Trend Micro Security

ZEROACCESS

2014年2月24日
 解析者: Dianne Lagrimas   

 別名:

Sirefef, Zeroaccess, Kazy, Conjar, ZAccess, Zacess

 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:


  • マルウェアタイプ: その他
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

ZEROACCESS」は、「ZACCESS」としても知られているルートキット機能を備えるファミリであり、主に偽セキュリティソフト型マルウェア「FAKEAV」ファミリに関連する他のマルウェアと共に確認されます。

「ZEROACCESS」は、感染コンピュータのセキュリティ対策製品を無効にします。このような機能を備える他のファミリのほとんどは、大抵の場合、セキュリティ対策用サービスとプロセスを無効化しますが、「ZEROACCESS」は、感染コンピュータのアクセス制御リスト(ACL)を変更します。これにより感染コンピュータ上でセキュリティ対策ソフトウェアを起動しないようにするため、コンピュータはさらなる感染被害にさらされることとなります。

「ZEROACCESS」は、感染コンピュータ上に他のファミリの亜種をダウンロードする可能性があります。また、広告を表示したりユーザを不正なWebサイトへと誘導するために、インターネットのトラフィックや検索エンジン結果を乗っ取ります。

2012年現在で確認されている亜種は、「Domain Generation Algorithm(DGA)」と呼ばれるドメイン生成の手法を用いてコマンド&コントロール(C&C)サーバと通信します。この不正活動によって、ドメインがランダムに生成されるため、不正なサーバのブロックが困難になります。


  詳細

ペイロード ファイルのダウンロード

インストール

マルウェアは、以下のファイルを作成します。

  • %Application Data%\8c0f0459\@
  • %Application Data%\8c0f0459\X
  • %Windows%\1493438348

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。. %Windows%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、"C:\Windows" です。)

マルウェアは、以下のフォルダを作成します。

  • %Application Data%\8c0f0459
  • %Application Data%\8c0f0459\U

(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。)

自動実行方法

マルウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\8c0f0459
ImagePath = "\systemroot\1493438348:1945172902.exe"

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "%Application Data%\8c0f0459\X"

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

HKEY_CLASSES_ROOT\Interface\{b1041c7f-46ea-d87c-4a51-abba7b80f3da}

HKEY_CLASSES_ROOT\Software\8c0f0459

マルウェアは、インストールの過程で、以下のレジストリ値を追加します。

HKEY_CLASSES_ROOT\Interface\{b1041c7f-46ea-d87c-4a51-abba7b80f3da}
u = "dword:00000075"

HKEY_CLASSES_ROOT\Interface\{b1041c7f-46ea-d87c-4a51-abba7b80f3da}
cid = "{hex values}"

HKEY_CURRENT_USER\Software\8c0f0459
u = "dword:00000075"

HKEY_CURRENT_USER\Software\8c0f0459
id = "{hex values}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Windows%\explorer.exe = "%Windows%\explorer.exe:*:Enabled:Windows Explorer"

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

  • {BLOCKED}ie.cn


  対応方法

対応検索エンジン: 9.200

トレンドマイクロのお客様:

    最新のバージョン(パターンファイル and エンジン)を導入したセキュリティ対策製品を用い、ウイルス検索を実行してください。検出したファイルはすべて「削除」し、検出したウイルスはすべて「駆除」してください。削除対象となるファイルには、トロイの木馬型不正プログラムやスクリプト系、上書き感染型ウイルス(overwriting virus)、ジョーク・プログラムなど「駆除」できない不正プログラムがあげられ、これらのファイルを検出した場合は、すべて「削除」してください。

インターネットをご利用の皆様:

  • トレンドマイクロの「オンラインスキャン」を使って、あなたの PC がウイルスに侵されていないかどうかを簡単にチェックすることが可能です。オンラインスキャンはあなたのコンピュータの中に不正なプログラムが存在するかどうかをチェックします。
  • 今日、PCやネットワークをセキュリティ上の脅威から守り、安全なIT環境を維持するためには、セキュリティ製品を活用することが最も有効な方法となっています。トレンドマイクロは、一般の個人ユーザだけでなく、企業ユーザやインターネット・サービス・プロバイダ(ISP)向けに、ウイルス対策製品やコンテンツセキュリティ対策をご提供しています。トレンドマイクロの製品・サービスについては、こちらをご参照ください。


ご利用はいかがでしたか? アンケートにご協力ください