最新ウイルス情報 : Win32/Agent.OTL	公開日：2010年10月20日
このウイルスに関する危険度 :■□□□□

定義名称 Win32/Agent.OTL シグネチャ検査による結果だった場合 Win32/Agent.OTL 別名 Trojan-Downloader.Win32.Agent.ddrb（Kaspersky）、 TrojanDropper:Win32/Kirpich.A（Microsoft） 種別 トロイの木馬 アドバンスドヒューリスティック検査による結果だった場合 このオリジナルのトロイを利用した新種、亜種が検出された場合は、「NewHeur_PE」もしくは「Win32/Agent.OTL トロイの木馬の亜種」という名称で警告が出ます。 対応時期 バージョン5238（20100629）以降 影響を受けるプラットフォーム Microsoft Windows 概要 これは、リモートからコントロール可能なバックドア型のトロイの木馬です。詳しい活動内容については、解説欄をご参照ください。

検出した場合の対処方法 常駐監視を行っている各検査プログラムによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windows のシステムの復元により修復しなければならない可能性があります。 対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。 解説での表記(用語)について 以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。 解説 ■侵入（インストレーション）について このトロイの木馬は次のファイルを作成します。 %system%\noise0.dat %system%\regs.dat (725 B) %system%\subs.dat (706 B) %system%\%variable%.dat %system%\%variable%.exe (45056 B) 次のファイルを改ざんします。 %system%\ctfmon.exe %system%\ws2_32.dll boot.ini %variable%には可変の文字列が入ります。 ■ファイル感染 このトロイの木馬は実行ファイルに感染します。 感染は、実行ファイルの最後のセクションにトロイの木馬のコードを付加することによって行われます。 ■情報の取得 次の情報を収集します。 ネットワークアダプタ情報 コンピュータ名 収集された情報は、リモートのコンピュータに送信される場合があります。 ■その他の情報 このトロイの木馬は、リモートのコンピュータもしくはインターネットからデータや命令を受け取ります。 このトロイの木馬は5つのURLを保持しています。 通信にはHTTPプロトコルが使用されます。 次を実行します。 ファイルをリモートのコンピュータに送信する 自分自身を感染先のコンピュータから削除する 実行ファイルを実行する リモートのコンピュータもしくはインターネットからファイルをダウンロードする スクリーンショットを作成する