発見日: July 13, 2011
更新日: February 19, 2014 6:08:54 AM
種別: Trojan
感染サイズ: 不定
影響を受けるシステム: Windows
CVE 識別番号: CVE-2006-0003 | CVE-2008-2992 | CVE-2009-0927 | CVE-2009-1671 | CVE-2009-1672 | CVE-2009-4324 | CVE-2010-1885

Trojan.Zeroaccess は、高度なルートキットを使用して自分自身を隠すトロイの木馬です。隠しファイルシステムを作成し、追加のマルウェアをダウンロードし、侵入先のコンピュータでバックドアを開きます。

ZeroAccess と呼ばれるオリジナルのプロジェクトフォルダをポイントしている文字列がカーネルドライバのコード内にあるため、このトロイの木馬は ZeroAccess と呼ばれています。また、__max++> と呼ばれる新規のカーネルデバイスオブジェクトも作成するため、max++ としても知られています。

感染
この脅威はいくつかの手段を使ってばらまかれます。いくつかの Web サイトが侵害を受け、Trojan.Zeroaccess をホストする悪質な Web サイトにトラフィックをリダイレクトし、BlackHole の原理 と Bleeding Life ツールキットを使用してこの脅威をばらまきます。これは典型的な「ドライブバイダウンロード」シナリオです。また、ピアツーピアネットワークを介して自身を更新するため、作成者がこの脅威を強化することができ、新しい機能を追加する可能性もあります。


機能
この脅威の主な目的は、pay per click 広告を介してお金儲けをすることです。この脅威は Web 検索を行うアプリケーションをダウンロードし、検索結果をクリックすることでこれを実行します。これは クリック詐欺 として知られていて、マルウェア作成者にとってはとても儲かるビジネスです。

また、この脅威は侵入先のコンピュータに追加の脅威をダウンロードすることができます。その中には、そのコンピュータ上で見つかった脅威に関する偽の情報を表示するミスリーディングアプリケーションもあり、ユーザーを怖がらせて、偽の脅威を削除するための 偽のウイルス対策ソフトウェア を購入させる可能性があります。また、自身の更新をダウンロードしてこの脅威を強化したり、機能を修正する能力もあります。

また、侵入先のコンピュータにソフトウェアをダンロードして、マルウェア作成者のために Bitcoin マイニングを実行することが知られています。1 台のコンピュータへの Bitcoin マイニングはとるにたらない活動ですが、大量のボットネットの処理能力を利用して実行されると、生成される合計額は相当なものになります。

さらに、この脅威はバックドアを開いて Command and Control (C&C) サーバーに接続することで、リモートの攻撃者が侵入先のコンピュータにアクセスできるようにします。 攻撃者はこのコンピュータ上でさまざまな操作を実行することができるようになり、このコンピュータはより広範囲なボットネットの一部になる可能性があります。

この脅威はシステムドライバに感染しコンピュータ上のすべてのコンポーネントを隠すルートキットとして動作するため、上記の機能は気付かれることなく達成されます。この脅威はコンピュータのファイルシステムに暗号化された隠しボリュームを設定し、すべてのコンポーネントをここに保存します。隠しボリュームに自身のコンポーネントをすべて保存するだけでなく、コンピュータ上にダウンロードした他の悪質なソフトウェアもここに隠します。


Backdoor.Tidserv へのリンク
Trojan.Zeroaccess と高度なルートキット機能 Backdoor.Tidserv を備えた他のマルウェア間に関連性があることを示す明らかな証拠があります。しかし、これらの 2 つのマルウェアの作成者が同一であるかどうかは分かっていません。同一人物が両方のマルウェアのコードを作成し、ブラックマーケットで異なる集団に売った可能性があります。または、Zeroaccess の作成者が Tidserv のコードを買い、自身の目的に合わせて修正した可能性もあります。しかし、Zeroaccess が侵入先のコンピュータで Tidserv の痕跡を積極的に探し、見つかった場合は削除することは間違いありません。



地理的分布
シマンテックでは、この脅威について、次の地理的分布を観測しています。






感染率
シマンテックでは、この脅威について、次の感染レベルを観測しています。




シマンテックの保護対策の概要
シマンテックは、この脅威ファミリーに対する保護対策として次のコンテンツを提供しています。


ウイルス対策シグネチャ



ウイルス対策 (ヒューリスティック/汎用)


侵入防止システム (英語)

