検出した場合の対処方法
常駐監視を行っている各検査プログラムによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windows のシステムの復元により修復しなければならない可能性があります。
対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。
解説での表記(用語)について
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。
%startup%は、スタートアップディレクトリを表記しています。
%userprofile%は、ユーザーのマイドキュメントディレクトリを表記しています。
解説
■侵入(インストレーション)について
このワームは、実行時に自身を次の場所にコピーします。
%localappdata%\br%variable1%on.exe
%localappdata%\csrss.exe
%localappdata%\inetinfo.exe
%localappdata%\lsass.exe
%localappdata%\services.exe
%localappdata%\smss.exe
%localappdata%\winlogon.exe
%startup%\Empty.pif
%system%\%username%'s Setting.scr
%system%\cmd-brontok.exe
%system%\drivers\etc\hosts-Denied By-%username%.com
%templates%\14004-NendangBro.com
%windir%\KesenjanganSosial.exe
%windir%\ShellNew\RakyatKelaparan.exe
次のファイルを作成します。
%localappdata%\Kosong.Bron.Tok.txt (51 B)
%userprofile%\My Pictures\about.Brontok.A.html (1064 B)
次のフォルダーを作成します。
%localappdata%\Ok-SendMail-Bron-tok
%localappdata%\Bron.tok-16-%variable2%
%localappdata%\Loc.Mail.Bron.Tok
システムが起動するたびに実行されるよう、次のレジストリーエントリーを登録します。
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Bron-Spizaetus" = "%windir%\ShellNew\RakyatKelaparan.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurentVersion\Winlogon]
"Shell" = "Explorer.exe "%windir%\KesenjanganSosial.exe""
[HKEY_LOCAL_MACHINE\System\CurrentSontrolSet\Control\SafeBoot]
"AlternateShell" = "cmd-brontok.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus-%variable3%" = "%localappdata%\br%variable1%on.exe"
次のレジストリーエントリーを登録します。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = 1
"DisableCMD" = 0
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions" = 1
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Advanced]
"Hidden" = 0
"HideFileExt" = 1
"ShowSuperHidden" = 0
次のレジストリーエントリーを設定する場合があります。
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"LoadService" = ""
"CCAPPS" = ""
"OSA" = ""
"SymRun" = ""
"local service" = ""
"Security" = ""
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"LoadService" = ""
"CCAPPS" = ""
"OSA" = ""
"SymRun" = ""
"local service" = ""
"Security" = ""
Windowsのタスク(タスクスケジューラ)に、次のファイルが毎日実行されるよう登録します。
%templates%\14004-NendangBro.com
次のファイルをインターネットからダウンロードしたファイルに置き換えます。
%windir%\System32\drivers\etc\hosts
いくつかのインターネットサーバーへのアクセスを遮断します。
次のファイルを改ざんします。
C:\autoexec.bat
このファイルに次のエントリーを書き込みます。
pause
次のファイルを削除します。
%system%\ccapps.exe
%system%\kangen.exe
%system%\syslove.exe
%system%\winword.exe
%windir%\Fonts\tskmgr.exe
%windir%\rundll32.exe
%windir%\Systray.exe
C:\!Submit\winword.exe
C:\!Submit\xpshare.exe
C:\Windows\Systray.exe
%variable1-3%には可変の文字列が入ります。
■リムーバブルメディアへの感染について
このワームは、次の名前を使用してリムーバブルドライブのルートフォルダーに自身をコピーします。
Data %username%.exe
■電子メールを経由した感染について
このワームは、電子メールを介して感染を広げます。
感染をさらに広げるため、次の拡張子を持つローカルファイル内でメールアドレスを探します。
.asp
.cfm
.csv
.eml
.htm
.html
.php
.txt
.wab
次の文字列を含むアドレスは避けます。
..
.@
.AC.ID
.ASP
.CO.ID
.EXE
.GO.ID
.HTM
.JS
.MIL.ID
.NET.ID
.OR.ID
.PHP
.SCH.ID
.VBS
.WAR.NET.ID
.WEB.ID
@.
@123
@ABC
@MAC
ADMIN
ADOBE
AHNLAB
ALADDIN
ALERT
ALWIL
ANTIGEN
APACHE
ARCHIEVE
ASDF
ASSOCIATE
ASTAGA
AVAST
AVG
AVIRA
BILLING@
BLACK
BLAH
BLEEP
BOLEH
BROWSE
BUG
BUILDER
BUNTU
CANON
CILLIN
CISCO
CLICK
CNET
COMPUSE
COMPUTE
CONTOH
CRACK
DARK
DATABASE
DEMO
DEVELOP
DOMAIN
DOWNLOAD
ELECTRO
ELEKTRO
EMAILKU
ESAFE
ESAVE
ESCAN
EXAMPLE
FEEDBACK
FOO@
FREE
FUCK
FUJI
FUJITSU
GATEWAY
GAUL
GOOGLE
GRISOFT
GROUP
HACK
HAURI
HIDDEN
HP.
