検出した場合の対処方法
常駐監視を行っている各検査プログラムによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windowsのシステムの復元により修復しなければならない可能性があります。
対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。
解説での表記(用語)について
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir%と表記しており、インストール時の設定により異なる場合があります。%windir%のサブディレクトリである"System"や"System32"は%system%と表記しています。
%appdata%は、マイドキュメント以下のApplication Dataディレクトリを表記しています。
%desktop%は、デスクトップディレクトリを表記しています。
%commonvideo%は、標準のビデオファイル保存ディレクトリを表記しています。
%programfiles%は、プログラムファイルディレクトリを表記しています。
%remove%は、ウイルス実行時%remove%の箇所にアドレスが表示され、実行後は削除されます。
%value%は、任意の値を表記しています。
%hexvalue%は、16進数の値を表記しています。
解説
■侵入(インストレーション)について
このトロイの木馬は、実行時に次のファイルを作成します。
C:\smsc.exe (57856 B)
C:\mb.exe (84992 B)
C:\alg.exe (57856 B)
%system%\hello_tt.sys (6656 B)
%appdata%\Microsoft\Internet Explorer\Quick
Launch\Internet Explorer.IE
%desktop%\Internet Explorer.IE
次のファイルを作成する場合があります。
%commonvideo%\PulgFile.log
%commonvideo%\al.ini
次のファイル名を使用して自身をシステムサービスとして登録します。
hello_tt
システムが起動するたびに実行されるよう、次のレジストリエントリを登録します。
[HKEY_LOCAL_MACHINE\SOFTWARE\Windows\CurrentVersion\Run]
"Alg" = "C:\alg.exe"
ハードディスクのMBR(マスターブートレコード)を自身のプログラムコードで置き換えます。また、次のファイルを読み込んでパッチを適用するための追加コードを挿入します。
ntldr
ntkrnlpa.exe
beep.sys
次のレジストリを登録します。
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}\shell\OpenHomePage\Command]
"(Default)" = "%programfiles%\Internet
Explorer\iexplore.exe http://123.765%removed%.info"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]
"(Default)" = "%programfiles%\Internet
Explorer\iexplore.exe http://123.765%removed%.info"
[HKEY_CLASSES_ROOT\CLSID\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}\shell\OpenHomePage\Command]
"(Default)" = "%programfiles%\Internet
Explorer\iexplore.exe http://123.765%removed%.info"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}\DefaultIcon]
"(Default)" = "%programfiles%\Internet
Explorer\iexplore.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\open\command]
"(Default)" = "Explorer.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}\shell\OpenHomePage]
"(Default)" = "%value%"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IE\shell\open\command]"(Default)" = "%programfiles%\Internet
Explorer\iexplore.exe http://123.765%removed%.info"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\JE\shell\open\command]
"(Default)" = "%programfiles%\Internet
Explorer\iexplore.exe http://123.765%removed%.info"
[HKEY_CLASSES_ROOT\SOFTWARE\IE\shell\open\command]
"(Default)" = "%programfiles%\Internet
Explorer\iexplore.exe http://123.765%removed%.info"
[HKEY_CLASSES_ROOT\SOFTWARE\JE\shell\open\command]
"(Default)" = "%programfiles%\Internet
Explorer\iexplore.exe http://123.765%removed%.info"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.IE]
"(Default)" = "IE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.JE]
"(Default)" = "JE"
[HKEY_CLASSES_ROOT\SOFTWARE\.IE]
"(Default)" = "IE"
[HKEY_CLASSES_ROOT\SOFTWARE\.JE]
"(Default)" = "JE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IE\DefaultIcon]
"(Default)" = "shdoclc.dll,0"
[HKEY_CLASSES_ROOT\SOFTWARE\IE\DefaultIcon]
"(Default)" = "shdoclc.dll,0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IE]
"(Default)" = "%value%"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\JE]
"(Default)" = "%value%"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu]
"{871C5380-42A0-1069-A2EA-08002B30309D}" = 2
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HELLO_TT\0000\Control]
"*NewlyCreated*" = 0
"ActiveService" = "hello_tt"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HELLO_TT\0000]
"Service" = "hello_tt"
"Legacy" = 1
"ConfigFlags" = 0
"Class" = "LegacyDriver"
"ClassGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc" = "hello_tt"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HELLO_TT]
"NextInstance" = 1
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hello_tt\Enum]
"0" = "Root\LEGACY_HELLO_TT\0000"
"Count" = 1
"NextInstance" = 1
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hello_tt\Security]
"Security" = %hexvalue%
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hello_tt]
"Type" = 1
"Start" = 3
"ErrorControl" = 0
"ImagePath" = "%system%\hello_tt.sys"
"DisplayName" = "hello_tt"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL" = "http://123.765%removed%.info"
"Start Page" = "http://123.765%removed%.info"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu]
"{871C5380-42A0-1069-A2EA-08002B30309D}" = 2
"{871C5380-42A0-1069-A2EA-08002B30309D}.default" = 1
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu]
"{871C5380-42A0-1069-A2EA-08002B30309D}" = 2
"{871C5380-42A0-1069-A2EA-08002B30309D}.default" = 1
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]
"{871C5380-42A0-1069-A2EA-08002B30309D}" = 2
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"HideFileExt" = 1
"Hidden" = 2
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{450D8FBA-AD25-11D0-98A8-0800361B1103}]
"Removal Message" = "@mydocs.dll,-900"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{645FF040-5081-101B-9F08-00AA002F954E}]
"(Default)" = "Recycle Bin"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}]
"(Default)" = "Search Results Folder"
次のレジストリを削除します。
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{C42EB5A1-0EED-E549-91B0-153485866016}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{20000000-0000-0000-0000-000000000000}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{1f4de370-d627-11d1-ba4f-00a0c91eedba}]
[HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc850}]
[HKEY_CLASSES_ROOT\CLSID\{1f4de370-d627-11d1-ba4f-00a0c91eedba}]
[HKEY_CLASSES_ROOT\CLSID\{20000000-0000-0000-0000-000000000000}]
[HKEY_CLASSES_ROOT\CLSID\{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}\
Instance\InitPropertyBag]
"InitString" = "%value%"
■その他の情報
このトロイの木馬は、リモートのコンピュータもしくはインターネットからデータや命令を受け取ります。
3つのURLを保持しています。通信にはHTTPプロトコルが使用されます。
次を実行する場合があります。
リモートのコンピュータもしくはインターネットからファイルをダウンロードする
実行ファイルを実行する
特定のURLに接続する
使用されているオペレーティングシステムの情報を収集する
収集した情報を送信する
自身をバージョンアップする
|
