Zeusトロイの木馬ウイルスを削除する

この記事では、Zeusトロイの木馬ウイルスを削除し、感染したファイルを取り除く方法を学びます. Zeusトロイの木馬ウイルス を介して大規模に広がっています RIGエクスプロイトキット. その新しいバージョンは「Chthonic」そしてそれは数年前に最初に現れました, ヒットしたとき 150 世界中の銀行. その活動はまだ進行中です, トロイの木馬はランサムウェアの配布にも使用されますが. マルウェアには何年にもわたって多くの名前があります, そして非常に注目すべきものは Zbot.

何を明らかにする前に ZeuSトロイの木馬ウイルス は, まず、何であるかを理解する必要があります トロイの木馬ウイルス. これは、マルウェアを説明するために使用される用語の組み合わせです。 トロイの木馬 と ウイルス.

A トロイの木馬 コンピュータデバイスに自分自身を注入するマルウェアの一部です, 偽りのふりをして, たとえば、有名なプログラムSkypeとして自分自身を提示します. あなたはその用語を知って驚くことはありません トロイの木馬 コンピューティングの分野では、ギリシャの兵士がトロイに密かに侵入したという古代ギリシャの物語に由来しています。, 巨大な木馬を使って, 贈り物として贈られる. A ウイルス 一度実行された悪意のあるプログラムです, ユーザーの許可なしにそれらを変更することにより、露骨に自分自身を複製し、他のプログラムに感染し始めます.

したがって, 上記の2種類のマルウェアの組み合わせ, 次の一部またはすべてを実行する可能性のある悪意のあるプログラムになります:

• 既知または有用なプログラムのふりをする, だからあなたはそれに最初のアクセスを与えます
• 他のステルス戦術を使用してコンピュータに忍び込みます
• PC上の他のプログラムやプロセスを変更/感染させる
• PCのさまざまな場所に自分自身をコピーします

The Zeusトロイの木馬ウイルス 全世界に広がっています, おそらくほとんどの場合、悪名高いものを提供することで知られています CryptoLocker 暗号化ウイルス. 以下に、すべての形式のマルウェアの簡単な履歴を示します。, 初登場から初期まで 2017.

2007 –ZeuSとその初登場

年 2007 の始まりをマーク ZeuSマルウェア 後にそれはとして知られるようになりました Zeusトロイの木馬. 当時は、米国運輸省から情報を盗むために使用されていました. その後、勢いを増し始めました.

2009 –ZeuSが普及する

の 2009, ゼウス 初めて普及した, そしてそれは主要な脅威と見なされていました. 妥協していた 74.000 FTPアカウント, 大企業のウェブサイトで, バンクオブアメリカなど, NASA, Monster.com, ABC, オラクル, Play.com, シスコ, アマゾン, およびBusinessWeek.

2010 –ZeuS世界的な脅威

2010 だった年 FBI 発表した ゼウスウイルス 世界中のコンピューターに感染するために使用されました. この形で, ゼウス 主に銀行のトロイの木馬として使用されました, ブラウザの使用時に行われたキーストロークを登録するか、フォームを取得して情報を盗む. また, 自治体や企業の個人に連絡するために電子メールが使用されました, したがって、オンラインバンキングアカウントに関連するすべてのデータを取得できます.

2013 – ZeuS CryptoLocker Helper

遅い 2011 の新しい高さを設定する ゼウス そのコードが作成に使用されるようになったため Gameover ZeuS ボットネット. ボットネットは、法執行活動に対して脆弱ではありませんでした, 暗号化されたピアツーピアシステムを使用してC2と通信したため (指示&コントロール) サーバー. 銀行詐欺は再び ゼウス マルウェアファミリー. の 2013, すべてがエスカレートしたとき Gameover ZeuS の質量分布を担当しました [wplinkpreview url =”https://Sensorstechforum.com/remove-cryptolocker-ransomware-virus/”] CryptoLockerランサムウェアウイルス 世界中で.

2015 –ZeuSはChthonicに進化します

2015 の象徴的な年でもありました ゼウス それがさらに進化するにつれて Chthonic – Kasperskyのマルウェア研究者によって発見された新しい亜種. この亜種では、「ZeusV2」および「ZeusAES」トロイの木馬と同じ暗号化技術が使用されています。. [wplinkpreview url =”https://Sensorstechforum.com/chthonic-a-new-version-of-the-zeus-banking-trojan-hits-150-banks-in-15-countries/”] Chthonicはヒットしたことが知られています 150 銀行 の 15 国, 戻って 2015.

