• Email
• Facebook
• Twitter
• Google+
• Linkedin

TROJ_ZBOT.KKF

---

• マルウェアタイプ: スパイウェア
• 破壊活動の有無: なし
• 暗号化:  
• 感染報告の有無: はい

---

  概要

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

スパイウェアは、フォルダを作成し、このフォルダ内に自身のファイルを作成します。 作成されたファイルは、すべての実行中プロセスに組み込まれ、システムのプロセスに常駐します。

スパイウェアは、Internet Explorer（IE）のゾーン設定を変更します。

---

  詳細

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、以下のコンポーネントファイルを作成します。

• %User Profile%\Application Data\{random folder 1}\{random filename}.exe - detected as TSPY_ZBOT.KKF
• %User Profile%\Application Data\{random folder 2}\{random filename and extension}
• %User Profile%\Application Data\{random folder 3}\{random filename and extension}

(註：%User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞"、Windows NTでは、"C:\WINNT\Profiles\＜ユーザ名＞"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\＜ユーザ名＞" です。)

スパイウェアは、フォルダを作成し、このフォルダ内に自身のファイルを作成します。

スパイウェアは、以下のフォルダを作成します。

• %User Profile%\Application Data\{random folder 1}
• %User Profile%\Application Data\{random folder 2}
• %User Profile%\Application Data\{random folder 3}

(註：%User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞"、Windows NTでは、"C:\WINNT\Profiles\＜ユーザ名＞"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\＜ユーザ名＞" です。)

作成されたファイルは、すべての実行中プロセスに組み込まれ、システムのプロセスに常駐します。

自動実行方法

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random characters} = "%User Profile%\Application Data\{random folder 1}\{random file name}.exe"

Webブラウザのホームページおよび検索ページの変更

スパイウェアは、IEのゾーン設定を変更します。

ダウンロード活動

スパイウェアは、以下のWebサイトにアクセスして自身のコンポーネントファイルをダウンロードします。

• {BLOCKED}navole.ru