TROJ_ZBOT.BXW
Windows 2000, XP, Server 2003
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化: なし
- 感染報告の有無: はい
? 概要
マルウェアは、自身のコピーが奥颈苍诲辞飞蝉起动时に自动実行されるよう以下のレジストリ値を追加します。
マルウェアは、ランダムにポートを開きます。 マルウェアは、不正リモートユーザからリモートで受信する特定のコマンドを実行します。これにより、感染コンピュータおよび同コンピュータ上の情報は危険にさらされることとなります。
マルウェアは、ダウンロードしたファイルを実行します。
マルウェアは、ユーザ名およびパスワードといったオンラインバンキング情报に関连した个人情报を収集します。これにより、収集された情报は不正リモートユーザにより悪用される可能性があります。
詳細
インストール
マルウェアは、以下のフォルダを作成します。
- %Application Data%\{random1}
- %Application Data%\{random2}
(註:%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 ""C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"" 、 Windows NTの場合 ""C:\WINNT\Profiles\<ユーザ名>\Application Data""、Windows 98 および MEの場合、""C:\Windows\Profiles\<ユーザ名>\Application Data"" です。)
マルウェアは、以下のプロセスに组み込まれ、システムのプロセスに常驻します。
- ctfmon.exe
- dwm.exe
- explorer.exe
- rdpclip.exe
- taskeng.exe
- taskhost.exe
- wscntfy.exe
自动実行方法
マルウェアは、自身のコピーが奥颈苍诲辞飞蝉起动时に自动実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{GUID} = {malware path and file name}
他のシステム変更
マルウェアは、以下のレジストリ値を作成し、奥颈苍诲辞飞蝉のファイアウォールを回避します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Windows%\\Explorer.exe = "%Windows%\Explorer.exe:*:Enabled:Windows Explorer"
バックドア活动
マルウェアは、ランダムにポートを开き、不正リモートユーザが感染コンピュータに接続できるようにします。接続されると、不正リモートユーザは、感染コンピュータ上でのコマンド実行が可能となります。
マルウェアは、不正リモートユーザから以下のコマンドを実行します。
- Gets the Flash player data
- Steals passwords from FlashFXP, total_commander, ws_ftp, fileZilla, FAR2, winscp, ftp_commander, coreFTP, and smartftp
- Set the browser’s home page
- Disable and enable access to certain URLs
- Remove certificate
- Steal digital certificates
- Delete browser cookies
- Upload cookies
- Download and execute a file
- Removes a back door connection
- Download and update bot configuration
- Uninstall bot
- Restart the system
- Shutdown the system
- Disable and enable web injection
- Search local drives
作成活动
マルウェアは、以下のファイルを作成します。
- %Application Data%\{random1}\{random}.exe - copy of itself
- %Application Data%\{random2}\{random}.{3 random alpha character extension name} - encrypted file
(註:%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 ""C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"" 、 Windows NTの場合 ""C:\WINNT\Profiles\<ユーザ名>\Application Data""、Windows 98 および MEの場合、""C:\Windows\Profiles\<ユーザ名>\Application Data"" です。)
ダウンロード活动
マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。
- %User Temp%\kjfhgjdsfgsd.exe - also detected as TROJ_ZBOT.BXW
(註:%User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\<ユーザー名>\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\TEMP" です。)
マルウェアは、ダウンロードしたファイルを実行します。
情报漏洩
マルウェアは、ユーザ名およびパスワードといったオンラインバンキング情报に関连した个人情报を収集します。これにより、収集された情报は不正リモートユーザにより悪用される可能性があります。
マルウェアは、以下の奥别产サイトにアクセスし、自身の环境设定ファイルをダウンロードします。
- http://{BLOCKED}et.cn/zeka/cfg9sksl.jpg
その他
このコードを分析した结果、マルウェアは、以下の机能を备えています。
- Saves its encrypted configuration file in a random key created under the registry, HKEY_CURRENT_USER\Software\Microsoft
- Injects codes to online banking Web sites included in its configuration file. However, as of this moment the downloaded configuration file only contains the links to its updated copy and drop zone, http://{BLOCKED}et.cn/zeka/getbotdata930sdla.php
- Takes screenshots and log keystrokes
- Exploits the vulnerability, Microsoft Security Advisory (2286198) which is detected as LNK_STUXNET.SM
対応方法
手順 1
Windowsの検索機能([スタート] → [検索] → [ファイルとフォルダすべて] を選択)などを使用して、この「TROJ_ZBOT.BXW」が作成、あるいは、ダウンロードした以下のファイルを検索し、検索した場合は削除してください。
- ?LNK_STUXNET.SM?
手順 2
このマルウェアのパス名およびファイル名を确认します。
最新のバージョン(エンジン、パターンファイル)を导入したウイルス対策製品を用いてウイルス検索を実行してください。「罢搁翱闯冲窜叠翱罢.叠齿奥」で検出したパス名およびファイル名を确认し、メモ等をとってください。
手順 3
奥颈苍诲辞飞蝉をセーフモードで再起动します。
手順 4
このレジストリ値を削除します。
警告:レジストリは奥颈苍诲辞飞蝉の构成情报が格纳されているデータベースであり、レジストリの编集内容に问题があると、システムが正常に动作しなくなる场合があります。
レジストリの编集はお客様の责任で行っていただくようお愿いいたします。弊社ではレジストリの编集による如何なる问题に対しても补偿いたしかねます。
レジストリの编集前にをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- {GUID} = {malware path and file name}
- {GUID} = {malware path and file name}
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
- %Windows%\Explorer.exe = %Windows%\Explorer.exe:*:Enabled:Windows Explorer
- %Windows%\Explorer.exe = %Windows%\Explorer.exe:*:Enabled:Windows Explorer
手順 5
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TROJ_ZBOT.BXW」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。ただし、念のため、隔離されたファイルを削除してください。詳しくは、をご确认下さい。