2016 –ゼウスとスフィンクス

8月に 2015, のコード ゼウス そのためのカスタムバリアントを作成するために使用されました, と呼ばれる [wplinkpreview url =”https://Sensorstechforum.com/rio-2016-malware-sphinx-banking-trojan-targets-brazilian-banks/”] 「スフィンクスバンキング型トロイの木馬」, 闇市場で販売 $500. TORネットワークはそれによって使用されました, 最大限に. の最後の四半期まで 2016, トロイの木馬が検出されました, それがまだアクティブであることを証明する. 主にブラジルの銀行が打撃を受けた, ブラジルで使用されているBoleto支払い方法を含む.

2017 –ZeuSトロイの木馬

Zeusウイルス–テクニカルインサイトアップデート 2017 : ZeuSは依然として最大のコンピューター感染症の1つであり、その亜種の多くは依然として 2017. 詳細については、以下をお読みください.

The ゼウス マルウェアは、元の亜種とそれ以降の亜種について、何年にもわたってさまざまな形で配布されていました。. それがあなたのコンピュータシステムに入る最初の方法の1つ, リダイレクトの助けを借りて. リンクまたはボタンとしてオンラインで何かをクリックすると、多くのリダイレクトがトリガーされる可能性があります. リダイレクトの1つに、マルウェアをダウンロードするスクリプトが含まれています. ダウンロードする別の方法は、質問を提起する広告をクリックすることです, そして、あなたが「はい" また "いいえ」は両方とも ZeuSトロイの木馬ウイルス PCで.

のソースコードとして ゼウス 漏れた 2011, 次のようなツールキットビルダーが無料で提供されました:

ツールキットの微調整されたバージョンと、トロイの木馬またはボットネットのいずれかの形式のマルウェアがすぐに続きました. 上記のバージョン, 特定の機能を備えています, 今日までまだ販売されています, 価格は通常 $700 に $15.000.

添付ファイル付きのスパムメールは、今もなお、 ゼウス. 添付ファイルの中には、ある種のドキュメントファイルとして難読化されて隠されている実行可能ファイルがあります, のような拡張子を持つ .pdf また .doc 下のスクリーンショットに見られるように:

画像ソース: SecureList.com

別の配布方法は、 ゼウス マルバタイジングチェーンで世界中に送られている. あなたは最後に報告されたそのような攻撃を見ることができます (4月 2017) とそのためのセキュリティベンダーの検出 VirusTotal ここでのサービス:

最後の攻撃は以上で構成されていました 300 リダイレクト, その結果、侵害されたサイトに [wplinkpreview url =”https://Sensorstechforum.com/new-version-rig-exploit-kit-developed/”] RIGエクスプロイトキット その上に. ランディングページにたどり着いたら, アドビの「閃光」は、最終的にペイロードがドロップされるときに悪用されます. 上の画像に示されているペイロード, もともとは「73mendjd.exe」.

あなたがのための配布の方法を見ることができるように ゼウス 変化する可能性があります, マルウェアが進化し続けるにつれて、他のものも利用される可能性があります.

Zeusは、ダークネットのフォーラムで、遅くても何らかの形で販売され続けています。 2018. 一部のバンキング型トロイの木馬は、ご存知かもしれませんが、元のZeusのコードに由来しています。. さまざまなマルウェア対策会社によってウイルスに付けられた最も一般的な名前のいくつかは次のとおりです。:

• トロイの木馬-スパイ:W32 / Zbot
• PWS-Zbot
• トロイの木馬-Spy.Win32.Zbot
• Trojan.Wsnpoem
• Troj / Zbot-LG
• Troj /Agent-MDL
• Troj / Zbot-LM
• Troj / TDSS-BY
• Troj / Zbot-LO
• Troj / Buzus-CE
• Sinowal.WUR Troj / QakBot-D
• Troj /Agent-MIR
• Troj / Qakbot-E
• Troj / QakBot-G

上記の名前のいずれかがセキュリティソフトウェアからの通知としてポップアップ表示される場合, それを削除できることを確認してください. さもないと, すぐにツールを変更してください.

11月に [wplinkpreview url =”https://Sensorstechforum.com/panda-zeus-trojan-black-hat-seo/”] PandaZeuSトロイの木馬 フィッシングやスパムキャンペーンの代わりに、ブラックハットSEOとマルバタイジング技術の助けを借りて戻ってきます. これらの手法は、マルウェア全体を配布するための新しい手法です。. 攻撃者はWebサイトをハッキングし、スパムボットネットのネットワークを使用して、他のサイトのSEO評価をブラックハットの方法で高めました。.

