 |
|
検出した場合の対処方法 |
|
|
常駐監視を行っているAMON、IMON、DMON、EMONによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windows
のシステムの復元により修復しなければならない可能性があります。
対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。
|
|
解説での表記(用語)について |
|
|
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir%
と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は
%system% と表記しています。
|
|
解説 |
|
|
■侵入(インストレーション)について
Win32/Fujacks.S ウイルスが実行されると、ウイルスは一時ファイルでホストへドロップして、実行します。さらに次の場所へ自分自身をコピーします。
| |
%windir%\drivers\spoclsv.exe |
ウイルスは、システムが開始される毎に実行できるよう、次のレジストリを登録します。このキーには、ウイルスが実行する場所を含んでいます。
| |
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"
svcshare" = "%windir%\drivers\spoclsv.exe" |
さらに、次のレジストリを登録します。
| |
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Advanced\Folder\Hidden\SHOWALL]
"
CheckedValue" = 0 |
次のレジストリの登録が存在していた場合は削除されます。
| |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network
Associates Error Reporting Service
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse |
■感染を広げる原因について
ウイルスは、次の名前を使ってリムーバブルドライブのルートフォルダへ自分自身をコピーします。
同じにフォルダに次のファイルを作成します。
感染したメディアを挿入すると、ウイルスが実行される原因となります。
■実行可能なファイルの感染活動について
ウイルスはローカルドライブおよびネットワークドライブ上の次の拡張子の実行可能な形式(ファイル)を探します。
実行可能な形式のファイルが、次の文字列を含まないフォルダに存在した場合に限り感染活動を行います。
| |
Common Files
ComPlus Applications
Documents and Settings
InstallShield Installation Information
Internet Explorer
Messenger
Microsoft Frontpage
Movie Maker
MSN
MSN Gamin Zone
NetMeeting
Outlook Express
Recycled
System Volume Information
system32
WINDOWS
Windows Media Player
Windows NT
WindowsUpdate
WINNT |
このウイルスは、影響を与えるファイルを選ぶ時に、いくつかのほかの基準を適用する場合があります。ウイルスは、影響を与える際ホストの最初のセクションでコードに上書きを行います。元のコードはCAB形式で圧縮されておりファイルに追加されます。そして、感染したファイルが実行される時に、実行可能なオリジナルのホストは、上書きされたコードをもとに再構成されます。DLLライブラリが含まれる他のCAB形式ファイルは、上記と同じようにファイルが追加されます。
■その他の情報
ウイルスはローカルドライブおよびネットワークドライブ上の次の拡張子の実行可能な形式(ファイル)を探します。
| |
ASP
ASPX
HTM
HTML
JSP
PHP |
ある一行がこれらのファイルに追加されます。ファイルがブラウザで参照される際、特定のURLが開かれる原因を作ります。
トライブを検索する時、ウイルスは、フォルダごとに次のファイルを作成します。
次のサービスが無効にされます。
| |
AVP
ccEvtMgr
ccProxy
ccSetMgr
FireSvc
kavsvc
KPfwSvc
KVSrvXP
KVWSC
McAfeeFramework
McShield
McTaskManager
MskService
navapsvc
NPFMntor
RsCCenter
RsRavMon
sharedaccess
schedule
SNDSrvc
SPBBCSvc
Symantec
wscsvc |
ウイルスは、インターネットからいくつかのファイルをダウンロードして、実行しようとします。
|
