検出した場合の対処方法

常駐監視を行っているAMON、IMON、DMON、EMONによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windows のシステムの復元により修復しなければならない可能性があります。

対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。

解説での表記(用語)について

以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。

解説

■侵入(インストレーション)について
Win32/Inject.NAF トロイが実行されると、%temp%に次のファイルをドロップします。

sy.exe (7940 B)

%system%フォルダに次のファイルもドロップします。

rpcrt2.dll (5061 B) rpcInit.exe (1900 B)

ライブラリ rpcrt2.dllは、次のファイルにインジェクトします。

iexplore.exe

感染ファイルが毎回実行できるようにするために、次のレジストリが登録されます。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ policies\Explorer\Run] "rpcinit" = "%system%\rpcInit.exe"

■その他の情報

%system%\rpcrt2.dll はバックドアです。このバックドアが実行されるとリモート操作が可能になり、次の行動が可能になることが確認されています。

・実行中のプロセスを停止
・ファイルの実行
・リモート先へ実行中のプロセスのリストを送信
・ファイル属性の設定
・フォルダの作成
・ファイルの移動
・インターネットもしくはリモート先からファイルのダウンロード
・リモート先へファイルを送信
・リモート先へディスク装置や種類のリストを送信