ユーザーがこれらのサイトの1つにアクセスしたとき, 上部の検索結果に表示されるようになりました, 彼はリダイレクトされ、のペイロードを含むドキュメント ZeuSパンダウイルス 彼のコンピュータシステムに送られます. ユーザーは、ウイルスを有効にするためにマクロを有効にする必要がありました, でもそれはそれほど手間はかかりません. ZeuSトロイの木馬ウイルスはその攻撃で非常に成功し、インターネット上に広がり続けています. 注意してURLを確認してください, ウェブサイトを信頼する前に.

The ZeusバリアントChthonic 最近、マルウェア研究者によって、まだアクティブなものとして検出されました. 次のドメインがそれを広めていました:

• dako.gov(.)ua / files / text / load.exe

そのドメインは “キエフ地域の国家アーカイブ” ペイロードドロッパーがマルウェアをダウンロードした後, ウイルスは自分自身のコピーを内部にドロップします %appdata％ roaming Windowsオペレーティングシステムのディレクトリ. Panda Bankerトロイの木馬は、悪名高いトロイの木馬のもう1つの対応物として引き続きアクティブです。 ゼウス トロイの木馬. ウイルスのソースコードはかなり前から販売されているので, より多くのバリアントもアクティブになる可能性が非常に高い.

8月の更新 2017 今, 8月に 2017 Zeusトロイの木馬は最新の形で広がっています – the [wplinkpreview url =”https://Sensorstechforum.com/zeus-panda-banker-trojan-suchka-exe-remove-it-completely/”] ZeuSPandaBankerトロイの木馬. その変種は複数の言語で見られました, 最も注目すべきはイタリア語です. 現在、世界中の銀行のシステムに感染しようとしています. スパムメールキャンペーンで広まっています. ZeuSパンダトロイの木馬は、 suchka.exe スパムメール内で難読化されたペイロードに同じ名前が使用されているため. 興味深いのは、ウイルスが地元の警察署からの切符になっていることです。. メールに添付されているファイルは .ジップ セキュリティソフトウェアからそれを隠そうとするファイル.

ZeuSトロイの木馬マルウェアの最新の亜種の背後にあるすべての悪意のある活動を統合するモジュールファイルは、ウイルスの亜種のいくつかについて同様の動作と同様の名前を持っています, このアップデートでわかるように. 最新のZeusバリアントに関係する実行可能ファイルとその背後にある悪意のある機能は、によって報告された元のv2バリアントと同じであると考えられています。 Sysforensics. それらは次のように報告されています:

• Kernell32.dll
• Advapi32.dll
• User32.dll

Zeus Torjanのメイン実行可能ファイルのこれらのいわゆるサポートモジュールはすべて、感染したコンピュータのさまざまな側面を変更することを目的とした複数の機能を備えており、徹底的に確認します。.

Kernell32.dll

このファイルでは, 関心のある最初の関数はと呼ばれます GetModuleHandleA. 研究者は、OSのコードを変更するためにそれが利用されていると信じていたので、検出されていない間に悪意のあるコードを挿入することが可能です. 別の同様の機能は GetModuleFileName. これは、システムプロセスとしてアクティブなモジュールの名前をロールバックすることを目的としています. 正当なプロセスであるかのように、Windowsタスクマネージャーにプロセスを挿入するために使用できます。. もあります OpenMutexA このファイルの関数, ミューテックスオブジェクトの処理を主に担当. Zeusトロイの木馬による2回目の感染が不可能であり、感染が1つしかないように使用できます。. ほとんどのマルウェアで一般的に満たされている機能.

Advapi32.dll

このモジュールには、感染の一意の識別子として機能することを目的とした2つの機能があります, ハッカーが多くの感染を管理するためのより簡単な方法として役立つ可能性が最も高い, 彼らのユニークな名前を持つことによって. 2つの機能は GetUserNameA およびGetAuditedPermissionsFromAclW. 私たちにとって最も興味深い2つの機能, ただし、 CreateServiceA としても CreateProcessAsUserW. これらは主にプロセスの作成と監視に使用されます.

User32.dll

このモジュールは関数を使用します GetDesktopWindow と GetKeyboardState. 彼らはマルウェアの監視部分を指摘しています, これは:

• キーストロークの記録 (キーロガー機能).
• 画面キャプチャまたはスクリーンショット機能.

これは間違いなく進化し続ける深刻なウイルスです. 新しい情報が見つかった場合、記事は適切に更新されます.

The Zeusトロイの木馬ウイルス 何年にもわたって多くの形を取り、多くの人に感染してきました 3.6 米国だけで100万台のコンピューター, 世界中のものは言うまでもありません. 今, 4月中 2017, マルウェアはまだコンピュータシステムに積極的に感染しています. The Chthonic バリアントが戻ってきて、今回はによって配信されます RIGエクスプロイトキット. 分布はマルバタイジングチェーンであり、上記のとおりです.

