検出した場合の対処方法
常駐監視を行っている各検査プログラムによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windowsのシステムの復元により修復しなければならない可能性があります。
対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。
解説での表記(用語)について
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir%と表記しており、インストール時の設定により異なる場合があります。%windir%のサブディレクトリである"System"や"System32"は%system%と表記しています。
%appdata%は、マイドキュメント以下のApplication Dataディレクトリを表記しています。
%drive%には、任意のドライブ名が入ります。
%programfiles%は、プログラムファイルディレクトリを表記しています。
%temp%はWindowsオペレーティングシステムのテンポラリディレクトリを表記しています。
解説
■侵入(インストレーション)について
このワームは、実行時に自身を次の場所へコピーします。
%system%\%variable%.dll
%programfiles%\Internet Explorer\%variable%.dll
%programfiles%\Movie Maker\%variable%.dll
%appdata%\%variable%.dll
%temp%\%variable%.dll
%variable%には可変の文字列が入ります。
%variable%.dllライブラリーは、次のプロセスにインジェクトされます。
explorer.exe
services.exe
svchost.exe
次の文字列を組み合わせた名前を使用して自身をシステムサービスとして登録します。
Boot
Center
Config
Driver
Helper
Image
Installer
Manager
Microsoft
Monitor
Network
Security
Server
Shell
Support
System
Task
Time
Universal
Update
Windows
システムが起動するたびに実行されるよう、次のレジストリーエントリーを登録します。
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"%variable_name%" = "rundll32.exe "%system%\%variable%.dll",%random_string%"
次のレジストリーエントリーを登録します。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%random service name%\Parameters]
"ServiceDll" = "%system%\%variable%.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%random service name%]
"Image Path" = "%System Root%\system32\svchost.exe -k netsvcs"
"DisplayName" = "%variable service name%"
"Type" = 32
"Start" = 2
"ErrorControl" = 0
"ObjectName" = "LocalSystem"
"Description" = "%variable_name%"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"TcpNumConnections" = 16777214
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = 0
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets]
"gip" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets]
"gip" = 0
%random service name%には可変の文字列が入ります。
次のレジストリーエントリーを削除します。
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC}]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender" = "%filepath%"
■感染について
このワームは、ランダムなポートでHTTPサーバーを稼働させます。
リモートマシンのTCP 139/445番ポートに接続して、Serverサービスの脆弱性を悪用しようとします。
この試みが成功すると、リモートのコンピューターは感染先のコンピューターに接続し、ワームのコピーをダウンロードしようとします。
このファイルは、次の拡張子が使用されたDLLライブラリーです。
.bmp
.gif
.jpeg
.png
この脆弱性の詳細については、Microsoftのセキュリティ情報MS08-067をご覧ください。
■共有フォルダーを経由した感染について
このワームは、ローカルネットワーク上の他のコンピューターの共有フォルダーに自身のコピーを試みます。
次のユーザー名を使用します。
%username%
次のパスワードを使用します。
123
1234
12345
123456
1234567
12345678
123456789
1234567890
123123
12321
123321
123abc
123qwe
123asd
1234abcd
1234qwer
1q2w3e
a1b2c3
admin
Admin
administrator
nimda
qwewq
qweewq
qwerty
qweasd
asdsa
asddsa
asdzxc
asdfgh
qweasdzxc
q1w2e3
qazwsx
qazwsxedc
zxcxz
zxccxz
zxcvb
zxcvbn
passwd
password
Password
login
Login
pass
mypass
mypassword
adminadmin
root
rootroot
test
testtest
temp
temptemp
foofoo
foobar
default
password1
password12
password123
admin1
admin12
admin123
pass1
pass12
pass123
root123
pw123
abc123
