TROJ_ZCLICK.A

2014年3月19日
 解析者: Mark Joseph Manahan   
 別名:

Mal/ZAccess-CK (Sophos) ,Trojan horse Generic_r.DPY (AVG) ,Trojan-Spy.Win32.Zbot.rrxn (Kaspersky) ,PWS:Win32/Zbot.AJB (Microsoft) ,PWS-Zbot-FBDC!9B6383D0D0A7 (McAfee) ,Win32/Spy.Zbot.ABA trojan (Eset) ,Generic (Panda) ,Trojan.Win32.Generic!BT (Sunbelt)

 プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: スパイウェア
  • 破壊活動の有無: なし
  • 暗号化: はい
  • 感染報告の有無: はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

トレンドマイクロは、このスパイウェアをNoteworthy(要注意)に分類しました。

マルウェアは、オンライン銀行詐欺ツール「ZBOT」の新しい亜種として検出されました。マルウェアは、コンピュータ内に侵入すると、ユーザがウインドウやファイルを開くなどあらゆる操作をするたびに、デスクトップを「ロック」し、Webサイトを表示します。これらの表示される Webサイトは、デスクトップ画面全体を占有するため、ユーザが開いているウインドウやファイルにアクセスできなくなります。また、マルウェアは、オンライン広告を不正にクリックして金銭を稼ぐ「clickbot」の活動のみを読み込むことから、クリック報酬型広告(pay-per-click, PPC)を介し収益を生み出すことがこのマルウェアの主な目的であると考えられます。

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 277,504 bytes
タイプ EXE
メモリ常駐 はい
発見日 2014年3月18日
ペイロード ウインドウの表示, URLまたはIPアドレスに接続

侵入方法

スパイウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %System%\{random filename 2}.exe
  • %Application Data%\{random foldername}\{random filename}.exe

(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000、XP、Server 2003の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)

スパイウェアは、以下のファイルを作成します。

  • %Tasks%\Security Center Update - {number}.job

自動実行方法

スパイウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SecurityCenterServer{number}
ImagePath = "%System%\{random filename 2}.exe -service %Application Data%\{random foldername}\{random filename}.exe"

スパイウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{random entry} = "%Application Data%\{random folder name}\{random filename}.exe"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{random entry} = "%Application Data%\{random folder name}\{random filename}.exe"

他のシステム変更

スパイウェアは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\ELowcQ

HKEY_LOCAL_MACHINE\SOFTWARE\{random key}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SecurityCenterServer{number}

スパイウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SOFTWARE\{random key}
License = "444"

情報漏えい

スパイウェアは、以下のWebサイトにアクセスし、自身の環境設定ファイルをダウンロードします。

  • http://{BLOCKED}ompany.com/{uri}/{hash}
  • http://{BLOCKED}froll.com /{uri}/{hash}
  • http://{BLOCKED}heck.com/{uri}/{hash}

環境設定ファイルは、以下の情報を含んでいます。

  • Search URL (referrer url) e.g http://{BLOCKED}nameall.com
  • Update URL (new C&C) e.g http://{BLOCKED}i.com, http://{BLOCKED}ferr.com
  • Click URL (redirection url source) e.g http://{BLOCKED}t.com/b/pkg/{random alphanumeric}
  • Mutex Name
  • Flash URL

<補足>
インストール

スパイウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。Mul<

  • %System%\{ランダムなファイル名 2}.exe
  • %Application Data%\{ランダムなフォルダ名}\{ランダムなファイル名}.exe

    スパイウェアは、以下のファイルを作成します。

    • %Tasks%\Security Center Update - {数字}.job

    注意:

