検出した場合の対処方法
常駐監視を行っている各検査プログラムによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、感染前の状態まで復元しなければならない可能性があります。
対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。
解説での表記(用語)について
以下の説明文では、環境変数を利用して各ファイルやディレクトリへのパスを表記しています。
例:
%currentfolder% : カレントディレクトリのパス
%malwarefilepath% : マルウェアプログラムまでのパス。
%malwarefilename% : マルウェアプログラムまでのファイル名。
解説
■侵入(インストレーション)について
このトロイの木馬は、自身のコピーを作成しません。
次のファイルを作成する場合があります。
%currentfolder%/1.sh
%currentfolder%/rss-aggr.so
%currentfolder%/libworker.so
/etc/rc.local
/tmp/.sc (12 MB)
%currentfolder%/.caches (12 MB)
%currentfolder%/.cache (12 MB)
%currentfolder%/.sd0 (12 MB)
%currentfolder%/.fghv (12 MB)
%currentfolder%/1.%pid% (106B)
PHPドロッパースクリプトが使用されています。
crontab設定ファイルにエントリーを追加することにより、1分ごとにトロイの木馬が実行されるようになります。
次のファイルを改ざんしようとします。
/etc/rc.local
/etc/rc.d/rc.local
このファイルに次のエントリーを書き込みます。
php -q %malwarefilepath% > /dev/null
これにより、システムが起動するたびにファイルが実行されるようになります。
次のコマンドを実行する場合があります。
killall -9 /usr/bin/host
./1.sh
export LD_PRELOAD=./%droppedmalwarefilepath%; /usr/bin/host
■情報の取得
このトロイの木馬は、ユーザーが特定のWebサイトを閲覧中に個人情報を収集します。
次の情報を収集します。
特定のアプリケーション/サービスのログインユーザー名
特定のアプリケーション/サービスのログインパスワード
OSのバージョン
ユーザー名
収集した情報をリモートのコンピューターに送信する場合があります。
■その他の情報
このトロイの木馬は、インターネットもしくはボットネットのコンピューターからデータや活動についての命令を受け取ります。
複数のURLを保持しています。通信にはHTTPプロトコルとHTTPSプロトコルが使用されます。
次を実行します。
悪意のあるファイルが繰り返し実行されるようタスクのスケジュールを設定する
リモートのコンピューターもしくはインターネットからファイルをダウンロードする
実行ファイルを実行する
自身をバージョンアップする
シェルコマンドを実行する
ファイルを作成する
収集した情報を送信する
HTTPプロトコルを使用して次のアドレスに接続します。
cyber%removed%.asia/rain.php
silen%removed%.asia/pictures/2.gif/rain.php
cyber%removed%.asia/RZ02.swf/rain.php
silenc%removed%.asia/pictures/1.gif/rain.php
cat%removed%.com/ssbot.php
el-par%removed%.ru/soks/ssbot.php
complete-%removed%.com/bkavod/xenta.php
webdom%removed%.com/lovetech/techtor.php
akee%removed%.com/kimo/kimork.php
91.%removed%.43/startrek/startrek.php
103.31%removed%.31/dynaglobe/startrek.php
hen%removed%.com/sears/sears.php
hen%removed%.com/the-henner/hennesystuff.php
erstory%removed%.us/kuku/theend.php
usatopse%removed%.biz/kuku/theend.php
lovecupido%removed%.info/cupids_banner/cupids.php
stroy-pomosh%removed%.ru/bt/mayhem.php
imbosat%removed%.biz/ololo.php
shop-co%removed%.com/kuku/bubu.php
ads-ba%removed%.com/startrek/startrek.php
v34.mayhem%removed%.com/_mHm_/mayhem.php
lesykb%removed%.com/kuku/sss.php
shop-c%removed%.com/herosima/nagasaki.php
103.%removed%.31/dynaglobe/startrek.php
imbos%removed%.biz/go.php
176.%removed%.76/be/123.php
95.%removed%.2/bt/mayhem.php
kub%removed%.com/soros/soros_design.php
webdom%removed%.com/lovetech/techtor.php
lesykb%removed%.com/kuku/sss.php
clo%removed%.red/closed.php
次のファイルを削除する場合があります。
%currentfolder%/1.sh
%currentfolder%/rss-aggr.so
%currentfolder%/libworker.so
/tmp/.sc
%currentfolder%/.caches
%currentfolder%/.cache
%currentfolder%/.sd0
%currentfolder%/.fghv
%currentfolder%/1.%pid%
次の環境変数を設定します。
AU=%URL%
%URL%には可変の文字列が入ります。
|
