|
 |
|
|
検出した場合の対処方法 |
|
|
常駐監視を行っているAMON、IMON、DMON、EMONによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windows
のシステムの復元により修復しなければならない可能性があります。
|
|
|
解説での表記(用語)について |
|
|
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir%
と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は
%system% と表記しています。
|
|
|
解説 |
|
|
■侵入(インストレーション)について
次のファイルが%system%フォルダにドロップされます。
| |
CelInDriver.sys
windhcp.ocx |
次のレジストリエントリーが登録されます。
| |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CelInDrv]
"Type" = "1"
"ErrorControl" = "0"
"Start" = "4"
"ImagePath" = "\??\%system32%\CelInDriver.sys" |
| |
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDHCPsvc]
"Type" = "16"
"Start" = "2"
"ErrorControl" = "0"
"ImagePath" = "%system32%\rundll32.exe
windhcp.ocx,start"
"DisplayName" = "Windows DHCP Service"
"ObjectName" = "LocalSystem"
"Description" |
| |
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDHCPsvc\Security]
"Security" |
| |
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CELINDRV]
"NextInstance" = "1" |
| |
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CELINDRV\0000]
"Service" = "CelInDrv"
"Legacy" = "1"
"ConfigFlags" = "0"
"Class" = "LegacyDriver"
"ClassGUID" =
"{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc" = "CelInDrv" |
| |
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CELINDRV\0000\Control]
"*NewlyCreated*" = "0"
"ActiveService" = "CelInDrv" |
■盗難について
トロイは特定のアプリケーションが使われているとき、さまざまな情報を集めます。
トロイはHTTPプロトコルを使用し、情報をリモートマシンに送信します。
|