以下に、その攻撃に関与したIPのリストを示します。:

• 5.200.52.240
• 45.56.117.118
• 144.76.133.38
• 89.18.27.34

そして、ここにランディングページへの最後のリダイレクトとして機能するURLのいくつかがあります 操作:

• dfg.twitttwoo.co.uk
• https://dfg.twitttwoo.co.uk/
• pationare.bit
• https://pationare.bit/
• avaneredge.bit
• https://avaneredge.bit/

ZeuSソースコードのリークが戻ってから 2011, 新しい亜種はコンピュータマシンに感染し続けています. 関連するトロイの木馬の一般的な使用, ブラウザにコードを挿入する, フィッシングWebページが表示されます, パスワードを盗むために, 銀行業務に関連するクレデンシャルおよび同様のデータ. トロイの木馬は他の目的で利用されています, ランサムウェアウイルスのペイロードドロッパーのように. で分析されたサンプル VirusTotal サービス:

そのランサムウェアのために, 次のルールがWindowsファイアウォールに追加されます:

→netshadvfirewallファイアウォールはルール名を追加します=”見る” dir = in action = allow program =”%APPDATA％ Wiezycr itetiwe.exe”

このコマンドにより、Windowsファイアウォールは、そこに書き込まれている特定の実行可能ファイルのロックを解除します。, これにより、オンラインでトラフィックを送受信するためのインターネットアクセスが可能になります. したがって, 感染したシステムからデータが盗まれたり、ハッカーから新しく作成されたバックドアを介してコマンドが送信されたりする可能性があります。.

1月に 2017, の別のバリアント ゼウス 検出されました, つまり Terdot Zloader / Zbot. ここ, 配布にはSundownExploitKitが使用されます. このトロイの木馬は、正規のアプリケーションをパッケージ内に統合して、検出をさらに回避し、悪意のある理由でそれらのアプリケーションを使用しています。. 大変興味深いことに, コンピューターにロシア語を使用している人は感染しません.

から 2016 今日まで, 多くのテクニカルサポート詐欺は、あなたが感染していると主張するアラートメッセージを使用しています。 ZeuSウイルス, ここにあるスクリーンショットで提供されている例のように:

次のテクニカルサポート詐欺と1つのランサムウェアも、お使いのPCが恐ろしい戦術としてZeuSに感染していると書いています:

• ポルノウイルスが検出した詐欺–削除する
• 削除する 1-844-324-6233 テクニカルサポート詐欺 (WinCpu.exe)
• Vindows Lockerウイルスを削除し、.vindowsファイルを復元します

ただし、上記の3つの場合, あなたはそれほど心配するべきではありません, なぜなら本物 ZeuSトロイの木馬ウイルス おそらくあなたのコンピュータと ZeuSウイルスアラート メッセージは偽物です.

展示された不正な検出に加えて, 潜在的に不要なアプリケーションとしても知られているブラウザハイジャックソフトウェアに関連していると報告された他のいくつかの検出もあります. このようなソフトウェアは通常、多くの人がバンドルと呼んでいるものを介してコンピュータに組み込まれます, これは、無料のプログラムのセットアップを変更して、不要なソフトウェアにインストール手順を追加します. いつもの, バンドルはマーケティングツールとして始まりました, しかし今では、疑わしいWebサイトでもツールとして使用されています, これは、コンピューターでそのようなアプリケーションをスリッターすることを目的としています:

アプリは基本的に低レベルのタイプの脅威として分類されるため, それらはコンピュータ上でアクティブなままです, Webブラウザの設定を変更し始める可能性があります, たとえば、Google Chrome, マイクロソフトエッジ, Mozilla Firefox, InternetExplorerなど. これらの設定が変更されるとすぐに, Webブラウザーには、さまざまな疑わしいブラウザー拡張機能が追加されている可能性があります。:

• オンラインポップアップ.
• ブラウザのリダイレクト.
• ハイライトされたテキスト.
• バナーを引き継いだ.

