RTKT_ZACESS
Sirefef, Zeroaccess, Kazy, Conjar, ZAccess, Zacess
Windows 2000, Windows XP, Windows Server 2003
- マルウェアタイプ: その他
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
「ZEROACCESS」は、「ZACCESS」としても知られているルートキット機能を備えるファミリであり、主に「FAKEAV」ファミリといった他のマルウェアと共に確認されます。
「ZEROACCESS」ファミリは、感染コンピュータのセキュリティ対策ソフトを無効にします。このような機能を備える他のファミリのほとんどは、セキュリティ対策ソフトのサービスやプロセスを無効にするのに対し、「ZEROACCESS」ファミリの亜種は、感染コンピュータのアクセス制御リスト(ACL)を変更します。これにより感染コンピュータのセキュリティ対策ソフトの起動が妨げられ、さらなる感染被害の可能性を高めます。
「ZEROACCESS」ファミリは、感染コンピュータ上に他のファミリの亜種をダウンロードします。また、広告を表示したりユーザを不正なWebサイトへと誘導するために、インターネットのトラフィックや検索エンジン結果を乗っ取ります。
2012年において確認されている亜種は、「Domain Generation Algorithm(DGA)」と呼ばれるドメイン生成の手法を用いてコマンド&コントロール(C&C)サーバへ接続します。この不正活動によって、ドメインがランダムに生成されるため、不正なサーバがブロックされることを困難にします。
詳細
インストール
マルウェアは、以下のファイルを作成します。
- %Application Data%\8c0f0459\@
- %Application Data%\8c0f0459\X
- %Windows%\1493438348
(註:%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\<ユーザ名>\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Application Data" です。. %Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。)
マルウェアは、以下のフォルダを作成します。
- %Application Data%\8c0f0459
- %Application Data%\8c0f0459\U
(註:%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\<ユーザ名>\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Application Data" です。)
自動実行方法
マルウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\8c0f0459
ImagePath = "\systemroot\1493438348:1945172902.exe"
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "%Application Data%\8c0f0459\X"
他のシステム変更
マルウェアは、以下のレジストリキーを追加します。
HKEY_CLASSES_ROOT\Interface\{b1041c7f-46ea-d87c-4a51-abba7b80f3da}
HKEY_CLASSES_ROOT\Software\8c0f0459
マルウェアは、インストールの過程で、以下のレジストリ値を追加します。
HKEY_CLASSES_ROOT\Interface\{b1041c7f-46ea-d87c-4a51-abba7b80f3da}
u = "dword:00000075"
HKEY_CLASSES_ROOT\Interface\{b1041c7f-46ea-d87c-4a51-abba7b80f3da}
cid = "{hex values}"
HKEY_CURRENT_USER\Software\8c0f0459
u = "dword:00000075"
HKEY_CURRENT_USER\Software\8c0f0459
id = "{hex values}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Windows%\explorer.exe = "%Windows%\explorer.exe:*:Enabled:Windows Explorer"
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- {BLOCKED}ie.cn
対応方法
トレンドマイクロのお客様:
最新のバージョン(パターンファイル and エンジン)を導入したセキュリティ対策製品を用い、ウイルス検索を実行してください。検出したファイルはすべて「削除」し、検出したウイルスはすべて「駆除」してください。削除対象となるファイルには、トロイの木馬型不正プログラムやスクリプト系、上書き感染型ウイルス(overwriting virus)、ジョーク・プログラムなど「駆除」できない不正プログラムがあげられ、これらのファイルを検出した場合は、すべて「削除」してください。
インターネットをご利用の皆様:
- トレンドマイクロの「オンラインスキャン」を使って、あなたの PC がウイルスに侵されていないかどうかを簡単にチェックすることが可能です。オンラインスキャンはあなたのコンピュータの中に不正なプログラムが存在するかどうかをチェックします。
- 今日、PCやネットワークをセキュリティ上の脅威から守り、安全なIT環境を維持するためには、セキュリティ製品を活用することが最も有効な方法となっています。トレンドマイクロは、一般の個人ユーザだけでなく、企業ユーザやインターネット・サービス・プロバイダ(ISP)向けに、ウイルス対策製品やコンテンツセキュリティ対策をご提供しています。トレンドマイクロの製品・サービスについては、こちらをご参照ください。
ご利用はいかがでしたか? アンケートにご協力ください