ウイルス対策日

  • Rapid Release 初回バージョン July 13, 2011 リビジョン 016
  • Rapid Release 最新バージョン April 21, 2018 リビジョン 037
  • Daily Certified 初回バージョン July 13, 2011 リビジョン 024
  • Daily Certified 最新バージョン April 22, 2018 リビジョン 007
  • Weekly Certified 初回リリース日 July 13, 2011

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

記述: Jarrad Shearer

発見日: July 13, 2011
更新日: February 19, 2014 6:08:54 AM
種別: Trojan
感染サイズ: 不定
影響を受けるシステム: Windows
CVE 識別番号: CVE-2006-0003 | CVE-2008-2992 | CVE-2009-0927 | CVE-2009-1671 | CVE-2009-1672 | CVE-2009-4324 | CVE-2010-1885

1. 防御と回避
1.1 ユーザーの対処と予防策
1.2 オペレーティングシステムとソフトウェアへのパッチの適用
1.3 特定アドレスへのアクセスのブロック
2. 感染方法
3. 機能
3.1 システム変更
3.2 ネットワーク関連操作
3.3 ルートキット機能
3.4 Command and Control (C&C) サーバー
3.5 セキュリティソフトウェアを無効にする
4. 追加情報



1. 防御と回避
この脅威によるリスクを回避または最小限にするために、次のアクションを実行してください。


1.1 ユーザーの対処と予防策
コンテンツ管理や品質チェックが適切に行われていないと思われるブログやフォーラムなどの Web サイトでは、リンクをクリックする際に警戒することで、ユーザーは感染のリスクを軽減することができます。通常、マウスポインタをリンクの上に乗せるなどの基本的なチェックにより、リンク先を確認することができます。また、Norton セーフウェブ などのオンライン Web サイト評価サービスを利用して、そのサイトの安全性を確認することもできます。

検索エンジンで検索を実行するときは、検索結果を慎重に扱い、リンクをクリックする前に再確認します。ポップアップ広告が表示される場合は、その広告や広告内のリンクをクリックしないようにします。

著作権で保護された音楽、ビデオ、またはクラック版のソフトウェアなどのコンテンツを無料でダウンロードできるサイトやサービスには警戒が必要です。それらは有害なソフトウェアと一緒にダウンロードされるしかけになっていることが多く、この脅威の拡散に用いられる既知の手法です。無差別モードのファイル共有も、侵害のリスクを高めます。


1.2 オペレーティングシステムとソフトウェアへのパッチの適用
オペレーティングシステムとインストール済みのソフトウェアに間違いなくパッチが適用されていて、ウイルス対策ソフトウェアおよびファイアウォールソフトウェアが最新の状態で動作可能であることを確認してください。可能であれば自動更新を有効にし、最新のパッチや更新プログラムが利用可能になったときにコンピュータが受信できるようにしておきます。

また、この脅威は特定の脆弱性を悪用する BlackHole 悪用ツールキットや Bleeding Life ツールキットを介して拡散することが知られています。次のパッチをインストールすることで、お使いのコンピュータへのリスクが減ります。



1.3 特定アドレスへのアクセスのブロック
ファイアウォールやルーターを利用して次のアドレスへのアクセスをブロックするか、ローカルの hosts ファイルにエントリを追加して、次のアドレスを 127.0.0.1 にリダイレクトするようにします。
  • 69.176.14.76
  • 76.28.112.31
  • 24.127.157.117
  • 117.205.13.113
  • 200.59.7.216
  • 113.193.49.54


2. 感染方法
この脅威はトロイの木馬であるため、自身で活発に拡散はしません。そのため、別の方法を使って、侵害されたコンピュータに到達する必要があります。もっとも一般的な方法として、Zeroaccess は侵害された Web サイトを介し、悪質な Web サイトにトラフィックをリダイレクトして 「Blackhole の原理 」や Bleeding Life ツールキットを使用して脅威をばらまきます。これらのツールキットは、その後さまざまな脆弱性を悪用してコンピュータに侵入し、Zeroaccess に感染させます。

また、ピアツーピアネットワークを介して自身を更新することが確認されています。 これによって、作成者は継続的にこの脅威の機能を強化し、新しい機能を追加する可能性もあります。



3. 機能

この脅威の主な目的は、pay per click 広告と Bitcoin マイニングを介してお金儲けをすることです。Web 検索を実行して結果をクリックしたり Bitcoin マイニングを実行する追加のソフトウェアをダウンロードすることでこれを実行します。収益の創出機会が最大になるように、できるだけ長期間隠れて検出されないように試みます。高等なルートキット技術を用いて、この脅威自身だけでなく、Zeroaccess がダウンロードしインストールする他の脅威も隠します。

