Win64/Yebot.AB｜ESETセキュリティソフトウェアシリーズ：ウイルス情報


最新ウイルス定義ファイルバージョン : 12381 (2015/10/09 17:02)

最新ウイルス情報 : Win64/Yebot.AB	公開日：2013年10月25日
このウイルスに関する危険度 :■■□□□

定義名称	Win64/Yebot.AB
シグネチャ検査による結果だった場合	Win64/Yebot.AB
種別	トロイの木馬
アドバンスドヒューリスティック検査による結果だった場合	このオリジナルのトロイを利用した新種、亜種が検出された場合は、「NewHeur_PE」もしくは「Win64/Yebot.AB トロイの木馬の亜種」という名称で警告が出ます。
対応時期	バージョン8892（20131008）以降
影響を受けるプラットフォーム	Microsoft Windows
概要	これは、リモートからコントロール可能なバックドア型のトロイの木馬です。通常は別のマルウェアの一部です。詳しい活動内容については、解説欄をご参照ください。

検出した場合の対処方法

常駐監視を行っている各検査プログラムによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windows のシステムの復元により修復しなければならない可能性があります。

対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。

解説での表記(用語)について

以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。
%userprofile%は、ユーザーのマイドキュメントディレクトリを表記しています。

解説

■侵入(インストレーション)について
このトロイの木馬は、自身のコピーを作成しません。

次のファイルを作成する場合があります。

%userprofile%\%variable1%.exe

次のレジストリーエントリーを登録する場合があります。

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"%variable1%" = "%userprofile%\%variable1%.exe"

これにより、システムが起動するたびに実行されるようになります。

次のファイルを改ざんします。

%windir%\System32\ActionQueue.dll

感染したDLLが読み込まれるたびに悪意のあるコードが実行されます。

次のプロセスに自身のプログラムコードを挿入して新たなスレッドを作成、実行します。

chrome.exe
csrss.exe
firefox.exe
iexplore.exe
java.exe
jusched.exe
lsass.exe
opera.exe
safari.exe
svchost.exe

次のレジストリーエントリーを登録します。

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"EnableLUA" = 0
"ConsentPromptBehaviorAdmin" = 5
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"AllowMultipleTSSessions" = 1
"AutoAdminLogon" = "1"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
"fDenyTSConnections" = 0
"fEnableSalem" = 0
"AllowTSConnections" = 1
"AllowRemoteRPC" = 1
"fSingleSessionPerUser" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
"MaxInstanceCount" = 4294967295
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Licensing Core]
"EnableConcurrentSessions" = 1
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"NoProtectedModeBanner" = 1
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
"1208" = 0
"1406" = 0
"1609" = 0
"2103" = 0
"2500" = 3
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
"1208" = 0
"1406" = 0
"1609" = 0
"2103" = 0
"2500" = 3
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
"1208" = 0
"1406" = 0
"1609" = 0
"2103" = 0
"2500" = 3
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
"1208" = 0
"1406" = 0
"1609" = 0
"2103" = 0
"2500" = 3
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4]
"1208" = 0
"1406" = 0
"1609" = 0
"2103" = 0
"2500" = 3
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\0]
"1208" = 0
"1406" = 0
"1609" = 0
"2103" = 0
"2500" = 3
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\1]
"1208" = 0
"1406" = 0
"1609" = 0
"2103" = 0
"2500" = 3
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\2]
"1208" = 0
"1406" = 0
"1609" = 0
"2103" = 0
"2500" = 3
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\3]
"1208" = 0
"1406" = 0
"1609" = 0
"2103" = 0
"2500" = 3
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\4]
"1208" = 0
"1406" = 0
"1609" = 0
"2103" = 0
"2500" = 3
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones]
"1208" = 0
"1406" = 0
"1609" = 0
"2103" = 0
"2500" = 3
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\MedLow]
"1208" = 0
"1406" = 0
"1609" = 0
"2103" = 0
"2500" = 3
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Medium]
"1208" = 0
"1406" = 0
"1609" = 0
"2103" = 0
"2500" = 3
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Low]
"1208" = 0
"1406" = 0
"1609" = 0
"2103" = 0
"2500" = 3
[HKEY_CURRENT_USER\AppEvents\Schemes\Apps\Explorer\Navigating\.Current]
"(Default)" = "."
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList\%variable2%]

次のサービスを無効にします。

MsMpSvc
WinDefend

%variable1-2%には可変の文字列が入ります。

■その他の情報
これは、リモートからコントロール可能なバックドア型のトロイの木馬です。

リモートのコンピューターもしくはインターネットからデータや命令を受け取ります。

3つのURLを保持しています。通信にはHTTPプロトコルが使用されます。

次を実行します。

リモートのコンピューターもしくはインターネットからファイルをダウンロードする
実行ファイルを実行する
スクリーンショットを作成する

TCP 8000番ポートを開きます。プロキシがそこで待ち受けています。

次のレジストリーキーにあるさまざまな情報を保持します。

[HKEY_USERS\Registry\User\%user%\SOFTWARE\Classes\CLSID\{%variable%}

%variable%には可変の文字列が入ります。

次のWindows APIをフックして、入力データやメッセージを横取りします。

BaseSetProcessCreateNotify (basesrv.dll)
CreateProcessInternalW (kernel32.dll)
CreateProcessInternalW (kernel32.dll)
ExitWindowsEx (user32.dll)
MessageBoxTimeoutW (user32.dll)
RegisterServiceCtrlHandlerW (advapi32.dll)
RegisterServiceCtrlHandlerW (sechost.dll)
TranslateMessage (user32.dll)