キヤノンITソリューションズ：ESET Smart Security & ESET NOD32アンチウイルス：Win32/Boaxxe.C


最新ウイルス定義ファイルバージョン : 12381 (2015/10/09 17:02)

最新ウイルス情報 : Win32/Boaxxe.C	公開日：2012年6月11日
このウイルスに関する危険度 :■■■□□

定義名称	Win32/Boaxxe.C
シグネチャ検査による結果だった場合	Win32/Boaxxe.C
別名	Trojan:Win32/Entebore.gen!A（Microsoft）、Variant.Barys.1963（BitDefender）
種別	トロイの木馬
アドバンスドヒューリスティック検査による結果だった場合	このオリジナルのトロイを利用した新種、亜種が検出された場合は、「NewHeur_PE」もしくは「Win32/Boaxxe.C トロイの木馬の亜種」という名称で警告が出ます。
対応時期	バージョン7022（20120403）以降
影響を受けるプラットフォーム	Microsoft Windows
概要	このトロイの木馬は、検索エンジンでの検索結果を、アドウェアがホストされたWebサイトにリダイレクトします。サイトのアクセスカウンターを増加させるために、バナー広告をクリックするようなリクエストを送信します。詳しい活動内容については、解説欄をご参照ください。

検出した場合の対処方法

常駐監視を行っている各検査プログラムによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windowsのシステムの復元により修復しなければならない可能性があります。

対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。

解説での表記（用語）について

以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir%と表記しており、インストール時の設定により異なる場合があります。%windir%のサブディレクトリである"System"や"System32"は%system%と表記しています。
%malwarefilename%は、マルウェアプログラムファイル名を表記しています。
%temp%はWindowsオペレーティングシステムのテンポラリディレクトリを表記しています。

解説

■侵入（インストレーション）について
このトロイの木馬は、通常は別のマルウェアの一部です。

通常は次のフォルダー内で検出されます。

%temp%

実行時に次のフォルダーを作成します。

%localappdata%\%variable%

%variable%には可変の文字列が入ります。

次のファイルを移動します。（移動元、移動先）

%temp%\%malwarefilename%,
%localappdata%\%variable%\%malwarefilename%

次の名前を含むライブラリーが実行中のすべてのプロセスに挿入されます。

%localappdata%\%variable%\%malwarefilename%

次のレジストリーを登録します。

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run]
"%variable%" = "rundll32.exe
"%localappdata%\%variable%\%malwarefilename%",SuspendHelpe
rLayer"

これにより、システムが起動するたびにファイルが実行されるようになります。

次のファイルを実行します。

%localappdata%\%variable%\%malwarefilename%

■情報の取得
このトロイの木馬は、次の情報を収集します。

ユーザー名
コンピューター名
ディスクのシリアルナンバー（スペースなし）
最近アクセスしたURLの一覧
cookie

■その他の情報
このトロイの木馬は、検索エンジンでの検索結果を、アドウェアがホストされたWebサイトにリダイレクトします。

ユーザーがブラウザーの検索バーに特定のキーワードを入力すると、そのキーワードに関連するアドウェアが仕掛けられたWebサイトを表示します。

次のアプリケーションの動作に影響を及ぼします。

Google Chrome
Microsoft Internet Explorer
Mozilla Firefox

次のWindows APIをフックして、入力データやメッセージを横取りします。

CreateFileW (kernel32.dll)
CreateWindowExW (user32.dll)
DirectSoundCreate (dsound.dll)
DllGetClassObject (dmusic.dll)
GetFileAttributesW (kernel32.dll)
GetFileAttributesExW (kernel32.dll)
HttpAddRequestHeadersA (wininet.dll)
LoadResource (kernel32.dll)
LockResource (kernel32.dll)
midMessage (wdmaud.drv)
modMessage (wdmaud.drv)
send (ws2_32.dll)
SizeofResource (kernel32.dll)
waveOutOpen (winmm.dll)
widMessage (wdmaud.drv)
wodMessage (wdmaud.drv)
WSASend (ws2_32.dll)

サイトのアクセスカウンターを増加させるために、バナー広告をクリックするようなHTTPリクエストを送信します。541のURLを保持しています。

実行中のプロセスの名前に次の文字列が含まれている場合は、直ちに活動を停止します。

avp.exe