さらに、この脅威はバックドアを開いて Command and Control (C&C) サーバーに接続することで、リモートの攻撃者が侵入先のコンピュータにアクセスできるようにします。 攻撃者はこのコンピュータ上でさまざまな操作を実行することができるようになり、このコンピュータはより広範囲なボットネットの一部になる可能性があります。

注意: 関連する脅威による副次的な影響は、この文書には含まれません。


3.1 システム変更
この脅威ファミリーによって侵害されたコンピュータ上では、次の副次的な影響が確認される可能性があります。この脅威は高度なステルス技術を使用して自身を隠すため、侵入先のコンピュータに変更が加えられたとしても、専用ツールを使わなければ確認できない可能性があります。


作成されるファイルまたはフォルダ
なし


削除されるファイルまたはフォルダ
なし


変更されるファイルまたはフォルダ
%System%\Drivers\classpnp.sys と %System%\Drivers\win32k.sys の間でアルファベット順位になっているドライバファイルは、このトロイの木馬自身のコードで上書きされます。


作成されるレジストリサブキーまたはレジストリエントリ
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[感染したドライバのファイル名]\"ImagePath" = "\*"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[感染したドライバのファイル名]\"Type" = "1"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[感染したドライバのファイル名]\"Start" = "3"


削除されるレジストリサブキーまたはレジストリエントリ
なし


変更されるレジストリサブキーまたはレジストリエントリ (最終値)
なし


プロセス
この脅威は、自身のコードを次のプロセスに挿入します。
Explorer.exe


3.2 ネットワーク関連操作
この脅威は、command and control (C&C) サーバーによってリモートで制御されている可能性があります。さまざまな追加のマルウェアをダウンロードし、インストールするように指示される可能性があります。シマンテックは、「Shady RAT」としても知られている Trojan.Downbot および W32.Imaut が Zeroaccess によってダウンロードされていることを確認しました。

この脅威は、次の操作を実行する可能性があります。


ダウンロード
Zeroaccess は、潜在的に悪質なファイルをダウンロードして実行する可能性があります。また、ピアツーピアネットワークを介して自身の更新をダウンロードする可能性があります。次の IP アドレスからファイルがダウンロードされていることが確認されました。
193.105.154.40


アップロード
この脅威が次の IP アドレスに接続していることが確認されています。
  • 69.176.14.76
  • 76.28.112.31
  • 24.127.157.117
  • 117.205.13.113
  • 200.59.7.216
  • 113.193.49.54

注意: この脅威によって使用される IP アドレスは頻繁に変更されており、この脅威が多くのロケーションに接続している可能性があります。

このトロイの木馬は、次のロケーションに要求を送信する可能性があります。
counter.yadro.ru


その他のネットワーク関連操作
この脅威は次のタイムサーバーの 1 つに接続しようと試みることがあります。
  • ntp2.usno.navy.mil
  • ntp.adc.am
  • chronos.cru.fr
  • wwv.nist.gov
  • clock.isc.org
  • time.windows.com
  • time2.one4vision.de
  • time.cerias.purdue.edu
  • clock.fihn.net
  • ntp.duckcorp.org
  • ntp.ucsd.edu
  • ntp1.arnes.si
  • ntp.crifo.org
  • tock.usask.ca


3.3 ルートキット機能
%System%\Drivers\classpnp.sys と %System%\Drivers\win32k.sys の間でアルファベット順位になっているドライバを検索し、自身のコードで上書き後にオリジナルのドライバファイルを別の場所に保存します。このトロイの木馬はすべてのトラフィックを傍受し、感染したドライバに対する読み込みや書き込みの試みがあると、このルートキットはオリジナルのドライバのクリーンコピーを表示してファイルのコンテンツを偽装します。

ZeroAccess はコンピュータのファイルシステムに新規の RC4 で暗号化された隠しボリュームを設定し、暗号化されたボリューム内のファイルが OS にまったくアクセスできないようにします。またこのルートキットは、この脅威が他の潜在的に悪質なファイルをダウンロードできるようにし、これを隠しルートキットボリュームに保存し、ユーザーからもセキュリティソフトウェアからも隠します。


3.4 Command and Control (C&C) サーバー
この脅威は、事前に定義されたリストの C&C サーバーと通信しようと試みます。あまり高度ではないファイアウォールやセキュリティソフトウェアをバイパスし、 TCP ポート 13620 を介して、暗号化された要求をリストにあるすべてのサーバーに送信します。


