ZLOB
DNSChanger
Windows 2000, Windows XP, Windows Server 2003
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化:
- 感染報告の有無: はい
概要
「ZLOB」は、2006年頃から確認されています。マルウェアは、ビデオコーデックとして装い、コンピュータに侵入することで知られています。トレンドマイクロでは、改ざんされたWebサイトを介してこのマルウェアが拡散された事例を確認しています。
ZLOBの主な機能は、感染コンピュータのDNS設定を変更する機能です。コンピュータのDNS設定を変更することで、感染コンピュータを不正なWebサイトに誘導することが可能になります。このように、正規Webサイトから他のWebサイトに誘導することで、サイバー犯罪者は間接的に金銭を収集します。
ZLOBは、ブラウザのインターネット閲覧状況を監視します。マルウェアは、セキュリティソフトに関連するプロセスを終了する機能を備えており、感染コンピュータから検出および削除されるのを防ぎます。
詳細
インストール
マルウェアは、以下のファイルを作成します。
- %System%\spool\prtprocs\w32x86\{random}.dll
- %System%\ernel32.dll
(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %System%\spool\PRTPROCS\W32X86\000029cc.tmp
- %User Temp%\{random}
- %System%\{random}.exe
- %Application Data%\{random}.exe
(註:%System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。. %User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\<ユーザー名>\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\TEMP" です。. %Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\<ユーザ名>\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\<ユーザ名>\Application Data" です。)
自動実行方法
マルウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_MSWU-B04BA347
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_MSWU-B04BA347\
0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\MSWU-b04ba347
他のシステム変更
マルウェアは、インストールの過程で、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLUA = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UacDisableNotify = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile\AuthorizedApplications\
List
%System%\spoolsv.exe = "%System%\spoolsv.exe:*:Enabled:spoolsv.exe"
マルウェアは、以下のレジストリ値を変更します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Tcpip\Parameters
NameServer = "{BLOCKED}.{BLOCKED}.162.160,{BLOCKED}.{BLOCKED}.166.191"
(註:変更前の上記レジストリ値は、「{user-defined}」となります。)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Tcpip\Parameters
DhcpNameServer = "{BLOCKED}.{BLOCKED}.162.160,{BLOCKED}.{BLOCKED}.166.191"
(註:変更前の上記レジストリ値は、「{user-defined}」となります。)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Tcpip\Parameters\
Interfaces\{CLSID}
DhcpNameServer = "{BLOCKED}.{BLOCKED}.162.160.{BLOCKED}.{BLOCKED}.166.191"
(註:変更前の上記レジストリ値は、「{user-defined}」となります。)
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- http://{BLOCKED}ume.com/kx.php
- http://{control URL}/index.asp
- http://{control URL}/dlink/hwiz.html
- http://{control URL}/home.asp
- http://{control URL}/wizard.htm
- http://{control URL}/login.asp
- http://{BLOCKED}.{BLOCKED}.90.26/bsfd.php
対応方法
トレンドマイクロのお客様:
最新のバージョン(パターンファイル and エンジン)を導入したセキュリティ対策製品を用い、ウイルス検索を実行してください。検出したファイルはすべて「削除」し、検出したウイルスはすべて「駆除」してください。削除対象となるファイルには、トロイの木馬型不正プログラムやスクリプト系、上書き感染型ウイルス(overwriting virus)、ジョーク・プログラムなど「駆除」できない不正プログラムがあげられ、これらのファイルを検出した場合は、すべて「削除」してください。
インターネットをご利用の皆様:
- トレンドマイクロの「オンラインスキャン」を使って、あなたの PC がウイルスに侵されていないかどうかを簡単にチェックすることが可能です。オンラインスキャンはあなたのコンピュータの中に不正なプログラムが存在するかどうかをチェックします。
- 今日、PCやネットワークをセキュリティ上の脅威から守り、安全なIT環境を維持するためには、セキュリティ製品を活用することが最も有効な方法となっています。トレンドマイクロは、一般の個人ユーザだけでなく、企業ユーザやインターネット・サービス・プロバイダ(ISP)向けに、ウイルス対策製品やコンテンツセキュリティ対策をご提供しています。トレンドマイクロの製品・サービスについては、こちらをご参照ください。
ご利用はいかがでしたか? アンケートにご協力ください