Cycbotウイルス PC遠隔操作バックドアから偽セキュリティソフト感染

CycbotWindowsパソコンを乗っ取るバックドア機能を持つトロイの木馬で、外部IRCサーバーに接続して攻撃者の指令&遠隔操作が行われるとか。

これにより、偽セキュリティソフト など別のウイルス・マルウェアをダウンロードして起動させる、自分自身を更新するといった挙動や Internet Explorer ブラウザのプロクシ設定を改ざんして有名サイトの通信を盗聴する恐れもあるそう。
【ファイル】
C:\Documents and Settings\Administrator\Application Data\Microsoft\conhost.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\csrss.exe
C:\Documents and Settings\Administrator\Application Data\dwm.exe

【外部通信】
bigspiderwomen[.]com/images/im133.jpg
www[.]internetsecure[.]com/images/ismerch.gif
zoneij[.]com/images/im133.jpg
zonetf[.]com/index.html
主要なセキュリティソフトのウイルス検出名です。
  • ESET Win32/Cycbot.AD
  • Microsoft Backdoor:Win32/Cycbot.B
  • Symantec Backdoor.Cycbot
  • Trend Micro BKDR_CYCBOT.SME
Windowsのシステムフォルダ(C:\Windows\System32\)に存在する正規の実行ファイルと同じファイルと同じ名前 「conhost.exe」「csrss.exe」「dwm.exe」 なのが嫌らしぃ! <成りすまし!

Cycbotウイルスの感染被害者

よく知られた人気セキュリティソフトの対応が追い付かないようウイルスの亜種検体が投入されてるみたく、感染被害に巻き込まれるパターンも…。

■ Backdoor:win32/Cycbot.Bというウィルスに感染してしまいました。
どうしたら直せますか? ウィルスバスター2008で削除は出来たのですが、再起動するとまた同じ画面が出てきます。そして、インターネットが開けなくなってしまいます。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1452659894
 
■ 昨日からノートンインターネットセキュリティー2011をPCにいれました。それまではkingsoftなんとかという無料ソフトを使っていました。ノートンに変えてからスキャンする度に
dwm.exeに脅威が入ってきました
backdoor Cycbot
という表示が毎回出ます。
そのたびに処理をして『全面的に解決しました』と表示されているのですが、毎回出る上に重大度が高レベルになっているためかなり不安です。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1452658874

■ AppDate\Roaming\Microsoft\conhost.exe
これってウイルスですよね どうやって駆除したらいいんでしょうか ウイルスバスター2010をつかってます
あと突然エキュりティソフトにAppDate>Roamingにあるdwn.exeというのが引っかかって警告(拒否するか許可するか)がでてきます・・・これはなんでしょうか。。。これもウィルスの類ですかね・・・ あと、Backdoor:Win32/Cybot.Bというのにも感染してしまったみたいなんですが対処方おしえてください。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1152698301
 
■ 最近、「dwm.exe」というファイルが
『C:\Users\(自分の名前)\AppData\Roaming』の「Roamingフォルダ」に勝手に作成され、その都度ウイルスバスターに引っ掛かってしまい、困っています
ファイルを削除しても、しばらくするとまた作成されていてどうしてよいか分からず、途方にくれています…
http://okwave.jp/qa/q6418554.html
 
■ 当方、ノートPCのバイオを使用していますが先日から起動時、デスクトップに
レジストリに指定されている'C\Users\当方の名前\AppData\Local\Temp\csrss.exe'を読み込めないか、または実行できません。ファイルがあるか確認してください。またはレジストリの参照を削除してください。
と表示され、ネットワークに接続できなくなってしまいました。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1475173689
 
■ 【至急】ブラウザでインターネット接続ができません - その他(インターネット接続) 解決済 | 教えて!goo
ブラウザを使ってインターネットを使えなくなってしまいました。
 仕事用PCなので、できるだけ早く復旧させたいです・・・。
・PC起動時に、『Temp\csrss.exeが見つかりません。』と出ます。
http://okwave.jp/qa/q6878971.html

ネット接続不能の症状はブラウザのプロキシ設定が改ざんされた影響のはず。

ウイルス感染経路はサイト閲覧から?

Cycbotウイルスの感染経路はネットサーフィンからの強制感染で、ブラウザでサイトを閲覧中にウイルスがインストールされる ”ドライブバイ・ダウンロード攻撃” が成功が多くをあるはずです。

ハッキングされた一般サイトやブログを運悪く訪問し、セキュリティソフトの導入の甲斐なくウイルスが勝手にダウンロードされて起動するのは次の感染条件4つに当てはまると起こります。
  1. Adobe Flash Player を最新バージョンに更新してない
  2. Java を最新バージョンに更新してない
  3. Adobe Reader を最新バージョンに更新してない
  4. Windows Update を実施してない
ちなみに、この ウイルス対策にスキがないかあらかじめ実施するセキュリティ診断 でウイルス感染被害の回避が無料で実現されるのです。
関連するブログ記事