3.5 セキュリティソフトウェアを無効にする
この脅威は偽のプロセスを作成します。セキュリティアプリケーションがシステムのスキャン中にそのプロセスにアクセスを試みると、この脅威がセキュリティアプリケーションを停止してクラッシュさせます。その後この脅威はセキュリティアプリケーションの設定を変更し、設定がデフォルトに戻されない限りアプリケーションが実行されなくします。



4. 追加情報
この脅威ファミリーに関する追加情報については、次のサイトを参照してください。

推奨する感染予防策

Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

  • Use a firewall to block all incoming connections from the Internet to services that should not be publicly available. By default, you should deny all incoming connections and only allow services you explicitly want to offer to the outside world.
  • Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
  • Ensure that programs and users of the computer use the lowest level of privileges necessary to complete a task. When prompted for a root or UAC password, ensure that the program asking for administration-level access is a legitimate application.
  • Disable AutoPlay to prevent the automatic launching of executable files on network and removable drives, and disconnect the drives when not required. If write access is not required, enable read-only mode if the option is available.
  • Turn off file sharing if not needed. If file sharing is required, use ACLs and password protection to limit access. Disable anonymous access to shared folders. Grant access only to user accounts with strong passwords to folders that must be shared.
  • Turn off and remove unnecessary services. By default, many operating systems install auxiliary services that are not critical. These services are avenues of attack. If they are removed, threats have less avenues of attack.
  • If a threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
  • Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
  • Configure your email server to block or remove email that contains file attachments that are commonly used to spread threats, such as .vbs, .bat, .exe, .pif and .scr files.
  • Isolate compromised computers quickly to prevent threats from spreading further. Perform a forensic analysis and restore the computers using trusted media.
  • Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.
  • If Bluetooth is not required for mobile devices, it should be turned off. If you require its use, ensure that the device's visibility is set to "Hidden" so that it cannot be scanned by other Bluetooth devices. If device pairing must be used, ensure that all devices are set to "Unauthorized", requiring authorization for each connection request. Do not accept applications that are unsigned or sent from unknown sources.
  • For further information on the terms used in this document, please refer to the Security Response glossary.

記述: Jarrad Shearer

発見日: July 13, 2011
更新日: February 19, 2014 6:08:54 AM
種別: Trojan
感染サイズ: 不定
影響を受けるシステム: Windows
CVE 識別番号: CVE-2006-0003 | CVE-2008-2992 | CVE-2009-0927 | CVE-2009-1671 | CVE-2009-1672 | CVE-2009-4324 | CVE-2010-1885

お使いのシマンテック製品がこのリスクについて警告した場合、またはこのリスクへの感染について懸念がある場合は、このページをご確認ください。

次に進む前に、Symantec Full System Scan User Guide (英語) を参照して、システムの完全スキャンを実行することをお勧めします。それでも問題が解決されない場合は、次のいずれかのオプションをお試しください。



Norton (個人向け) 製品のお客様
お客様が Norton 製品のユーザーである場合、このリスクの駆除に関する以下の情報を参照することをお勧めします。

駆除ツール


感染した Windows システムファイルがある場合は、Windows のインストール CD を使ったファイルの置き換え が必要な場合があります。


感染のリスクを軽減する方法
感染のリスクの軽減に役立つ詳細情報とベストプラクティスを、次のサイトで確認できます。


ビジネス (企業、法人向け) 製品のお客様
お客様がシマンテックのビジネス製品のユーザーである場合、このリスクの駆除に関する以下の情報を参照することをお勧めします。

疑わしいファイルの特定と提出
提出された疑わしいファイルにより、シマンテックでは、保護機能が絶えず変化し続ける脅威の動向に対応していることを確認できます。提出されたファイルはシマンテックセキュリティレスポンスによって解析され、必要な場合は、更新された定義が LiveUpdate™ を介して直ちに配布されます。これにより、周辺のその他のコンピュータを攻撃から確実に保護することができます。シマンテックに提出する疑わしいファイルを特定する方法は、次のサイトで確認できます。


駆除ツール

感染した Windows システムファイルがある場合は、「How to use the Symantec Endpoint Recovery Tool to replace an infected file 」(英語) に記載の手順によるファイルの置き換えが必要な場合があります。


感染のリスクを軽減する方法
感染のリスクの軽減に役立つ詳細情報とベストプラクティスを、次のサイトで確認できます。
セキュリティのベストプラクティス - インターネットのあらゆる脅威を阻止する



