 |
|
検出した場合の対処方法 |
|
|
常駐監視を行っているAMON、IMON、DMON、EMONによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windows
のシステムの復元により修復しなければならない可能性があります。
対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。
|
|
解説での表記(用語)について |
|
|
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir%
と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は
%system% と表記しています。
|
|
解説 |
|
|
■侵入(インストレーション)について
Win32/Botvoice.A トロイが実行されると、次のフォルダに SP_(ランダムな数値).dat
(940 B) のファイルをドロップします。
| |
%appdata%\Microsoft\Speech\Files\UserLexicons\ |
次のレジストリが複数登録されます。これらの修正されたレジストリは、特定のファイルが開かれることを防ぎます。
| |
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
"
(Default)" = ":: Win32\Hira.A -
eCORE[GEDZAC] - I AlwAyS WilL LoVE YoU BeA
::" |
| |
[HKEY_CLASSES_ROOT\comfile\shell\open\command]
"
(Default)" = ":: Win32\Hira.A -
eCORE[GEDZAC] - I AlwAyS WilL LoVE YoU BeA
::" |
| |
[HKEY_CLASSES_ROOT\piffile\shell\open\command]
"
(Default)" = ":: Win32\Hira.A -
eCORE[GEDZAC] - I AlwAyS WilL LoVE YoU BeA
::" |
| |
[HKEY_CLASSES_ROOT\batfile\shell\open\command]
"
(Default)" = ":: Win32\Hira.A -
eCORE[GEDZAC] - I AlwAyS WilL LoVE YoU BeA
::" |
| |
[HKEY_CLASSES_ROOT\vbsfile\shell\open\command]
"
(Default)" = ":: Win32\Hira.A -
eCORE[GEDZAC] - I AlwAyS WilL LoVE YoU BeA
::" |
| |
[HKEY_CLASSES_ROOT\jsfile\shell\open\command]
"
(Default)" = ":: Win32\Hira.A -
eCORE[GEDZAC] - I AlwAyS WilL LoVE YoU BeA
::" |
| |
[HKEY_CLASSES_ROOT\htmlfile\shell\open\command]
"
(Default)" = ":: Win32\Hira.A -
eCORE[GEDZAC] - I AlwAyS WilL LoVE YoU BeA
::" |
| |
[HKEY_CLASSES_ROOT\htmfile\shell\open\command]
"
(Default)" = ":: Win32\Hira.A -
eCORE[GEDZAC] - I AlwAyS WilL LoVE YoU BeA
::" |
| |
[HKEY_CLASSES_ROOT\mp3file\shell\open\command]
"
(Default)" = ":: Win32\Hira.A -
eCORE[GEDZAC] - I AlwAyS WilL LoVE YoU BeA
::" |
| |
[HKEY_CLASSES_ROOT\jpgfile\shell\open\command]
"
(Default)" = ":: Win32\Hira.A -
eCORE[GEDZAC] - I AlwAyS WilL LoVE YoU BeA
::" |
| |
[HKEY_CLASSES_ROOT\service\CLSID]
"
(Default)" = ":: Win32\Hira.A -
eCORE[GEDZAC] - I AlwAyS WilL LoVE YoU BeA
::" |
| |
[HKEY_CURRENT_USER\Software\Microsoft\Speech\CurrentUserLexicon]
"
(Default)" = "Current User Lexicon"
"
CLSID" = "{C9E37C15-DF92-4727-85D6-72E5EEB6995A}"
"
FlushRate" = 10 |
| |
[HKEY_CURRENT_USER\Software\Microsoft\Speech\CurrentUserLexicon\{C9E37C15-DF92-4727-85D6-72E5EEB6995A}\Files]
"
Datafile" = "%1a%\Microsoft\Speech\Files\UserLexicons\SP_%variable%.dat" |
| |
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"
DisableRegistryTools" = 1
"
DisableTaskMgr" = 1 |
■その他の情報
トロイは、次のプログラムを停止します。
トロイは、次の場所に保存されているファイルを削除することがあります。
| |
C:\
%windir%
%windir%\ServicePackFiles\i386\
%windir%\$NtServicePackUninstall$\
%My Video%
%My Pictures%
%My Music%
%Personal%
%Desktop% |
トロイは、次のタイトルでダイアログを表示することがあります。
このダイアログには、次のテキストが含まれています。
| |
I ProMise ... I Will Love YoU
AlWayS BEa! |
トロイは、Microsoft Speech technologyを使用します。その際、次の文章を音声で読み上げる場合があります。
| |
You has been infected
I repeat You has been infected and your system
files has been deletes.
Sorry Have a Nice
Day and bye bye |
トロイは、キーボードとマウスの入力をブロックします。
|
