検出した場合の対処方法
常駐監視を行っている各検査プログラムによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windowsのシステムの復元により修復しなければならない可能性があります。
対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。
解説での表記(用語)について
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir%と表記しており、インストール時の設定により異なる場合があります。%windir%のサブディレクトリである"System"や"System32"は%system%と表記しています。
%appdata%は、マイドキュメント以下のApplication Dataディレクトリを表記しています。
%temp%はWindowsオペレーティングシステムのテンポラリディレクトリを表記しています。
解説
■侵入(インストレーション)について
このトロイの木馬は、実行時に自身を次の場所にコピーします。
%appdata%\Microsoft\Protect\%variable1%.exe
次のプロセスに自身のプログラムコードを挿入して新たなスレッドを作成、実行します。
explorer.exe
iexplore.exe
svchost.exe
次のファイルを作成します。
%temp%\s32.txt
システムが起動するたびに実行されるよう、次のレジストリーエントリーを登録します。
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run]
"%variable2%" =
"%appdata%\Microsoft\Protect\%variable1%.exe"
失敗した場合は、代わりに次のエントリーを設定します。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Run]
"%variable2%" =
"%appdata%\Microsoft\Protect\%variable1%.exe"
インストール終了後、元の実行ファイルを削除します。
%variable1-2%には可変の文字列が入ります。
■情報の取得
このトロイの木馬は、次の情報を収集します。
ログイン名
ログインパスワード
FTPアカウント情報
メールアドレス
次の文字列を含むアドレスは避けます。
dll
.hlp
_upro_
419report
aa419
abuse
accoun
admin
-announce
antivir
anyone
apache
apache.org
arachnoid
blackhole
blacklist
block
blocked
bsd
bugs
-bugs
ca.com
castlecops
catcert
caube
cauce.org
certific
-certs
ci.el-paso.tx.us
cia.gov
cloudmark
cloudmark.com
confirm
-confirm
crime
debian
digsigtrust
dnsbl
dnsrbl
dydns
dynablock
ebay.com
egroups.com
e-trust
example
fbi.gov
fdic.gov
fraud
gold-certs
google
googlegroups
help
hostmaster
ht.ht
icrosoft
joewein
linux
listserv
mailwasher
malware
mcafee
messagelabs
moderators
mojordomo
mozilla
mydomai
nasa.gov
netcraft
newsvine
no_uce
nobody
nodomai
noone
noreply
nothing
outblaze
paulgraham.com
paypal
phish
police
postmaster
rating
reasonables
root
rx.t-online
samples
scam
scamdex
secur
service
soft
somebody
someone
sorbs
spam
submit
subscribe
support
symantec
thawte
the.bat
unix
uribl
velicert
verisign
virus
webmaster
webroot.com
yahoogroups
データは、次のファイルに保存されます。
%windir%\f32.txt
%windir%\g32.txt
収集した情報をリモートのコンピューターに送信しようとします。
■その他の情報
このトロイの木馬は、スパムメールの配信に使用されます。
リモートのコンピューターもしくはインターネットからデータや命令を受け取ります。
4つのURLを保持しています。通信にはSMTPプロトコルとHTTPプロトコルが使用されます。
次を実行する場合があります。
リモートのコンピューターもしくはインターネットからファイルをダウンロードする
実行ファイルを実行する
自身をバージョンアップする
スパムメールを送信する
収集した情報を送信する
ネットワークトラフィックを監視する
インターネットに接続されているかどうかを確認するため、次のURLへの接続を試みます。
ns.uk3.net
www.yahoo.com
www.web.de
次のファイルを作成する場合があります。
%windir%\ws386.ini
%windir%\gs32.txt
%windir%\fs32.txt
%temp%\~ie%variable3%.exe
%variable3%には可変の文字列が入ります。
|