手動による駆除
以下の手順は、現在サポート対象のシマンテック製ウイルス対策製品のすべてを対象に記述されています。

1. システムの完全スキャンの実行
Symantec Full System Scan User Guide (英語)


2. レジストリの設定の復元
レジストリを改ざんするリスクは多く、侵入先のコンピュータの機能または処理速度に影響を与える可能性があります。改ざんの多くは、さまざまな Windows コンポーネントによって復元することができますが、レジストリの編集が必要な可能性があります。作成または改ざんされたレジストリキーに関する情報については、この文書の「テクニカルノート」を参照してください。このリスクによって作成されたレジストリサブキーとレジストリエントリを削除して、すべての改ざんされたレジストリエントリを以前の値に戻します。


3. Windows XP の Windows 回復コンソールを使った検出ファイルの復元
この脅威は、システムファイルを改ざんしたり、置き換えることがあるため、Windows 回復コンソールを使って影響を受けたファイルを復元する必要があります。 これには、コンピュータを再起動して Windows 回復コンソールを実行する必要があります。この実行方法の詳細については、マイクロソフトサポート技術情報の Windows XP での回復コンソールのインストールおよび使用方法 を参照してください。
  1. CD-ROM ドライブに Windows XP の CD-ROM を挿入します。
  2. CD-ROM ドライブからコンピュータを再起動します。
  3. 「セットアップの開始」画面が表示されたら、R キーを押して回復コンソールを開始します。
  4. 回復コンソールからアクセスしたいインストールを選択します。
  5. 管理者パスワードを入力して Enter キーを押します。
  6. Trojan.Zeroaccess!infTrojan.Zeroaccess!inf2Trojan.Zeroaccess!inf3 として検出されたファイルを復元するには、次のコマンドを入力し、各コマンドの最後で Enter キーを押します。

    • cd %System%\drivers [SYS ファイル]
    • expand [CD/DVD ドライブ]:\i386\[検出されたファイル名].[dl または sy]_

      例:

      cd c:\windows\system32\drivers
      expand d:\i386\atapi.sy_

  7. 影響を受けた SYS ファイルおよび DLL ファイルに対して、個別に上記ステップを実行してください。
  8. exit と入力します。
  9. Enter キーを押します。コンピュータが自動的に再起動します。

4. Windows Vista/7 のシステム回復オプションを使った検出ファイルの復元
この脅威は、システムファイルを改ざんしたり、置き換えることがあるため、システム回復オプションを使って影響を受けたファイルを復元する必要があります。 これには、コンピュータを再起動してシステム回復オプションを実行する必要があります。この手順の詳細については、「Windows Vista のシステム回復オプションとは 」または「Windows 7 のシステム回復オプションとは 」を参照してください。
  1. コンピュータを再起動します。
  2. コンピュータの再起動中に、詳細ブートオプションの画面が表示されるまで、F8 を繰り返し押します。
  3. コンピュータの修復を選択して、Enter キーを押します。
  4. キーボード入力方式を選択して次へをクリックします。
  5. 管理者アカウントを選択してパスワードを入力し、OK をクリックします。
  6. システム回復オプションのメニューで、コマンドプロンプトをクリックします。
  7. Trojan.Zeroaccess!infTrojan.Zeroaccess!inf2Trojan.Zeroaccess!inf3 として検出されたファイルを復元するには、次のコマンドを入力し、各コマンドの最後で Enter キーを押します。

    Windows Vista/7 ディスクまたはリカバリディスクをご使用のお客様
    CD/DVD ドライブにディスクを挿入します。

    • cd %System%\drivers [SYS ファイル]
    • expand [CD/DVD ドライブ]:\Windows\[検出されたファイル名].[dl または sy]_

      例:
      cd c:\windows\system32\drivers
      expand d:\\atapi.sy_

    リカバリパーティションを設定しているお客様
    システムファイルのバックアップのロケーションについては、コンピュータ製造元による文書を参照してください。

    • cd %System%\drivers [SYS ファイル]
    • expand [ドライブ文字]:\[システムファイルのフォルダ]\[検出されたファイル名].[dl または sy]_

      例:
      cd c:\windows\system32\drivers
      expand f:\Windows\serial.sy_

  8. 影響を受けた SYS ファイルおよび DLL ファイルに対して、個別に上記ステップを実行してください。
  9. コマンドプロンプトのウィンドウを閉じます。
  10. システム回復オプションで再起動をクリックします。コンピュータが再起動します。

記述: Jarrad Shearer