復号化ツールはこちらからダウンロードできます。
検出した場合の対処方法
常駐監視を行っている各検査プログラムによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windowsのシステムの復元により修復しなければならない可能性があります。
対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。
解説での表記(用語)について
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir%と表記しており、インストール時の設定により異なる場合があります。%windir%のサブディレクトリである"System"や"System32"は%system%と表記しています。
%appdata%は、マイドキュメント以下のApplication Dataディレクトリを表記しています。
%startup%は、スタートアップディレクトリを表記しています。
%programfiles%は、プログラムファイルディレクトリを表記しています。
%temp%はWindowsオペレーティングシステムのテンポラリディレクトリを表記しています。
解説
■侵入(インストレーション)について
このトロイの木馬は、実行時に次のファイルを作成します。
%startup%\
%appdata%\Obsidium\{0ECB7C82-6C708AEA-68A1344C-7B4EF891}
(72 B)
%temp%\$inst\2.tmp (36 B)
%programfiles%\Asobe Systems.inc\Adobe Flash Video\msg.vbs
(93 B)
%programfiles%\Asobe Systems.inc\Adobe Flash
Video\stata.bat (54 B)
%programfiles%\Asobe Systems.inc\Adobe Flash
Video\svchost.exe (776192 B)
C:\nnn.jpg (156286 B)
次のファイルを作成する場合があります。
%programfiles%\Asobe Systems.inc\Adobe Flash Video\vvv.bat
自身のコピーを次のファイルのADS(代替データストリーム)として作成する場合があります。
%programfiles%\Asobe Systems.inc\Adobe Flash
Video\svchost.exe
次のレジストリーを登録します。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Uninstall\Adobe Flash Video 3]
"DisplayName" = "Adobe Flash Video 3"
"DisplayVersion" = "3"
"VersionMajor" = 3
"Publisher" = "Asobe Systems.inc"
"DisplayIcon" = "%programfiles%\Asobe Systems.inc\Adobe
Flash Video\Uninstall.exe"
"UninstallString" = "%programfiles%\Asobe
Systems.inc\Adobe Flash Video\Uninstall.exe"
"InstallLocation" = "%programfiles%\Asobe
Systems.inc\Adobe Flash Video\"
"InstallSource" = ""
"InstallDate" = "%installationdate%"
"Language "= 1049
"EstimatedSize" = 758
"NoModify" = 1
"NoRepair" = 1
[HKEY_CURRENT_USER\Software\Obsidium]
"(Default)" = "87E7BDE3"
[HKEY_CURRENT_USER\Software\Obsidium\{0ECB7C82-6C708AEA-68A1344C-7B4EF891}]
"Settings" = %binarydata%
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4FCB7C82-04B8-344C-68A1-A77C48BDA77C}]
"(Default)" = "%variable1%"
"AppID" = "{6E82CB0D-9EAC-1A65-3878-3AB571543AB5}"
"InprocServer32"="%system%\%variable2%"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4FCB7C82-04B8-344C-68A1-A77C48BDA77C}\
InprocServer32]
"ThreadingModel"="Apartment"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4FCB7C82-04B8-344C-68A1-A77C48BDA77C}\
ProgID]
"(Default)" ="%variable3%"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4FCB7C82-04B8-344C-68A1-A77C48BDA77C}\
TypeLib]
"(Default)" ="%variable4%"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4FCB7C82-04B8-344C-68A1-A77C48BDA77C}\
VersionIndependentProgID]
"(Default)" ="%variable5%"
[HKEY_LOCAL_MACHINE\Software]
"web"="1"
[HKEY_CURRENT_USER\Control Panel\Desktop]
"Wallpaper"="c:\nnn.jpg"
"TileWallpaper"="0"
%variable1-5%には可変の文字列が入ります。
次のダイアログボックスを表示します。
次の画像を表示します。
■ペイロード情報
このトロイの木馬はローカルドライブのファイルを暗号化します。
システムの日付が条件に合致した場合、次の拡張子を持つファイルが暗号化されます。
.doc
.docx
.jpg
.jpeg
.mp4
.pdf
.pot
.pps
.pptx
.rtf
.xls
.xlsx
ファイルを復号化するためのパスワードや手順と引き換えに、特定の条件に従うようユーザーに要求します。
■その他の情報
このトロイの木馬は、次のファイルを削除する場合があります。
%programfiles%\Asobe Systems.inc\Adobe Flash
Video\svchost.exe
次のURLをInternet Explorerで開きます。
http://moops.sooot.cn
|