それらが実行されたら, リダイレクトの1つは、ユーザーをブラウザーからロックアウトし、コンピューターがZeusウイルスに感染していることを示すメッセージを含むポップアップを表示するサードパーティのWebリンクにつながる可能性があります。. しかし、これは実際には偽のテクニカルサポート詐欺です, 偽のメッセージで提供された番号にユーザーが電話をかけることを目的としています. メッセージは非常に説得力があり、ロボットによる音声通知を伴う場合もあります:

このような通知の例を次に示します。:

「WindowsはZEUSウイルスを検出しました. 検出された感染は、コンピューターに最近ダウンロードされたもので、コンピューターに問題が発生したことを示しています。. テクニカルサポートに電話する 0800-014-8826, 1-844-557-5460 このコードB2957Eをエージェントと共有して、これを修正してください。」

そのようなテクニカルサポート詐欺に遭遇したとき, チェックアウトすることを強くお勧めします 私たちの除去ビデオ テクニカルサポート詐欺とそれに関連する潜在的に日焼けしていないプログラムを取り除くのに役立ちます.

あなたが何を疑問に思っていた場合 ゼウス マルウェアは, または別名としても知られています Zbotウイルス, ここが見つけるのに適した場所です. 下, ウイルスのファイルとその内容が表示されます, それがコンピュータにサイレントに置かれ、データを盗むコマンドを受信するのを待っている場合に、それを検出する方法. これがそれを見つける方法です, ステップバイステップ:

管理者権限を持つ, これらのディレクトリとファイルを探します:

• %systemroot％ system32 sdra64.exe (マルウェア)
• %systemroot％ system32 lowsec
• %systemroot％ system32 lowsec user.ds (盗まれたデータファイル – 暗号化)
• %systemroot％ system32 lowsec user.ds.lll (盗まれたデータのファイル–一時的)
• %systemroot％ system32 lowsec local.ds (構成ファイル – 暗号化)

管理者権限なし, これらのディレクトリとファイルを探します:

• %appdata％ sdra64.exe
• %appdata％ lowsec
• %appdata％ lowsec user.ds
• %appdata％ lowsec user.ds.lll
• %appdata％ lowsec local.ds

The ZeuSウイルス また、Windowsレジストリを改ざんします, 次の2つのレジストリエントリを変更して、管理者権限でロードされるようにします:

→HKLM Software Microsoft Windows NT CurrentVersion Winlogon

デフォルトは:
“Userinit” = “C:\WINDOWS system32 userinit.exe”

そしてそれはに変更されます:
“Userinit” = “C:\WINDOWS system32 userinit.exe,C:\WINDOWS system32 sdra64.exe”

管理者権限がない場合, ここでこの文字列を探してください:

→HKCU Software Microsoft Windows CurrentVersion Run

ZeuSトロイの木馬ウイルスは以下を追加します:
“Userinit” = “C:\ドキュメントと設定<ユーザー>\アプリケーションデータsdra64.exe”

ノート! の多くの変種があるので ゼウス 実行可能ファイルは異なる場合があります. 上記のものを除く (sdra64.exe), 以下のものは過去に使用するために記録されています, 同じように:

• ntos.exe
• oembios.exe
• twext.exe
• pdfupd.exe
• 73mendjd.exe (で使われる 2017)
• onlineservicesw.exe (で使われる 2017)

その後, the Zeusトロイの木馬 上記の実行可能ファイルのいずれかを使用して、次の2つのプロセスのいずれかにコードを挿入します (取得に成功した特権に応じて): winlogon.exe また explorer.exe. そのコードインジェクションは、隠すことを目的として行われます ゼウス 他のプロセスの中で, だからあなたはユーザーとして物事を疑わない. その後、コードは他のプロセスにも注入されます, データを盗むために. タスクマネージャーからの一般的なプロセスでのアクティビティの急増に気付いた場合, 見てみな, あなたが感染していて事実に気づいていないかもしれないので.

コンピュータが感染した場合 ゼウス トロイの木馬ウイルス, マルウェアの削除について少し経験が必要です. このトロイの木馬がさらに広がり、他のコンピュータシステムに感染する前に、できるだけ早くこのトロイの木馬を駆除する必要があります。. ウイルスを削除し、以下に提供されているステップバイステップの手順ガイドに従う必要があります.

ゼウス研究について

SensorsTechForum.comで公開するコンテンツ, この ZeuS 除去ガイドが含まれています, 広範な研究の結果です, 特定のトロイの木馬の問題を取り除くためのハードワークと私たちのチームの献身.

ZeuS に関する調査をどのように実施したか?

私たちの調査は独立した調査に基づいていることに注意してください. 私たちは独立したセキュリティ研究者と連絡を取り合っています, そのおかげで、最新のマルウェア定義に関する最新情報を毎日受け取ることができます, さまざまな種類のトロイの木馬を含む (バックドア, ダウンローダー, infostealer, 身代金, 等)

さらに, the research behind the ZeuS threat is backed with VirusTotal.

トロイの木馬によってもたらされる脅威をよりよく理解するため, 知識のある詳細を提供する以下の記事を参照してください.