qwe123
test123
temp123
mypc123
home123
work123
boss123
love123
sample
example
internet
Internet
nopass
nopassword
nothing
ihavenopass
temporary
manager
business
oracle
lotus
database
backup
owner
computer
server
secret
super
share
superuser
supervisor
office
shadow
system
public
secure
security
desktop
changeme
codename
codeword
nobody
cluster
customer
exchange
explorer
campus
money
access
domain
letmein
letitbe
anything
unknown
monitor
windows
files
academia
account
student
freedom
forever
cookie
coffee
market
private
games
killer
controller
intranet
work
home
job
foo
web
file
sql
aaa
aaaa
aaaaa
qqq
qqqq
qqqqq
xxx
xxxx
xxxxx
zzz
zzzz
zzzzz
fuck
12
21
321
4321
54321
654321
7654321
87654321
987654321
0987654321
0
00
000
0000
00000
00000
0000000
00000000
1
11
111
1111
11111
111111
1111111
11111111
2
22
222
2222
22222
222222
2222222
22222222
3
33
333
3333
33333
333333
3333333
33333333
4
44
444
4444
44444
444444
4444444
44444444
5
55
555
5555
55555
555555
5555555
55555555
6
66
666
6666
66666
666666
6666666
66666666
7
77
777
7777
77777
777777
7777777
77777777
8
88
888
8888
88888
888888
8888888
88888888
9
99
999
9999
99999
999999
9999999
99999999
次のファイル名を使用します。
\\%hostname%\ADMIN$\System32\%variable%.dll
Windowsのタスク(タスクスケジューラ)に、次のファイルが毎日実行されるよう登録します。
rundll32.exe %variable%.dll, %random_string%
■リムーバブルメディアへの感染について
このワームは、リムーバブルドライブの既存のフォルダーに自身をコピーします。
その際、次のファイル名を使用します。
%drive%\RECYCLER\S-%variable1%\%variable2%.%variable3%
%variable1-3%には可変の文字列が入ります。
次のファイルを作成します。
%drive%\autorun.inf
これにより、感染メディアがコンピューターに挿入されるたびにワームが実行されるようになります。
■その他の情報
このワームは、次のサービスを無効にします。
Windows Security Center Service (wscsvc)
Windows Automatic Update Service (wuauserv)
Background Intelligent Transfer Service (BITS)
Windows Defender Service (WinDefend)
Windows Error Reporting Service (ERSvc)
Windows Error Reporting Service (WerSvc)
次のプロセスを起動します。
netsh interface tcp set global autotuning=disabled
名前に次の文字列のいずれかが含まれるドメインへのアクセスを遮断します。
ahnlab
arcabit
avast
avira
castlecops
centralcommand
clamav
comodo
computerassociates
cpsecure
defender
drweb
emsisoft
esafe
eset
etrust
ewido
fortinet
f-prot
f-secure
gdata
grisoft
hacksoft
hauri
ikarus
jotti
k7computing
kaspersky
malware
mcafee
microsoft
networkassociates
nod32
norman
norton
panda
pctools
prevx
quickheal
rising
rootkit
securecomputing
sophos
spamhaus
spyware
sunbelt
symantec
threatexpert
trendmicro
virus
wilderssecurity
windowsupdate
avg.
avp.
bit9.
ca.
cert.
sans.
vet.
インターネットからいくつかのファイルをダウンロードして実行します。
暗号化され、電子署名が適切に付与されたファイルのみを実行します。
ファイルを次の場所に保存します。
%temp%\%variable%.tmp
%variable%には可変の文字列が入ります。
次のレジストリーエントリーを登録する場合があります。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"%port number%:TCP" = "%port number%:TCP:*:Enabled:%variable%"
これにより、Windowsファイアウォールに例外が設定され、ワームによる通信が許可されます。
次のアドレスへ接続します。
http://checkip.dyndns.org
http://www.whatismyip.org
http://www.whatsmyipaddress.com
http://www.getmyip.org
http://baidu.com
http://google.com
http://yahoo.com
http://msn.com
http://ask.com
http://w3.org
|
