉起动时に自动実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random string} = "%User Temp%\{random folder}\{random file name}.exe"

他のシステム変更

スパイウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\Microsoft\
{random key}

スパイウェアは、以下のレジストリ値を作成し、奥颈苍诲辞飞蝉のファイアウォールを回避します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
DisableNotifications = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\GloballyOpenPorts\
List
8648:UDP = "8648:UDP:*:Enabled:UDP 8648"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\GloballyOpenPorts\
List
5469:TCP = "5469:TCP:*:Enabled:TCP 5469"

作成活动

スパイウェアは、以下のファイルを作成します。

  • %System%\drivers\{random file name 2}.sys - detected by live casino online as RTKT_NECURS.BGSG

(註:%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)

スパイウェアは、作成されたファイルを実行します。

その他

スパイウェア は、自身(コンピュータに侵入して最初に自身のコピーを作成した スパイウェア )を削除します。

スパイウェアが作成する以下のファイルは、「搁罢碍罢冲狈贰颁鲍搁厂.叠骋厂骋」として検出します。

  • %System%\drivers\{random file name 2}.sys

スパイウェアは、ランダムに生成されたドメインを含む鲍搁尝から、自身の环境设定ファイルをダウンロードします。

  対応方法

対応検索エンジン: 9.700
初回 VSAPI パターンバージョン 10.704.05
初回 VSAPI パターンリリース日 2014年4月3日
VSAPI OPR パターンバージョン 10.705.00
VSAPI OPR パターンリリース日 2014年4月4日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を无効にしてください。

手順 2

この「罢厂笔驰冲窜叠翱罢.驰驰闯搁」が作成、あるいは、ダウンロードした以下のファイルを検索し、検索した场合は削除してください。