キヤノンITソリューションズ株式会社 閉じる

ウイルス情報  
最新ウイルス定義ファイルバージョン : 12381
(2015/10/09 17:02)

最新ウイルス情報 : Win32/Ghodow.NAG
公開日:2011年7月29日
このウイルスに関する危険度 :■■■□□

定義名称 Win32/Ghodow.NAG
シグネチャ検査による結果だった場合 Win32/Ghodow.NAG
別名 Backdoor.Win32.Phanta.aq(Kaspersky)、Trojan:Win32/Popureb.C(Microsoft)、Trojan.Click1.37375(Dr. Web)
種別 トロイの木馬
アドバンスドヒューリスティック検査による結果だった場合 このオリジナルのトロイを利用した新種、亜種が検出された場合は、「NewHeur_PE」もしくは「Win32/Ghodow.NAG トロイの木馬の亜種」という名称で警告が出ます。
対応時期 バージョン6126(20110516)以降
影響を受けるプラットフォーム Microsoft Windows
概要 このトロイの木馬は、特定のWebブラウザに設定されているホームページを変更します。ハードディスクのMBR(マスターブートレコード)を自身のプログラムコードで置き換えます。rootkitによく見られる手法を用いています。詳しい活動内容については、解説欄をご参照ください。

検出した場合の対処方法

常駐監視を行っている各検査プログラムによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windowsのシステムの復元により修復しなければならない可能性があります。

対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。

解説での表記(用語)について

以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir%と表記しており、インストール時の設定により異なる場合があります。%windir%のサブディレクトリである"System"や"System32"は%system%と表記しています。
%appdata%は、マイドキュメント以下のApplication Dataディレクトリを表記しています。
%desktop%は、デスクトップディレクトリを表記しています。
%commonvideo%は、標準のビデオファイル保存ディレクトリを表記しています。
%programfiles%は、プログラムファイルディレクトリを表記しています。
%remove%は、ウイルス実行時%remove%の箇所にアドレスが表示され、実行後は削除されます。
%value%は、任意の値を表記しています。
%hexvalue%は、16進数の値を表記しています。

解説


■侵入(インストレーション)について
このトロイの木馬は、実行時に次のファイルを作成します。

C:\smsc.exe (57856 B)
C:\mb.exe (84992 B)
C:\alg.exe (57856 B)
%system%\hello_tt.sys (6656 B)
%appdata%\Microsoft\Internet Explorer\Quick
Launch\Internet Explorer.IE
%desktop%\Internet Explorer.IE


次のファイルを作成する場合があります。

%commonvideo%\PulgFile.log
%commonvideo%\al.ini


次のファイル名を使用して自身をシステムサービスとして登録します。

hello_tt


システムが起動するたびに実行されるよう、次のレジストリエントリを登録します。

[HKEY_LOCAL_MACHINE\SOFTWARE\Windows\CurrentVersion\Run]
"Alg" = "C:\alg.exe"


ハードディスクのMBR(マスターブートレコード)を自身のプログラムコードで置き換えます。また、次のファイルを読み込んでパッチを適用するための追加コードを挿入します。

