検出した場合の対処方法
常駐監視を行っている各検査プログラムによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windowsのシステムの復元により修復しなければならない可能性があります。
対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。
解説での表記(用語)について
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir%と表記しており、インストール時の設定により異なる場合があります。%windir%のサブディレクトリである"System"や"System32"は%system%と表記しています。
%appdata%は、マイドキュメント以下のApplication Dataディレクトリを表記しています。
%temp%はWindowsオペレーティングシステムのテンポラリディレクトリを表記しています。
解説
■侵入(インストレーション)について
このワームは、実行時に次のファイルを%system%フォルダーに作成します。
%variable%.tmp (4096 B)
%variable%には可変の文字列が入ります。
次のシステムドライバーをインストールします。
%variable%.tmp (4096 B)
次のレジストリーエントリーを作成します。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets]
"ds" = %value%
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets]
"ds" = %value%
システムの日時が特定の条件に合致した場合、自身の機能を一部無効にします。
■感染について
このワームは、ランダムなポートでHTTPサーバーを稼働させます。リモートマシンのTCP 139/445番ポートに接続して、Serverサービスの脆弱性を悪用しようとします。
この脆弱性の詳細については、Microsoftのセキュリティ情報MS08-067をご覧ください。
この試みが成功すると、リモートのコンピューターは感染先のコンピューターに接続し、マルウェアコンポーネントをダウンロードしようとします。
このファイルは、次の拡張子が使用されたDLLライブラリーです。
.bmp
.gif
.jpeg
.png
リモートのコンピューターで実行されると、自身を次の場所のいずれかにコピーします。
%system%\%variable%.dll
%program files%\Internet Explorer\%variable%.dll
%program files%\Movie Maker\%variable%.dll
%program files%\Windows NT\%variable%.dll
%appdata%\%variable%.dll
%temp%\%variable%.dll
%variable%には可変の文字列が入ります。
%variable%.dllライブラリーは、次のプロセスにインジェクトされます。
explorer.exe
services.exe
svchost.exe
次の文字列を組み合わせた名前を使用して自身をシステムサービスとして登録します。
App
Audio
DM
ER
Event
help
Ias
Ir
Lanman
Net
Ntms
Ras
Remote
Sec
SR
Tapi
Trk
W32
win
Wmdm
Wmi
wsc
wuau
xml
access
agent
auto
logon
man
mgmt
mon
prov
serv
Server
Service
Srv
srv
Svc
svc
System
Time
このサービスの表示名には次の文字列のいずれかが含まれます。
Boot
Center
Config
Driver
Helper
Image
Installer
Manager
Microsoft
Monitor
Network
Security
Server
Shell
Support
System
Task
Time
Universal
Update
Windows
Hardware
Control
Audit
Event
Notify
Backup
Trusted
Component
Framework
Management
Browser
Machine
Logon
Power
Storage
Discovery
Policy
システムが起動するたびに実行されるよう、次のレジストリーエントリーを登録します。
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"%random1%" = "rundll32.exe "%variable%.dll",%random2%"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"%random1%" = "rundll32.exe "%variable%.dll",%random2%"
%random1-2%はランダムなテキストです。
次のレジストリーエントリーを登録します。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%random service name%\Parameters]
"ServiceDll" = "%system%\%variable%.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%random service name%]
"Image Path" = "%System Root%\system32\svchost.exe -k netsvcs"
"DisplayName" = "%random service name%"
"Type" = 32
"Start" = 2
"ErrorControl" = 0
"ObjectName" = "LocalSystem"
"Description" = "%variable_name%"
次のレジストリーエントリーを削除します。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC}]
"wscsvc" = "%filepath%"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender" = "%filepath%"
■その他の情報
このワームは、名前に次の文字列のいずれかが含まれているプロセスを終了させます。
autoruns
avenger
bd_rem
cfremo
confick
downad
dwndp
filemon
gmer
hotfix
kb890
kb958
kido
kill
klwk
mbsa.
mrt.
