• オンライン購入
  1. /
  2. セキュリティレスポンス/
  3. Trojan.Zeroaccess
  4. Trojan.Zeroaccess
  • ブックマーク

Trojan.Zeroaccess

危険度2: 低

発見日:
2011 年 7 月 13 日
更新日:
2014 年 2 月 19 日 6:08:54 AM
種別:
Trojan
感染サイズ:
不定
影響を受けるシステム:
Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP
CVE 識別番号:
CVE-2006-0003, CVE-2008-2992, CVE-2009-0927, CVE-2009-1671, CVE-2009-1672, CVE-2009-4324, CVE-2010-1885
Trojan.Zeroaccess は、高度なルートキットを使用して自分自身を隠すトロイの木馬です。隠しファイルシステムを作成し、追加のマルウェアをダウンロードし、侵入先のコンピュータでバックドアを開きます。

ZeroAccess と呼ばれるオリジナルのプロジェクトフォルダをポイントしている文字列がカーネルドライバのコード内にあるため、このトロイの木馬は ZeroAccess と呼ばれています。また、__max++> と呼ばれる新規のカーネルデバイスオブジェクトも作成するため、max++ としても知られています。

感染
この脅威はいくつかの手段を使ってばらまかれます。いくつかの Web サイトが侵害を受け、Trojan.Zeroaccess をホストする悪質な Web サイトにトラフィックをリダイレクトし、BlackHole の原理 と Bleeding Life ツールキットを使用してこの脅威をばらまきます。これは典型的な「ドライブバイダウンロード」シナリオです。また、ピアツーピアネットワークを介して自身を更新するため、作成者がこの脅威を強化することができ、新しい機能を追加する可能性もあります。


機能
この脅威の主な目的は、pay per click 広告を介してお金儲けをすることです。この脅威は Web 検索を行うアプリケーションをダウンロードし、検索結果をクリックすることでこれを実行します。これは クリック詐欺 として知られていて、マルウェア作成者にとってはとても儲かるビジネスです。

また、この脅威は侵入先のコンピュータに追加の脅威をダウンロードすることができます。その中には、そのコンピュータ上で見つかった脅威に関する偽の情報を表示するミスリーディングアプリケーションもあり、ユーザーを怖がらせて、偽の脅威を削除するための 偽のウイルス対策ソフトウェア を購入させる可能性があります。また、自身の更新をダウンロードしてこの脅威を強化したり、機能を修正する能力もあります。

また、侵入先のコンピュータにソフトウェアをダンロードして、マルウェア作成者のために Bitcoin マイニングを実行することが知られています。1 台のコンピュータへの Bitcoin マイニングはとるにたらない活動ですが、大量のボットネットの処理能力を利用して実行されると、生成される合計額は相当なものになります。

さらに、この脅威はバックドアを開いて Command and Control (C&C) サーバーに接続することで、リモートの攻撃者が侵入先のコンピュータにアクセスできるようにします。 攻撃者はこのコンピュータ上でさまざまな操作を実行することができるようになり、このコンピュータはより広範囲なボットネットの一部になる可能性があります。

この脅威はシステムドライバに感染しコンピュータ上のすべてのコンポーネントを隠すルートキットとして動作するため、上記の機能は気付かれることなく達成されます。この脅威はコンピュータのファイルシステムに暗号化された隠しボリュームを設定し、すべてのコンポーネントをここに保存します。隠しボリュームに自身のコンポーネントをすべて保存するだけでなく、コンピュータ上にダウンロードした他の悪質なソフトウェアもここに隠します。


Backdoor.Tidserv へのリンク
Trojan.Zeroaccess と高度なルートキット機能 Backdoor.Tidserv を備えた他のマルウェア間に関連性があることを示す明らかな証拠があります。しかし、これらの 2 つのマルウェアの作成者が同一であるかどうかは分かっていません。同一人物が両方のマルウェアのコードを作成し、ブラックマーケットで異なる集団に売った可能性があります。または、Zeroaccess の作成者が Tidserv のコードを買い、自身の目的に合わせて修正した可能性もあります。しかし、Zeroaccess が侵入先のコンピュータで Tidserv の痕跡を積極的に探し、見つかった場合は削除することは間違いありません。



地理的分布
シマンテックでは、この脅威について、次の地理的分布を観測しています。






感染率
シマンテックでは、この脅威について、次の感染レベルを観測しています。




シマンテックの保護対策の概要
シマンテックは、この脅威ファミリーに対する保護対策として次のコンテンツを提供しています。


ウイルス対策シグネチャ


ウイルス対策 (ヒューリスティック/汎用)


侵入防止システム (英語)

ウイルス対策日

  • Rapid Release 初回バージョン2011 年 7 月 13 日 リビジョン016
  • Rapid Release 最新バージョン2014 年 12 月 10 日 リビジョン005
  • Daily Certified 初回バージョン2011 年 7 月 13 日 リビジョン024
  • Daily Certified 最新バージョン2014 年 12 月 10 日 リビジョン016
  • Weekly Certified 初回リリース日2011 年 7 月 13 日
Rapid Release と Daily Certified のウイルス定義について詳しくは、ここをクリックしてください。

危険性の評価

被害状況

  • 被害レベル:High
  • 感染台数:1000+
  • 感染報告数:10+
  • 地域危険度:High
  • 対処レベル:Easy
  • 駆除:Difficult

ダメージ

  • ダメージレベル:Medium
  • 発病症状:侵入先のコンピュータに追加のマルウェアをダウンロードし、バックドアを開く
  • パフォーマンスの低下:ダウンロードされたペイロードが侵入先のコンピュータのパフォーマンスに影響を与える可能性がある
  • 不正アクセス:セキュリティ関連のアプリケーションを無効にする

感染力

  • 感染力レベル:Low
記述:Jarrad Shearer
危険性の評価| テクニカルノート| 駆除方法
スパムレポート