    スパイウェアは、以下のAPIを実行します。

    • GetCursorInfo
    • GetCursorPos
    • GetMessageA
    • GetMessagePos
    • GetMessageW
    • MessageBoxA
    • MessageBoxExA
    • MessageBoxExW
    • MessageBoxIndirectA
    • MessageBoxIndirectW
    • MessageBoxW
    • PeekMessageA
    • PeekMessageW
    • PlaySoundA
    • PlaySoundW
    • RegCloseKey
    • RegCreateKeyA
    • RegCreateKeyExA
    • RegCreateKeyExW
    • RegCreateKeyW
    • RegEnumKeyExA
    • RegEnumKeyExW
    • RegEnumValueA
    • RegEnumValueW
    • RegOpenKeyA
    • RegOpenKeyExA
    • RegOpenKeyExW
    • RegOpenKeyW
    • RegQueryInfoKeyA
    • RegQueryInfoKeyW
    • RegQueryValueExA
    • RegQueryValueExW
    • SetCursorPos
    • WaveOutWrite

    マルウェアは、Webサイトをフルスクリーン表示し続け、画面全体を占領するため、ユーザが開いているウインドウやファイルにアクセスできなくなります。このウィンドウは、フックされたAPIが使用されているときにフォーカスされています。ウィンドウがアクティブになると、マルウェアは、さまざまなマウス動作やスクロール動作を実行します。

      対応方法

    対応検索エンジン: 9.700
    初回 VSAPI パターンバージョン 10.672.01
    初回 VSAPI パターンリリース日 2014年3月18日
    VSAPI OPR パターンバージョン 10.673.00
    VSAPI OPR パターンリリース日 2014年3月18日

    手順 1

    Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

    手順 2

    このマルウェアのパス名およびファイル名を確認します。
    最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用いてウイルス検索を実行してください。「TROJ_ZCLICK.A」で検出したパス名およびファイル名を確認し、メモ等をとってください。

    手順 3

    Windowsをセーフモードで再起動します。

    [ 詳細 ]

    手順 4

    このレジストリキーを削除します。

    [ 詳細 ]

    警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
    レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
    レジストリの編集前にこちらをご参照ください。

     
    • In HKEY_LOCAL_MACHINE\SOFTWARE
      • ELowcQ
    • In HKEY_LOCAL_MACHINE\SOFTWARE
      • {random key}
    • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
      • SecurityCenterServer{number}

    手順 5

    このレジストリ値を削除します。

    [ 詳細 ]

    警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
    レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
    レジストリの編集前にこちらをご参照ください。

    • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
      • {random entry} = "%Application Data%\{random folder name}\{random filename}.exe"
    • In HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
      • {random entry} = "%Application Data%\{random folder name}\{random filename}.exe"

    手順 6

    以下のファイルを検索し削除します。

    [ 詳細 ]
    コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
    • %Tasks%\Security Center Update - {number}.job
  • Windows 2000、XP および Server 2003 の場合:

    1. [スタート]-[検索]-[ファイルとフォルダすべて]を選択します。
    2. [ファイル名のすべてまたは一部]に以下のファイル名を入力してください。
      • %Tasks%\Security Center Update - {number}.job
    3. [探す場所]の一覧から[マイコンピュータ]を選択し、[検索]を押します。
    4. 検索が終了したら、ファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
      註:ファイル名の入力欄のタイトルは、Windowsのバージョンによって異なります。(例:ファイルやフォルダ名の検索の場合やファイル名のすべてまたは一部での検索)

  • Windows Vista、7、Server 2008、8、8.1 および Server 2012 の場合:

    1. Windowsエクスプローラ画面を開きます。
      • Windows Vista、7 および Server 2008 の場合:
        • [スタート]-[コンピューター]を選択します。
      • Windows 8、8.1 および Server 2012 の場合:
        • 画面の左下隅を右クリックし、[エクスプローラー]を選択します。
    2. [コンピューターの検索]に、以下を入力します。
      • %Tasks%\Security Center Update - {number}.job
    3. ファイルが表示されたら、そのファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
      註:Windows 7 において上記の手順が正しく行われない場合、マイクロソフトのWebサイトをご確認ください。

    • 手順 7

    コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TROJ_ZCLICK.A」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


    ご利用はいかがでしたか? アンケートにご協力ください