検出した場合の対処方法
常駐監視を行っている各検査プログラムによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windowsのシステムの復元により修復しなければならない可能性があります。
対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。
解説での表記(用語)について
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir%と表記しており、インストール時の設定により異なる場合があります。%windir%のサブディレクトリである"System"や"System32"は%system%と表記しています。
%temp%はWindowsオペレーティングシステムのテンポラリディレクトリを表記しています。
解説
■侵入(インストレーション)について
このトロイの木馬は、自身のコピーを作成しません。
次のファイルを作成します。
%temp%\repack\API.class (3431 B)
%temp%\repack\cgminer.conf (456 B)
%temp%\repack\diablo130302.cl (44727 B)
%temp%\repack\diakgcn121016.cl (30802 B)
%temp%\repack\libcurl.dll (602624 B)
%temp%\repack\libcurl.dta (141824 B, Win32/CoinMiner.EJ trojan)
%temp%\repack\libeay32.dll (1664000 B)
%temp%\repack\libidn-11.dll (192512 B)
%temp%\repack\librtmp.dll (133632 B)
%temp%\repack\libssh2.dll (170496 B)
%temp%\repack\libusb-1.0.dll (110094 B)
%temp%\repack\phatk121016.cl (13062 B)
%temp%\repack\phatk121016Turksv2w128l4.bin (751352 B)
%temp%\repack\poclbm130302.cl (43810 B)
%temp%\repack\poclbm130302GeForce GTS 250v1w256l4.bin (201802 B)
%temp%\repack\poclbm130302Intel(R) HD Graphics 4000gv1w256l4.bin (1129214 B)
%temp%\repack\run.exe (94720 B, Win32/CoinMiner.EJ trojan)
%temp%\repack\scrypt130302.cl (23811 B)
%temp%\repack\ssleay32.dll (352768 B)
%temp%\repack\svchost.exe (667648 B, Win32/BitCoinMiner.D)
%temp%\repack\zlib1.dll (84992 B)
%workingdir%\$124da.bat
次のレジストリーエントリーを登録します。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"repacks" = "%temp%\repack\run.exe"
登録されたレジストリーエントリーから次のファイルが実行されます。
%temp%\repack\run.exe (94720 B, Win32/CoinMiner.EJ trojan)
次のファイルを実行します。
%workingdir%\$124da.bat
インストール終了後、元の実行ファイルを削除します。
■その他の情報
このトロイの木馬が動作するには、OpenCL(Open Computing Languageフレームワーク)が起動している必要があります。
次のファイルを実行する必要があります。
opencl.dll
|
