説明

別名 TrojanProxy.Win32.Zebroxy [KAV] Backdoor.Zebroxy はトロイの木馬でポート 8173 を開き、Windows 2000/XP でプロキシサーバとして作動します。Backdoor.Zebroxy が作動すると以下のような行動をとります:

1. 以下のレジストリ値を追加します:
\"Microsoft Windows Kernel Services\"=\"%System%winkrnl386.exe\"
を以下のレジストリキーに追加します:
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

当該トロイの木馬が Windows 起動時に作動するようにします。

2. 以下のレジストリ値を改変します:

\"EnableDCOM\"=\"N\" を以下のレジストリキーに追加します:
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Ole
これにより DCOM を使用したリモートの接続を無効化しようとします。

3. TCP ポート 8173 を開きプロキシ サーバとして作動します。

削除方法

1. コンピュータをセーフ モードで再起動してください。
2. アンチウイルス アプリケーションを開いてフル システム スキャンを実行し Backdoor.Zebroxy として検出されたすべてのファイルを削除してください。
3. レジストリから次の値を削除してください。
a. 次のキーを選択してください: HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run
以下の値を削除してください:
\\\"Microsoft Windows Kernel Services\\\"=\\\"%System%winkrnl386.exe\\\"
b. その後に次のキーを選択してください:
HKEY_CURRENT_USER\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run

次の値を削除してください:
\\\"Microsoft Windows Kernel Services\\\"=\\\"%System%winkrnl386.exe\\\"
c. 次のレジストリキーを選択してください: HKEY_LOCAL_MACHINE\\\\Software\\\\Microsoft\\\\Ole

\\\"EnableDCOM\\\" に以下の値を設定します:
\\\"EnableDCOM\\\"=\\\"Y\\\"

[RegRun Startup Optimizerを使って]という記述は、Greatis Software社のRegRun製品の一部の機能です。削除のために特に本ツールを使う必要はありません。レジストリエディタ(Regedit)など、Windowsのスタートアップ エントリに登録されたプログラムを削除できるツールを使うことで除去が可能です。または、HijackThis, XRayPCなども同様の機能を提供しています。

MD5チェックサム

最終変更日

2006/02/15 (Wed)