Trend Micro Security

TROJ_ZACCESS.SMJ

2013年12月23日
 更新者 : Rika Joi Gregorio
 別名:

Trojan.Zeroaccess!g46(Symantec), W32/ZAccess.DHPV!tr.bdr(Fortinet), Win32/Sirefef.FY trojan(Eset)

 プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、実行後、自身を削除します。

  詳細

ファイルサイズ 132,096 bytes
タイプ EXE
メモリ常駐 はい
発見日 2013年12月17日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

  • %AppDataLocal%\Google\Desktop\Install\{GUID}\{unprintable characters1}\{unprintable characters2}\{RLO + unprintable characters3}\{GUID}\GoogleUpdate.exe
  • %Program Files%\Google\Desktop\Install\{GUID}\{unprintable characters1}\{unprintable characters2}\{RLO + unprintable characters3}\{GUID}\GoogleUpdate.exe

(註:%AppDataLocal%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local" です。. %Program Files%フォルダは、Windows 2000、Server 2003、XP (32ビット)、通常 Vista (32ビット) および 7 (32ビット) の場合、通常 "C:\Program Files"、Windows XP (64ビット)、Vista (64ビット) および 7 (64ビット) の場合、通常 "C:\Program Files (x86)" です。)

マルウェアは、以下のコンポーネントファイルを作成します。

  • %Windows%\assembly\GAC\Desktop.ini - detected as TROJ_SIREFEF.BZO
  • %AppDataLocal%\Google\Desktop\Install\{GUID}\{unprintable characters1}\{unprintable characters2}\{RLO + unprintable characters3}\{GUID}\@ - config file
  • %Program Files%\Google\Desktop\Install\{GUID}\{unprintable characters1}\{unprintable characters2}\{RLO + unprintable characters3}\{GUID}\@ - config file

(註:%Windows%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、"C:\Windows" です。. %AppDataLocal%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local" です。. %Program Files%フォルダは、Windows 2000、Server 2003、XP (32ビット)、通常 Vista (32ビット) および 7 (32ビット) の場合、通常 "C:\Program Files"、Windows XP (64ビット)、Vista (64ビット) および 7 (64ビット) の場合、通常 "C:\Program Files (x86)" です。)

マルウェアは、以下のフォルダを作成します。

  • %AppDataLocal%\Google\Desktop\Install\{GUID}
  • %AppDataLocal%\Google\Desktop\Install\{GUID}\{unprintable characters1}
  • %AppDataLocal%\Google\Desktop\Install\{GUID}\{unprintable characters1}\{unprintable characters2}
  • %AppDataLocal%\Google\Desktop\Install\{GUID}\{unprintable characters1}\{unprintable characters2}\{RLO + unprintable characters3}
  • %AppDataLocal%\Google\Desktop\Install\{GUID}\{unprintable characters1}\{unprintable characters2}\{RLO + unprintable characters3}\{GUID}
  • %AppDataLocal%\Google\Desktop\Install\{GUID}\{unprintable characters1}\{unprintable characters2}\{RLO + unprintable characters3}\{GUID}\U
  • %AppDataLocal%\Google\Desktop\Install\{GUID}\{unprintable characters1}\{unprintable characters2}\{RLO + unprintable characters3}\{GUID}\L
  • %Program Files%\Google\Desktop\Install\{GUID}
  • %Program Files%\Google\Desktop\Install\{GUID}\{unprintable characters1}
  • %Program Files%\Google\Desktop\Install\{GUID}\{unprintable characters1}\{unprintable characters2}
  • %Program Files%\Google\Desktop\Install\{GUID}\{unprintable characters1}\{unprintable characters2}\{RLO + unprintable characters3}
  • %Program Files%\Google\Desktop\Install\{GUID}\{unprintable characters1}\{unprintable characters2}\{RLO + unprintable characters3}\{GUID}
  • %Program Files%\Google\Desktop\Install\{GUID}\{unprintable characters1}\{unprintable characters2}\{RLO + unprintable characters3}\{GUID}\U
  • %Program Files%\Google\Desktop\Install\{GUID}\{unprintable characters1}\{unprintable characters2}\{RLO + unprintable characters3}\{GUID}\L

(註:%AppDataLocal%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local" です。. %Program Files%フォルダは、Windows 2000、Server 2003、XP (32ビット)、通常 Vista (32ビット) および 7 (32ビット) の場合、通常 "C:\Program Files"、Windows XP (64ビット)、Vista (64ビット) および 7 (64ビット) の場合、通常 "C:\Program Files (x86)" です。)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Google Update = ""%AppDataLocal%\Google\Desktop\Install\{GUID}\{unprintable characters1}\{unprintable characters2}\{RLO + unprintable characters3}\{GUID}\GoogleUpdate.exe" >"

マルウェアは、作成されたコンポーネントをシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{RLO character}etadpug
ImagePath = "%Program Files%\Google\Desktop\Install\{GUID}\{unprintable characters1}\{unprintable characters2}\{RLO + unprintable characters3}\{GUID}\GoogleUpdate.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{RLO character}etadpug
DisplayName = "Google Update Service (gupdate)"