IBM.
IEEE
INDO
INFO@
INFORMA
INTEL.
IPTEK
KDE
KOMPUTER
LAB
LINUX
LOOKSMART
LOTUS
LUCENT
MACRO
MASTER
MATH
MICRO
MICROSOFT
MOZILLA
MYSQL
NASA
NETSCAPE
NETWORK
NEWS
NOD32
NOKIA
NORMAN
NORTON
NOVELL
NVIDIA
OPERA
OVERTURE
PANDA
PLASA
POSTGRE
PROGRAM
PROLAND
PROMO
PROTECT
PROXY
RECIPIENT
REDHA
REGIST
RELAY
RESPONSE
ROBOT
SALES
SATU
SECUN
SECURE
SECURITY
SEKUR
SENIOR
SERVER
SERVICE
SIEMENS
SIERRA
SLACK
SMTP
SOFT
SOME
SOURCE
SPAM
SPERSKY
SPYW
STUDIO
SUN.
SUPPORT
SUSE
SYBARI
SYMANTEC
SYNDICAT
TELECOM
TELKOM
TEST
TRACK
TREND
TRUST
UPDATE
USERNAME
VAKSIN
VIRUS
W3.
WWW
XANDROS
XEROX
XXX
YOUR
ZDNET
ZEND
ZOMBIE
送信アドレスは次のいずれかになります。
Photo_%variable%@friendster.com
PicSender_%variable%@friendster.com
Photo_%variable%@boleh.com
Galeri_%variable%@boleh.com
%variable%には可変の文字列が入ります。
メッセージの内容は、このワームがインターネットからダウンロードするデータによって異なります。
■共有フォルダーを経由した感染について
このワームは、さまざまな共有フォルダーを探します。
実行ファイルのコピーを該当フォルダー内に作成します。作成するファイルの名前には、そのフォルダー内にある既存のファイルの名前を使用します。
ただし、".exe"という拡張子が末尾に追加されます。
次の名前が代わりに使用される場合もあります。
Data %username%.exe
■その他の情報
このワームは、リモートのコンピューターもしくはインターネットからデータや命令を受け取ります。
4つのURLを保持しています。通信にはHTTPプロトコルが使用されます。
インターネットからファイルをダウンロードし、実行しようとします。
2つのサーバーにDoS攻撃を仕掛けます。
名前に次の文字列のいずれかが含まれているウィンドウがある場合、OSを再起動させます。
.EXE
BLEEPING
CLEANER
COMMAND PROMPT
FAJARWEB
GROUP POLICY
HIJACK
KILLBOX
LOG OFF WINDOWS
MOVZX
PROCESS EXP
REGISTRY
REMOVER
SCRIPT HOST
SHUT DOWN
SYSINTERNAL
SYSTEM CONFIGURATION
TASK KILL
TASKKILL
次のプログラムを終了させます。
ashmaisv.exe
aswupdsv.exe
avgemc.exe
ccapps.exe
cclaw.exe
mcvsescn.exe
nipsvc.exe
njeeves.exe
nvcoas.exe
poproxy.exe
riyani_jangkaru.exe
syslove.exe
systray.exe
tskmgr.exe
xpshare.exe
次の命令を実行します。
at /delete /y
at 17:08 /every:M,T,W,Th,F,S,Su "%templates%\14004-NendangBro.com"
at 11:03 /every:M,T,W,Th,F,S,Su "%templates%\14004-NendangBro.com"
ping kaskus.com -n 250 -l 747
ping 17tahun.com -n 250 -l 747
ファイル名に次の文字列のいずれかが含まれているファイルを探します。
.DOC.EXE
.XLS.EXE
PATAH
HATI
CINTA
UNTUKMU
DATA-TEMEN
RIYANI
JANGKARU
KANGEN
JROX
kangen.exe
untukmu.exe
myheart.exe
my heart.exe
jangan dibuka.exe
該当ファイルを見つけると、削除します。
次の拡張子を持つファイルをローカルドライブで探します。
.pdf
.xls
.ppt
対象のファイルを見つけると、自身のコピーを新たに作成します。
新しく作成されたファイルの名前と拡張子は、元のファイルと同じになります。ただし、".exe"という拡張子が末尾に追加されます。
次のメッセージを表示します。
|