ntldr
ntkrnlpa.exe
beep.sys


次のレジストリを登録します。

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}\shell\OpenHomePage\Command]
"(Default)" = "%programfiles%\Internet
Explorer\iexplore.exe http://123.765%removed%.info"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]
"(Default)" = "%programfiles%\Internet
Explorer\iexplore.exe http://123.765%removed%.info"
[HKEY_CLASSES_ROOT\CLSID\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}\shell\OpenHomePage\Command]
"(Default)" = "%programfiles%\Internet
Explorer\iexplore.exe http://123.765%removed%.info"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}\DefaultIcon]
"(Default)" = "%programfiles%\Internet
Explorer\iexplore.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\open\command]
"(Default)" = "Explorer.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}\shell\OpenHomePage]
"(Default)" = "%value%"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IE\shell\open\command]"(Default)" = "%programfiles%\Internet
Explorer\iexplore.exe http://123.765%removed%.info"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\JE\shell\open\command]
"(Default)" = "%programfiles%\Internet
Explorer\iexplore.exe http://123.765%removed%.info"
[HKEY_CLASSES_ROOT\SOFTWARE\IE\shell\open\command]
"(Default)" = "%programfiles%\Internet
Explorer\iexplore.exe http://123.765%removed%.info"
[HKEY_CLASSES_ROOT\SOFTWARE\JE\shell\open\command]
"(Default)" = "%programfiles%\Internet
Explorer\iexplore.exe http://123.765%removed%.info"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.IE]
"(Default)" = "IE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.JE]
"(Default)" = "JE"
[HKEY_CLASSES_ROOT\SOFTWARE\.IE]
"(Default)" = "IE"
[HKEY_CLASSES_ROOT\SOFTWARE\.JE]
"(Default)" = "JE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IE\DefaultIcon]
"(Default)" = "shdoclc.dll,0"
[HKEY_CLASSES_ROOT\SOFTWARE\IE\DefaultIcon]
"(Default)" = "shdoclc.dll,0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IE]
"(Default)" = "%value%"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\JE]
"(Default)" = "%value%"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu]
"{871C5380-42A0-1069-A2EA-08002B30309D}" = 2
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HELLO_TT\0000\Control]
"*NewlyCreated*" = 0
"ActiveService" = "hello_tt"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HELLO_TT\0000]
"Service" = "hello_tt"
"Legacy" = 1
"ConfigFlags" = 0
"Class" = "LegacyDriver"
"ClassGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc" = "hello_tt"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HELLO_TT]
"NextInstance" = 1
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hello_tt\Enum]
"0" = "Root\LEGACY_HELLO_TT\0000"
"Count" = 1
"NextInstance" = 1
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hello_tt\Security]
"Security" = %hexvalue%
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hello_tt]
"Type" = 1
"Start" = 3
"ErrorControl" = 0
"ImagePath" = "%system%\hello_tt.sys"
"DisplayName" = "hello_tt"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL" = "http://123.765%removed%.info"
"Start Page" = "http://123.765%removed%.info"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu]
"{871C5380-42A0-1069-A2EA-08002B30309D}" = 2
"{871C5380-42A0-1069-A2EA-08002B30309D}.default" = 1
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu]
"{871C5380-42A0-1069-A2EA-08002B30309D}" = 2
"{871C5380-42A0-1069-A2EA-08002B30309D}.default" = 1
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]
"{871C5380-42A0-1069-A2EA-08002B30309D}" = 2
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"HideFileExt" = 1
"Hidden" = 2
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{450D8FBA-AD25-11D0-98A8-0800361B1103}]
"Removal Message" = "@mydocs.dll,-900"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{645FF040-5081-101B-9F08-00AA002F954E}]
"(Default)" = "Recycle Bin"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}]
"(Default)" = "Search Results Folder"


次のレジストリを削除します。

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{C42EB5A1-0EED-E549-91B0-153485866016}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{20000000-0000-0000-0000-000000000000}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{1f4de370-d627-11d1-ba4f-00a0c91eedba}]
[HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc850}]
[HKEY_CLASSES_ROOT\CLSID\{1f4de370-d627-11d1-ba4f-00a0c91eedba}]
[HKEY_CLASSES_ROOT\CLSID\{20000000-0000-0000-0000-000000000000}]
[HKEY_CLASSES_ROOT\CLSID\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}\
Instance\InitPropertyBag]
"InitString" = "%value%"


■その他の情報
このトロイの木馬は、リモートのコンピュータもしくはインターネットからデータや命令を受け取ります。

3つのURLを保持しています。通信にはHTTPプロトコルが使用されます。

次を実行する場合があります。

リモートのコンピュータもしくはインターネットからファイルをダウンロードする
実行ファイルを実行する
特定のURLに接続する
使用されているオペレーティングシステムの情報を収集する
収集した情報を送信する
自身をバージョンアップする


このページのトップへ

(C)Canon IT Solutions Inc.