キヤノンITソリューションズ：ESET Smart Security & ESET NOD32アンチウイルス：Win32/Daonol


最新ウイルス定義ファイルバージョン : 12381 (2015/10/09 17:02)

最新ウイルス情報 : Win32/Daonol	公開日：2009年6月4日
このウイルスに関する危険度 :■■■■□

定義名称	Win32/Daonol
シグネチャ検査による結果だった場合	Win32/Daonol トロイ
別名	Trojan-Dropper.Win32.Agent.apfn (Kaspersky), Infostealer.Daonol (Symantec), Trojan.Dropper.Agent.UNR (BitDefender)
種別	トロイの木馬
アドバンスドヒューリスティック検査による結果だった場合	このオリジナルのトロイを利用した新種、亜種が検出された場合は、「NewHeur_PE」もしくは「Win32/Daonol トロイ」という名称で警告が出ます。
影響を受けるプラットフォーム	Microsoft Windows
概要	感染したコンピューターからトラフィックを監視して、FTPのアカウントを抜き取ろうとするトロイの木馬です。このトロイの木馬は、他のマルウェアから呼び出されるか、脅威を含んだJavaScriptを実行させる危険なサイトにアクセスすることによって、ダウンロードされ、実行されます。詳しい活動内容については、解説欄をご参照ください。

国内の被害状況について

この脅威は、2009年5月19日付でJPCERT コーディネーションセンターより注意喚起されている「JavaScript が埋め込まれる Web サイトの改ざんに関する注意喚起」と関連したものです。
●JavaScript が埋め込まれる Web サイトの改ざんに関する注意喚起

このトロイの被害を受ける場合は、悪意のあるJavaScript ファイル（本製品では、このJavaScript ファイルを検出した場合は「JS/TrojanDownloader.Agent.NQB」トロイとして検出します）が実行された後に Adobe Reader、Adobe Acrobat および Flash Playerの脆弱性を悪用して、このトロイをダウンロードして実行されるよう仕組まれています。また、このトロイの実行によって新たな FTP ログイン情報が攻撃者へ送られるため、攻撃者は Webサイトへの改ざんが容易になり、次々と感染可能な環境を作り出すことができるようになっています。

この問題を未然に防ぐためには、本製品のウイルス定義データベースならびに Adobe 社製品の次の製品 Adobe Reader、Adobe Acrobat および Flash Player を最新の状態にしていただくことが必要です。
●Security Updates available for Adobe Reader and Acrobat

検出した場合の対処方法

常駐監視を行っている各検査プログラムによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windows のシステムの復元により修復しなければならない可能性があります。

対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータなどに感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。（検出したファイル自身がウイルスそのものである場合は、削除を行ってください。）

駆除もしくは削除後、再起動すると再び同じウイルスによって活動が発生する場合は、システムをセーフモードで起動し、検査および駆除・削除を実施してください。

解説での表記(用語)について

以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。
%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。

解説

■侵入(インストレーション)について

このトロイの木馬は、実行時に自分自身を以下のファイル名でコピーしようとします。

PresentFolder%\..\%variable1%.%variable2%

※ PresentFolder%は、このトロイの木馬が実行されている場所です。
%variable1%は、8桁のランダムな文字列です。
%variable2%は、3桁のランダムな文字列です。

このトロイの木馬は、システムが開始されるごとに実行できるよう、次のレジストリを登録します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\" aux" = "%PresentFolder%\..\%variable1%.%variable2%"

このトロイの木馬は、次のWindows APIのAPIを横取りして、起動したプロセスにインジェクションします。

kernel32!CreateProcessW

■その他の情報

このトロイの木馬は、実行したプロセスに次の文字列が含まれると無効にします。

.com
.bat
.reg
cmd
reged

このトロイの木馬は、実行したプロセスの名前から、次の文字列を消します。

gmer
le38

その後、このトロイの木馬は、%system%\ws2_32.dll(Winsock)から呼び出されている次のWindows APIを横取りして、ネットワークのトラフィックをモニタできるようにします。

recv
send
connect
WSARecv
WSASend

このトロイの木馬は、アドウェアが仕掛けられているサイトの検索エンジンに導きます。
このトロイの木馬は、次の文字列を含んでいるサイトへのアクセスを禁止します。

clamav
mbam
mcafee
miekiemoes
prevx

このトロイの木馬は、次の文字列から始まるドメイン名のサイトへのアクセスを禁止します。

Adob
AVG
AVPU
CAUp
COMO
Enig
ESS
LIVE
Live
McHT
NOD3
Nort
Pand
SpyS
SUPE
Sy
TMUF

このトロイの木馬は、次の文字列がアドレスにURLとして入力されると、無視されます。

DaonolFix

このトロイの木馬は、ネットワークのトラフィックをモニタし、FTPアカウントの情報を抜き取ります。その後、次のファイルの中に登録します。

%system%\sqlsodbc.chm

%system%\sqlsodbc.chmは、元からあるファイルです。

このトロイの木馬は、感染したコンピューター上のファイルを送信しようと試みます。

■感染の目安

正常な、%system%\sqlsodbc.chmは、

ファイルサイズ	：	50,727バイト
CRC32	：	B61C7A80
MD5	：	F639AFDE02547603A3D3930EE4BF8C12
SHA-1	：	FBDD32ED13D27E4102621E1067FDF3634F33B2C3

です。

コマンドプロンプトで、%system%\sqlsodbc.chmを実行しても何も表示されず、
ファイルサイズが、1KB前後だと感染している可能性があります。