マルウェアは、作成されたコンポーネントをシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\{RLO character}etadpug

他のシステム変更

マルウェアは、以下のレジストリキーを削除します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_BITS

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_SHAREDACCESS

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_WSCSVC

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_WUAUSERV

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\BITS

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv

その他

マルウェアは、実行後、自身を削除します。

マルウェアは、以下のWebサイトにアクセスし、感染コンピュータの地理情報を収集します。

  • http://j.maxmind.com/app/geoip.js

  対応方法

対応検索エンジン: 9.700
初回 VSAPI パターンバージョン 10.364.04
初回 VSAPI パターンリリース日 2013年10月25日
VSAPI OPR パターンバージョン 10.365.00
VSAPI OPR パターンリリース日 2013年10月25日

手順1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順2

自動実行レジストリキーのバックアップ

  1. レジストリエディタを開きます。Windowsキー+Rを押し、[ファイル名を指定して実行]の入力欄に"regedit"と入力し、ENTERを押します。
  2. キーを割り当てます。
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Run
  3. ファイルメニューをクリックし、[エクスポート]をクリックします。
  4. [保存]の画面で、バックアップのコピーを保存したい場所を選択し、[ファイル名]にバックアップファイルの名前を入力します。
  5. [保存]をクリックします。

手順3

サービスレジストリを無効にする

  1. レジストリエディタを開きます。Windowsキー+Rを押し、[ファイル名を指定して実行]の入力欄に"regedit"と入力し、ENTERを押します。
  2. 左側のパネルで、以下をダブルクリックします。
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>services>gupdate
  3. 右側のパネルで、レジストリ値を割り当てます。
    ImagePath = "%Program Files%\Google\Desktop\Install\{GUID}\{unprintable characters1}\{unprintable characters2}\{RLO + unprintable characters3}\{GUID}\GoogleUpdate.exe"
  4. 該当の値の名前の上で右クリックし、[編集]を選択します。このエントリの値のデータを以下のように変更します。
    ImagePath = "@"
  5. 右側のパネルで、レジストリ値を割り当てます。
    Start = "2"
  6. 該当の値の名前の上で右クリックし、[編集]を選択します。このエントリの値のデータを以下のように変更します。
    Start = "4"

手順4

Windows Vistaおよびそれ以降のバージョンでは、手順1および2は必要ありません。許可を要求するポップアップで[はい]を押して、権限の追加のみ行います。他のWindows のOSでは、マルウェアの存在するフォルダへのアクセスおよび削除のため、フォルダへオーナー権限を割り当てる必要があります。このため、以下の手順を行う必要があります。

  1. 以下のフォルダを開きます。
    • %AppDataLocal%\Google\Desktop\Install\{GUID}\{unprintable characters1}\{unprintable characters2}\{RLO + unprintable characters3}

    (註:%AppDataLocal%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local" です。%Program Files%フォルダは、Windows 2000、Server 2003、XP (32ビット)、Vista (32ビット) および 7 (32ビット) の場合、通常 "C:\Program Files"、Windows XP (64ビット)、Vista (64ビット) および 7 (64ビット) の場合、通常 "C:\Program Files (x86)" です。)
  2. 上述のメニューバーで、[ツール]-[フォルダオプション]-[表示]タブをクリックします。[簡易ファイルの共有を使用する(推奨)]のチェックを外し、[適用]を押します。

  3. 「{GUID}」フォルダを右クリックし、[プロパティ]をクリックします。[セキュリティ]-[詳細設定]-[所有者]をクリックします。
  4. いずれかの所有者を選択し、[適用]ボタンを押します。

  5. フォルダのプロパティの[セキュリティ]タブを再度開きます。[フル コントロール](許可)にチェックし、[適用]ボタンを押します。
  6. マルウェアを削除するため、フォルダを削除します。
  7. 以下のフォルダを開きます。
    • %Program Files%\Google\Desktop\Install\{GUID}\{unprintable characters1}\{unprintable characters2}\{RLO + unprintable characters3}
  8. 上述のメニューバーで、[ツール]-[フォルダオプション]-[表示]タブをクリックします。[簡易ファイルの共有を使用する(推奨)]のチェックを外し、[適用]を押します。
  9. 「{GUID}」フォルダを右クリックし、[プロパティ]をクリックします。[セキュリティ]-[詳細設定]-[所有者]をクリックします。
  10. いずれかの所有者を選択し、[適用]ボタンを押します。
  11. フォルダのプロパティの[セキュリティ]タブを再度開きます。[フル コントロール](許可)にチェックし、[適用]ボタンを押します。
  12. "@"のファイルを除いて、フォルダの中身を削除します。このファイルは無害ですが、再起動時に削除されます。
  13. 保存されたフォルダ内の拡張子".reg"のファイルおよび指定されたファイルが実行されることにより、手順2のレジストリ値のバックアップが復元されます。

手順5

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TROJ_ZACCESS.SMJ」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください