キヤノンITソリューションズ株式会社 閉じる

ウイルス情報  
最新ウイルス定義ファイルバージョン : 12381
(2015/10/09 17:02)
最新ウイルス情報 : Win32/Agent.KSQ
公開日:2008年09月03日
このウイルスに関する危険度 :■■■□□

定義名称 Win32/Agent.KSQ
シグネチャ検査による結果だった場合 Win32/Agent.KSQ トロイ
種別 トロイの木馬
別名 Trojan.Win32.Pakes.dce (Kaspersky), Trojan.KillAV (Symantec), PWS-Mmorpg.gen (McAfee)
アドバンスドヒューリスティック検査による結果だった場合 このオリジナルのトロイを利用した亜種が検出された場合は、「NewHeur_PE」もしくは「Win32/Agent トロイの亜種」という名称で警告が出ます。
影響を受けるプラットフォーム Microsoft Windows
概要 Win32/Agent.KSQ トロイは、インターネットからいくつかのファイルをダウンロードして実行するトロイです。このトロイは、いくつかのセキュリティソフトウェアの停止を行います。トロイはUPXを使用したランタイムです。詳しい活動内容については、解説欄をご参照ください。

検出した場合の対処方法

常駐監視を行っているAMON、IMON、DMON、EMONなどによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windows のシステムの復元により修復しなければならない可能性があります。

対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータを戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。

解説での表記(用語)について

以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。

解説

■侵入(インストレーション)について

Win32/Agent.KSQ トロイが実行されると、C:\folderに次のファイルをドロップします。

NTDUBECT.EXE (58368 B)
_uninsep.bat

次のファイルは、%temp% フォルダにドロップされます。

SETUP.EXE (10916 B)
ANTIR.exe (17860 B)
ANTIR.sys (3072 B)
1.tmp (15488 B)
tmp.bat

次のレジストリを登録します。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe]
"Debugger" = "TASKMAN.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.exe]
"Debugger" = "TASKMAN.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safebox.exe]
"Debugger" = "TASKMAN.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safeboxTray.exe]
"Debugger" = "TASKMAN.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe]
"Debugger" = "TASKMAN.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe]
"Debugger" = "TASKMAN.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe]
"Debugger" = "TASKMAN.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMonD.exe]
"Debugger" = "TASKMAN.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe]
"Debugger" = "TASKMAN.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavStub.exe]
"Debugger" = "TASKMAN.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe]
"Debugger" = "TASKMAN.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SmartUp.exe]
"Debugger" = "TASKMAN.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep.exe]
"Debugger" = "TASKMAN.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwmain.exe]
"Debugger" = "TASKMAN.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwProxy.exe]
"Debugger" = "TASKMAN.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwsrv.exe]
"Debugger" = "TASKMAN.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwstub.exe]
"Debugger" = "TASKMAN.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwcfg.exe]
"Debugger" = "TASKMAN.EXE"

トロイは、次の名前を使ってシステムサービスに自分自身を登録します。

IIS Manager

 

■その他の情報

トロイは、次の文字列を含んだプロセスを停止します。

RavMonD.exe
rfwsrv.exe
rfwmain.exe
kwatch.exe
kissvc.exe
kpfwsvc.exe
safeboxTray.exe
360tray.exe
360safe.exe

トロイは、次のサービスを無効にします。

Security Center
Windows Firewall/Internet Connection Sharing (ICS)
System Restore Service

もし、感染した環境に Kingsoft Antivirus がインストールされていた場合は、次のファイルを自分自身のコピーに入れ替えます。

%programpath%\kpfwsvc.exe
%programpath%\Update\bin\kpfwsvc.exe
%programpath%\kasmain.exe
%programpath%\Update\bin\kasmain.exe
%programpath%\uplive.exe
%programpath%\Update\bin\uplive.exe
%programpath%\kwatch.exe
%programpath%\Update\bin\kwatch.exe
%programpath%\kissvc.exe
%programpath%\Update\bin\kissvc.exe

トロイは、次のレジストリからインストール先の情報を取得します。

[HKEY_LOCAL_MACHINE\SOFTWARE\Kingsoft\Antivirus]
"ProgramPath"

もし、感染した環境に Rising Antivirus がインストールされていた場合は、次のファイルを自分自身のコピーに入れ替えます。

%installpath%\Scanner.dll
%installpath%\Update\Scanner.dll
%installpath%\SmartUp.exe
%installpath%\Update\SmartUp.exe
%installpath%\RavMonD.exe
%installpath%\Update\RavMonD.exe

トロイは、次のレジストリからインストール先の情報を取得します。

[HKEY_LOCAL_MACHINE\SOFTWARE\rising\Rav]
"installpath"

トロイは、次の場所に自分自身のコピーを作る場合があります。

C:\Program files\Realtek\APPath\

自分自身のコピーのファイル名は次の名前です。

RTHDCPL.exe (58368 B)

トロイは、次のレジストリを登録する場合があります。

[HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows\CurrentVersion\Run]
"SOUNDMAN"="C:\Program Files\Realtek\APPath\RTHDCPL.exe"

[HKEY_CURRENT_USER\SoftWare\Microsoft\Windows\CurrentVersion\Run]
"SOUNDMAN"="C:\Program Files\Realtek\APPath\RTHDCPL.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon]
"ExecAccess" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon]
"SiteAccess" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon]
"MonAccess" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon]
"UDiskAccess" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon]
"ARPAccess" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon]
"IEProtAccess" = 0

トロイは、サウンドデバイスのマスタ音量をミュートにします。

トロイは、インターネットからいくつかのファイルをダウンロードして実行します。そして、次の場所に保存されます。

%system%\WIN.INI
%system%\updatax.exe
%system%\%variable%.exe

※%variable%には適当な名前が入ります。

トロイは、URLのリストを持っています。
このページのトップへ

(C)Canon IT Solutions Inc.