Trend Micro Security

BKDR_ZACCESS.NTW

2013年2月7日
 解析者: Michael Cabel   

 プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: バックドア型
  • 破壊活動の有無: なし
  • 暗号化: はい
  • 感染報告の有無: はい

  概要

感染経路 インターネットからのダウンロード

マルウェアは、リモートサイトから他のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。 マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。


  詳細

ファイルサイズ 不定
タイプ EXE
メモリ常駐 はい
発見日 2013年2月5日
ペイロード プロセスの強制終了, システムセキュリティへの感染活動

侵入方法

マルウェアは、リモートサイトから以下のマルウェアまたはグレイウェアにダウンロードされ、コンピュータに侵入します。

  • JAVA_EXPLOYT.NTW

インストール

マルウェアは、以下のコンポーネントファイルを作成します。

  • %User Temp%\msimg32.dll - detected as BKDR_ZACESS.SMQQ

(註:%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。)

マルウェアは、以下の無害なファイルを作成します。

  • %User Temp%\InstallFlashPlayer.exe

(註:%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。)

マルウェアのDLLコンポーネントは、以下のプロセスに組み込まれます。

  • explorer.exe
  • svchost.exe

マルウェアは、以下のフォルダを作成します。

  • %Application Data%\{GUID}\L
  • %Application Data%\{GUID}\U
  • %Windows%\Installer\{GUID}\L
  • %Windows%\Installer\{GUID}\U

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。. %Windows%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、"C:\Windows" です。)

他のシステム変更

マルウェアは、以下のレジストリキーを削除します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\BITS

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\iphlpsvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\MpsSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\SharedAccess

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\WinDefend

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\wscsvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\wuauserv

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run\
Windows Defender

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

  • Download and execute arbitrary files
  • Get drive information

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

  • http://j.{BLOCKED}d.com/app/geoip.js

プロセスの終了

マルウェアは、感染コンピュータ上でプロセスが常駐されていることを確認した場合、以下のいずれかの文字列を含むプロセスまたはサービスを終了します。

  • wscntfy.exe
  • MSASCui.exe
  • MpCmdRun.exe
  • NisSrv.exe
  • msseces.exe
  • SharedAccess
  • windefend
  • MsMpSvc
  • iphlpsvc
  • wscsvc
  • mpssvc

その他

マルウェアは、"%System%\services.exe" をパッチし、オリジナルのコピーを "%System%\Winsxs\Backup\services.exe" で保存します。

  • パッチされた64bit版 %System%\services.exe - 「PTCH64_ZACCESS.A」として検出
  • パッチされたWindows 7の32bit版 %System%\services.exe - 「PTCH_ZACCESS.A」として検出

マルウェアは、以下のWebサイトにアクセスし、「ペイ・パー・インストール(PPI)」のリンクのクリックを装います。

  • www.<省略>reecounters.com/5699002-2F6F334BF9ACF1B2401D3874A5B0C048/counter.img?theme=<ランダムな値>&digits=10&siteId=<サイトのID>


  対応方法

対応検索エンジン: 9.300
初回 VSAPI パターンバージョン 9.708.03
初回 VSAPI パターンリリース日 2013年2月5日
VSAPI OPR パターンバージョン 9.709.00
VSAPI OPR パターンリリース日 2013年2月6日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

この「BKDR_ZACCESS.NTW」が作成、あるいは、ダウンロードした以下のファイルを検索し、検索した場合は削除してください。

手順 3

「BKDR_ZACCESS.NTW」 を作成またはダウンロードする不正なファイルを削除します。

手順 4

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 5

以下のフォルダを検索し削除します。

[ 詳細 ]
フォルダが隠しフォルダ属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %Application Data%\{GUID}\L
  • %Application Data%\{GUID}\U
  • %Windows%\Installer\{GUID}\L
  • %Windows%\Installer\{GUID}\U

手順 6

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「BKDR_ZACCESS.NTW」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 7

以下の削除されたレジストリキーまたはレジストリ値をバックアップを用いて修復します。

※註:マイクロソフト製品に関連したレジストリキーおよびレジストリ値のみが修復されます。このマルウェアもしくはアドウェア等が同社製品以外のプログラムも削除した場合には、該当プログラムを再度インストールする必要があります。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\iphlpsvc
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Windows Defender

手順 8

以下の削除されたファイルをバックアップを用いて修復します。

※註:マイクロソフト製品に関連したレジストリキーおよびレジストリ値のみに修復されます。このマルウェアもしくはアドウェア等が同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。


ご利用はいかがでしたか? アンケートにご協力ください