rootkit.zeroaccessについて（追記）

何かと被害の絶えないZeroaccessだが、調べたところ、専用の作成キットがあるらしい。

おにおんちゃんねるとTor関係アップローダーで見たのは何れもZeroaccessだったが、どちらも配布形式も症状も異なるもので、 内一つは、有料ソフトのkeygenと称して配布されているもので、バックグラウンドでiexplorer.exe（Internet Explorer）に化けて稼働するものだった。
その内のもう一つは.lnkを実行すると、WindowsのPowerShellを利用して起動するもので、やはり遠隔操作の受付、個人情報の抜き出しを行うものだった。

化けるプロセス名は環境によって毎回異なる模様で、私が仮想環境で実験した際はIEのプロセス名だったが、explorerに化ける事や、comhost（Symantec)に化けるなど、ランダムで異なるらしい。 また、スタートアップに自称Symantecとして自身を登録し、次回起動時に自動的にプロセスを立ち上げる。 このスタートアップは、無効にしても直ぐに同じエントリーを登録するので、エントリーを削除してから再起動で削除…と言う駆除方法は通用しない。 プロセス名の偽り方はそれぞれ異なるが、一貫して次の症状は共通している。

1. 遠隔操作の受付
2. プロセス名偽装
3. スタートアップへ自分自身を登録
4. ファイル・レジストリの読み出し

最も困るのが1と4で、噛み砕いて解りやすく書くと「使っているパソコンがbot化し、遠隔操作でパスワードや個人情報を抜かれたり、犯罪行為の踏み台にされる」状態になる。 2と3は面倒な手順を踏めば削除できないことは無いものの、パソコン内のどこかにファイルの欠片が残っていて、何らかのアクションで起動すれば再びウイルスをダウンロードしてきて自動的に再構築し、結果としてウイルスが復活する。 これがZeroaccessが恐れられる理由だ。 一度感染してしまったら効果的な駆除方法は存在せず、リカバリ・再インストールして根本的に駆除する以外に方法がない。

追記
McAfeeが画期的な駆除手法を公開している。
ASCII.jp：急増するルートキットZeroAccessの弱点を突く

また、Symantec社がZeroaccessの駆除ツールを提供している。
私は感染していないので試す機会がないが、もし感染してしまった時には、一時的な対症療法としての価値はある。