Trend Micro Security

TROJ_ZEKOS.B

2014年3月10日
 解析者: Mark Joseph Manahan   

 別名:

Trojan horse Generic_r.DKQ (AVG) ,W32/Daws.CAKY!tr (Fortinet) ,Trojan-Dropper.Win32.Daws (Ikarus) ,Trojan-Dropper.Win32.Daws.caky (Kaspersky) ,Win32/Viknok.F trojan (Eset) ,Trojan.Adclicker (Symantec) ,Trj/dtcontx.J (Panda) ,Trojan.Win32.Generic!BT (Sunbelt)

 プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: トロイの木馬型
  • 破壊活動の有無: なし
  • 暗号化: はい
  • 感染報告の有無: はい

  概要

感染経路 インターネットからのダウンロード, 他のマルウェアからの作成

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。


  詳細

ファイルサイズ 121,344 bytes
タイプ EXE
メモリ常駐 はい
発見日 2014年1月29日
ペイロード URLまたはIPアドレスに接続, ファイルの作成, ファイルの変更

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

他のシステム変更

マルウェアは、以下のファイルを改変します。

  • %System%\rpcss.dll - renamed to {random filename}.{random extension} (normal dll)
  • %System%\rpcss.dll - detected as PTCH_ZEKOS.SM
  • %System%\dllcache\rpcss.dl - detected as PTCH_ZEKOS.SM

(註:%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)

ダウンロード活動

マルウェアは、以下のWebサイトにアクセスし、ファイルをダウンロードします。

  • http://{BLOCKED}-walk.org/load.php?id={no.}&p={no.}&t={no.}&e={no.}
  • http://{BLOCKED}-gamma.net/load.php?id={no.}&p={no.}&t={no.}&e={no.}
  • http://{BLOCKED}to-step1.com/load.php?id={no.}&p={no.}&t={no.}&e={no.}

マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。

  • %System%\{random filename}.{random extension} - encrypted code 1
  • %System%\{random filename}.{random extension} - {Generated Hash}

(註:%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)

情報漏えい

マルウェアは、Webブラウザに自身を組み込み、ユーザが以下の検索エンジンで行う検索を監視します。

  • firefox.exe
  • chrome.exe
  • iexplore.exe
  • safari.exe
  • opera.exe
  • trustedinstaller.exe
  • update.exe

その他

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

  • http://{BLOCKED}4all.org/gate.php
  • http://{BLOCKED}base.org/gate.php
  • http://{BLOCKED}.{BLOCKED}.139.19/gate.php
  • http://{BLOCKED}.{BLOCKED}.138.89/gate.php

マルウェアは、以下のプロセスを監視します。

  • firefox.exe
  • chrome.exe
  • iexplore.exe
  • safari.exe
  • opera.exe
  • trustedinstaller.exe
  • update.exe

マルウェアは、金銭を得るため「ペイ・パー・クリック(PPC)」の活動の一部として、以下のURLにアクセスします。

  • http://{BLOCKED}n9.info/task/2000/
  • http://{BLOCKED}-n.net/task/2000/
  • http://{BLOCKED}5.info/task/2000/
  • http://{BLOCKED}wx.net/task/2000/
  • http://{BLOCKED}der-k.com/task/2000/
  • http://{BLOCKED}zone.net/task/2000/
  • http://{BLOCKED}oingz.info/task/2000/
  • http://{BLOCKED}lor17.com/task/2000/
  • http://{BLOCKED}-s.biz/task/2000/


  対応方法

対応検索エンジン: 9.700

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

「TROJ_ZEKOS.B」 が作成またはダウンロードした不正なファイルを削除します。

    • PTCH_ZEKOS.SM

手順 3

コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TROJ_ZEKOS.B」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


ご利用はいかがでしたか? アンケートにご協力ください