%User Temp%\{number}.tmp\msupdate.exe - detected as TSPY_ZBOT.VHP
%User Temp%\{number}.tmp\PsExec.bat
%User Temp%\{number}.tmp\PsExec.exe - non malicious file
%System%\msupdate.exe - detected as TSPY_ZBOT.VHP
(註:%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)
マルウェアは、以下のフォルダを作成します。
%User Temp%\{number}.tmp
(註:%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。)
他のシステム変更
マルウェアは、以下のレジストリ値を作成し、Windowsのファイアウォールを回避します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\SharedAccess\Parameters\ FirewallPolicy\StandardProfile\AuthorizedApplications\ List %User Temp%\{number}.tmp\PsExec.exe = "%User Temp%\{number}.tmp\PsExec.exe:*:Enabled:enable"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\SharedAccess\Parameters\ FirewallPolicy\StandardProfile\AuthorizedApplications\ List %User Temp%\{number}.tmp\msupdate.exe = "%User Temp%\{number}.tmp\msupdate.exe:*:Enabled:enable"
対応方法
対応検索エンジン: 9.300
初回 VSAPI パターンバージョン 10.342.04
初回 VSAPI パターンリリース日 2013年10月15日
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。