Win32/Bagle.CV は圧縮/保護された実行形式のトロイの木馬のドロッパーで、そのサイズは約35~40KBです。
注意:
Windowsオペレーティングシステムがインストールされたディレクトリを %windir% と表記しており、インストール時の設定により異なる場合があります。
%windir% のサブディレクトリである"System"や"System32"は
%system% と表記しています。
このファイルが実行されると、%system% に "wiwshost.exe(8,342バイト)" と自分自身のコピーである"winshost.exe"を作成します。
"wiwshost.exe"は"explorer.exe"に挿入されるDLLファイルを含み、ダウンロードを実行する主なコンポーネントです。このファイルは、圧縮された実行形式です。
このトロイの木馬は、作成したファイルがWindowsの再起動時に実行されるように、次のレジストリキーを追加します。
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
" winshost.exe" = "%SYSTEM%\winshost.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
" winshost.exe" = "%SYSTEM%\winshost.exe"
このトロイが初めて実行される際、次のレジストリキーを変更し、メモ帳を起動します。
HKCU\Software\FirstRun
" FirstRunRR" = (DWORD) 1
このトロイは、レジストリキー
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
から、次のレジストリエントリの削除を試みます。
Symantec NetDriver Monitor
ccApp
NAV CfgWiz
SSC_UserPrompt
McAfee Guardian
McAfee.InstantUpdate.Monitor
APVXDWIN
KAV50
avg7_cc
avg7_emc
Zone Labs Client
また、レジストリキー
HKKLM\SOFTWARE
から、次のレジストリエントリの削除を試みます。
Symantec
McAfee
KasperskyLab
Agnitum
Panda Software
Zone Labs
そして、コンピュータの起動時に、これらに関するソフトウェアが起動しないようにします。
悪意あるプロセス"wiwshost"は、エクスプローラのタスク内部に隠蔽されて、実行されます。
%system32%\Drivers\etc\hosts ファイルは、次のデータで上書きされる場合があります。
127.0.0.1 localhost
このトロイは、次の名前を持つサービスを終了します。
wuauserv
PAVSRV
PAVFNSVR
PSIMSVC
Pavkre
PavProt
PREVSRV
PavPrSrv
SharedAccess
navapsvc
NPFMntor
Outpost Firewall
SAVScan
SBService
Symantec Core LC
ccEvtMgr
SNDSrvc
ccPwdSvc
ccSetMgr.exe
SPBBCSvc
KLBLMain
avg7alrt
avg7updsvc
vsmon
CAISafe
avpcc
fsbwsys
backweb client - 4476822
backweb client-4476822
fsdfwd
F-Secure Gatekeeper Handler Starter
FSMA
KAVMonitorService
NProtectService
Norton Antivirus Server
VexiraAntivirus
dvpinit
dvpapi
schscnt
BackWeb Client - 7681197
AVPCC
Norman NJeeves
NVCScheduler
nvcoas
Norman ZANDA
PASSRV
SweepNet
SWEEPSRV.SYS
NOD32ControlCenter
NOD32Service
PCCPFW
Tmntsrv
AvxIni
XCOMM
ravmon8
SmcService
BlackICE
PersFW
McAfee Firewall
OutpostFirewall
NWService
alerter
sharedaccess
NISUM
NISSERV
nwclnth
nwclntg
nwclnte
nwclntf
nwclntd
nwclntc
kavsvc
DefWatch
Symantec AntiVirus Client
NSCTOP
SAVFMSE
ccSetMgr
VisNetic AntiVirus Plug-in
McShield
AlertManger
McAfeeFramework
AVExch32Service
AVUPDService
McTaskManager
Network Associates Log Service
Outbreak Manager
MCVSRte
mcupdmgr.exe
AvgServ
AvgCore
AvgFsh
awhost32
Ahnlab task Scheduler
MonSvcNT
V3MonNT
V3MonSvc
FSDFWD
その後、"mysuperprog.exe"というファイルを検索し、このファイルが存在した場合、削除します。
このトロイは、アンチウイルスおよびファイアウォールに関するファイルの名前を変更します。以下のファイルは、名前変更される可能性があります。
CCSETMGR.EXE
CCEVTMGR.EXE
NAVAPSVC.EXE
NPFMNTOR.EXE
symlcsvc.exe
SPBBCSvc.exe
SNDSrvc.exe
ccApp.exe
ccl30.dll
ccvrtrst.dll
LUALL.EXE
AUPDATE.EXE
Luupdate.exe
LUINSDLL.DLL
RuLaunch.exe
CMGrdian.exe
Mcshield.exe
outpost.exe
Avconsol.exe
Vshwin32.exe
VsStat.exe
Avsynmgr.exe
kavmm.exe
Up2Date.exe
KAV.exe
avgcc.exe
avgemc.exe
zonealarm.exe
zatutor.exe
zlavscan.dll
zlclient.exe
isafe.exe
cafix.exe
vsvault.dll
av.dll
vetredir.dll
名前変更された後のファイル名は、以下になります。
C1CSETMGR.EXE
CC1EVTMGR.EXE
NAV1APSVC.EXE
NPFM1NTOR.EXE
s1ymlcsvc.exe
SP1BBCSvc.exe
SND1Srvc.exe
ccA1pp.exe
cc1l30.dll
ccv1rtrst.dll
LUAL1L.EXE
AUPD1ATE.EXE
Luup1date.exe
LUI1NSDLL.DLL
RuLa1unch.exe
CM1Grdian.exe
Mcsh1ield.exe
outp1ost.exe
Avc1onsol.exe
Vshw1in32.exe
Vs1Stat.exe
Av1synmgr.exe
kav12mm.exe
Up222Date.exe
K2A2V.exe
avgc3c.exe
avg23emc.exe
zonealarm.exe
zatutor.exe
zlavscan.dll
zo3nealarm.exe
zatu6tor.exe
zl5avscan.dll
zlcli6ent.exe
is5a6fe.exe
c6a5fix.exe
vs6va5ult.dll
a5v.dll
ve6tre5dir.dll
影響を受けるソフトウェアは、コンピュータが再起動されるまでは、正常に動作します。再起動後は、トロイによって名前変更された為、起動しません。
次に、以下のサービスを終了します。
SharedAccess
wscsvc
その後、以下の名前のプロセスを終了します。
NUPGRADE.EXE
MCUPDATE.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
FIREWALL.EXE
ATUPDATER.EXE
LUALL.EXE
DRWEBUPW.EXE
AUTODOWN.EXE
NUPGRADE.EXE
OUTPOST.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
ESCANH95.EXE
AVXQUAR.EXE
ESCANHNT.EXE
UPGRADER.EXE
AVXQUAR.EXE
AVWUPD32.EXE
AVPUPD.EXE
CFIAUDIT.EXE
UPDATE.EXE
NOD32アンチウイルスは、ウイルス定義ファイルのバージョン1.1226 にて対応しています。
NOD32アンチウイルスを最新にしてください。コンピュータをインターネットに接続して、NOD32のコントロールセンターの「更新」ボタンをクリックしてください。
|