検出した場合の対処方法
常駐監視を行っている各検査プログラムによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windowsのシステムの復元により修復しなければならない可能性があります。
対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。
解説での表記(用語)について
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir%と表記しており、インストール時の設定により異なる場合があります。%windir%のサブディレクトリである"System"や"System32"は%system%と表記しています。
%filename%は、マルウェアプログラムのファイル名を表記しています。 %malwarefilename%は、マルウェアプログラムファイル名を表記しています。
解説
■侵入(インストレーション)について
このウイルスは、実行時に自身を次の場所にコピーします。
%windir%\%filename%.exe
%filename%は次の文字列のいずれかになります。
alg
asterisk
autbckup
autchk
avenger
baby
backupimage
barbarian
berdugo
birtud
brawl
chaos
chat
CHKDSK
comm32
compact
csrss
daki1la
dakila
data
diamond
dllh0st
doom
doomriderz
doomriderzrules
dote
downloaded
drain
emerald
emoticon
Executioner
explore
explorer
flash
folder
friendship
grabbedimage
gracia
hayop
hentai
hiddenimage
hiddensecret
horde
IEXPLORE
iexplorer
iFuckedSTI
ihateyou
image
impacto
invader
jusched
kapitbisig
katayin
ketty
ki1la
kiler
kristus
lies
love
lsass
mahal
malupit
mandirigma
masama
media
mpeg
msdtc
mslegend
msmsgs
mvplay
netshare
nomercy
noypi
NTBckup
nvsvc32
pakyu
parusa
photoshop
pic
pix
player
private
pusakal
records
recycler
remix
rgdit32
rider
rose
rstore
rundll32
Save
saved
savedimage
saveearth
scandal
secrets
services
seximage
sexyimage
Shame
shell32
sindak
smoke
smss
sorry
spoolsv
stsystm
svchost
swtrevenj
sync
syncapp
sysdll
sysedt
system
system
system32
sysTmps
systree
t.a.d
tears
tweety
twilight
unknown
vengeance
wextract
winDLL
wings
winlogon
winnt
wnamp
wow
wscntfy
wuauclt
xppest
XpSys
次のファイルを作成します。
%system%\Dakila.nfo
%windir%\%malwarefilename%.jpg
次の命令を実行します。
rundll32.exe %system%\SHIMGVW.DLL,ImageView_Fullscreen %windir%\%malwarefilename%.jpg
システムが起動するたびに実行されるよう、次のレジストリーエントリーを登録します。
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
次のレジストリーエントリーを作成します。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
レジストリーエントリーが変更されると、特定のファイルが実行されなくなります。
次のレジストリーエントリーを登録します。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
■ファイル感染
このウイルスはファイルに感染します。
次の拡張子を持つファイルをローカルドライブで探します。
*.jpg
*.JPG
元のファイルの先頭にコードを付加してファイルに感染します。
付加されるプログラムコードの大きさは53760Bです。
ファイルの拡張子を次の文字列に変更します。
.exe
また、リムーバブルドライブやネットワークドライブに保存されているファイルにも感染します。
感染したファイルが実行されると、元の実行ファイルが再構成されます。
感染したファイルに次のテキスト/マーカーを挿入します。
Win32.Dakila by T.A.D
このマーカーは、ファイルがすでに感染しているかどうかを判別するために使用されます。
■その他の情報
このウイルスは、名前に次の文字列のいずれかが含まれているプロセスを終了させます。
admin
agent
anti
auto
autorun
av
avp
avp
box
cilli
clean
cmd
config
consol
ctfmon
def
demo
detec
doct
down
edit
egistr
egui
eng
eval
fix
gate
guard
hack
hunt
iller
in32
info
install
jammer
kav
kill
kit
lack
larm
lock
log
manag
mas
mgr
mmc
nav
o0
oob
oot
orto
patch
pop
pro
proc
proj
proxy
purg
reg
rescue
roces
rotec
rrt
rstrui
safe
sav
scan
scandal
sched
scope
secu
serv
setup
shel
shie
spy
stop
suppor
sysedit
task
taskmgr
taskmon
term
tool
trace
tray
trial
troja
update
vb
vhost
view
vir
vx
wall
ware
warn
watch
watch
watson
wiz
work
wscript
xmss
zon
名前に次の文字列のいずれかが含まれているウィンドウを作成するプログラムを終了させます。
++
0o
alert
anti
asper
atc
auto
avg
CANNiN
canda
cilli
clean
dult
earc
ebu
ecur
ecurit
edi
efend
egistr
emo
ente
erminat
etec
etu
free
hack
hase
hiel
ijac
ijackthi
ill
irus
isua
izar
kit
lar
nder
nspec
nstal
ntido
o0
octo
ojan
ominat
onfigur
ontro
oob
ool
ootki
opho
orm
orma
orto
ownloa
panda
pdat
peid
ptio
racke
risof
roactiv
robabl
roces
rotec
roubl
RRT
RRT
run
scan
scrip
ssemb
task
task
tilit
uar
uic
uil
uppor
uspen
utoru
vast
vb
vir
war
wea
ysinterna
ysinternal
ystemintern
次のメッセージを表示する場合があります。
次の命令を実行する場合があります。
shutdown -s -f -t 00
|