mrtstub
ms08
ms09
procexp
procmon
regmon
scct_
stinger
sysclean
tcpview
unlocker
wireshark
次のサービスを無効にします。
Windows Security Center Service (wscsvc)
Windows Automatic Update Service (wuauserv)
Background Intelligent Transfer Service (BITS)
Windows Defender Service (WinDefend)
Windows Error Reporting Service (ERSvc)
Windows Error Reporting Service (WerSvc)
次のアドレスへ接続します。
aol.com
cnn.com
ebay.com
msn.com
myspace.com
2ch.net
4shared.com
56.com
adobe.com
adsrevenue.net
adultadworld.com
adultfriendfinder.com
aim.com
alice.it
allegro.pl
ameba.jp
ameblo.jp
answers.com
apple.com
ask.com
aweber.com
awempire.com
badongo.com
badoo.com
baidu.com
bbc.co.uk
bebo.com
biglobe.ne.jp
bigpoint.com
blogfa.com
clicksor.com
co.cc
comcast.net
conduit.com
craigslist.org
cricinfo.com
dell.com
depositfiles.com
digg.com
disney.go.com
doubleclick.com
download.com
ebay.co.uk
ebay.com
ebay.de
ebay.it
espn.go.com
facebook.com
fastclick.com
fc2.com
files.wordpress.com
flickr.com
fotolog.net
foxnews.com
friendster.com
geocities.com
go.com
goo.ne.jp
google.com
googlesyndication.com
gougou.com
hi5.com
hyves.nl
icq.com
imageshack.us
imagevenue.com
imdb.com
imeem.com
kaixin001.com
kooora.com
linkbucks.com
linkedin.com
live.com
livedoor.com
livejasmin.com
livejournal.com
mail.ru
mapquest.com
mediafire.com
megaclick.com
megaporn.com
megaupload.com
metacafe.com
metroflog.com
miniclip.com
mininova.org
mixi.jp
msn.com
multiply.com
myspace.com
mywebsearch.com
narod.ru
naver.com
nba.com
netflix.com
netlog.com
nicovideo.jp
ning.com
odnoklassniki.ru
orange.fr
partypoker.com
paypopup.com
pconline.com.cn
pcpop.com
perfspot.com
photobucket.com
pogo.com
pornhub.com
rambler.ru
rapidshare.com
rediff.com
reference.com
sakura.ne.jp
seesaa.net
seznam.cz
skyrock.com
sonico.com
soso.com
sourceforge.net
studiverzeichnis.com
tagged.com
taringa.net
terra.com.br
thepiratebay.org
tianya.cn
tinypic.com
torrentz.com
tribalfusion.com
tube8.com
tudou.com
tuenti.com
typepad.com
ucoz.ru
veoh.com
verizon.net
vkontakte.ru
vnexpress.net
wikimedia.org
wikipedia.org
wordpress.com
xhamster.com
xiaonei.com
xnxx.com
xvideos.com
yahoo.co.jp
yahoo.com
yandex.ru
youporn.com
youtube.com
zedo.com
ziddu.com
zshare.net
http://checkip.dyndns.org
http://checkip.dyndns.com
http://www.myipaddress.com
http://www.findmyipaddress.com
http://www.ipaddressworld.com
http://www.findmyip.com
http://www.ipdragon.com
http://www.whatsmyipaddress.com
名前に次の文字列のいずれかが含まれるドメインへのアクセスを遮断します。
activescan
adware
agnitum
ahnlab
anti-
antivir
arcabit
av-sc
avast
avgate
avira
bdtools
bothunter
castlecops
ccollomb
centralcommand
clamav
comodo
computerassociates
confick
coresecur
cpsecure
cyber-ta
defender
downad
doxpara
drweb
dslreports
emsisoft
enigma
esafe
eset
etrust
ewido
f-prot
f-secure
fortinet
free-av
freeav
fsecure
gdata
grisoft
hackerwatch
hacksoft
hauri
honey
ikarus
insecure.
iv.cs.uni
jotti
k7computing
kaspersky
kido
malware
mcafee
microsoft
mirage
mitre.
ms-mvp
msftncsi
msmvps
mtc.sri
ncircle
networkassociates
nmap.
nod32
norman
norton
onecare
panda
pctools
precisesecurity
prevx
ptsecurity
qualys
quickheal
removal
rising
rootkit
safety.live
secunia
securecomputing
secureworks
snort
sophos
spamhaus
spyware
staysafe
sunbelt
symantec
technet
tenablese
threat
threatexpert
trendmicro
trojan
virscan
virus
wilderssecurity
windowsupdate
avg.
avp.
bit9.
ca.
cert.
gmer.
kav.
llnw.
llnwd.
msdn.
msft.
nai.
sans.
vet.
ブラックリストに登録されたIPアドレスを複数保持しています。
ランダムなTCP/UDPポートを開きます。
インターネットもしくは独自ネットワーク(ボットネット)のコンピューターからデータや次の行動についての命令を受け取ります。
通信にはP2Pネットワークを使用します。
|
