検出した場合の対処方法
常駐監視を行っている各検査プログラムによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windowsのシステムの復元により修復しなければならない可能性があります。
対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。
解説での表記(用語)について
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir%と表記しており、インストール時の設定により異なる場合があります。%windir%のサブディレクトリである"System"や"System32"は%system%と表記しています。
%malwarefilepath%は、マルウェアプログラムまでのパスを表記しています。
解説
■侵入(インストレーション)について
このトロイの木馬は、自身のコピーを作成しません。
システムが起動するたびに実行されるよう、次のレジストリーエントリーを登録します。
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run]
"MozillaAgent" = "%malwarefilepath%"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Run]
"MozillaAgent" = "%malwarefilepath%"
次のレジストリーキーにあるさまざまな情報を保持します。
[HKEY_CURRENT_USER\software\Mozilla]
"ID" = "%variable1%"
"ID2" = "%variable2%"
"ID3" = "%variable3%"
"AppID" = "%variable4%"
%variable1-4%には可変の文字列が入ります。
Windowsファイアウォールに例外を設定して、遮断されないようにします。
次のファイルを作成します。
%windir%\system32\drivers\Packet.dll (100880 B, WinPcap
application)
%windir%\system32\drivers\wpcap.dll (281104 B, WinPcap
application)
%windir%\system32\drivers\npf.sys (50704 B, WinPcap
application)
■情報の取得
このトロイの木馬は個人情報を盗み出します。
次の情報を収集します。
FTPアカウント情報
Bitcoinウォレットのコンテンツ
特定のアプリケーション/サービスのログインユーザー名
特定のアプリケーション/サービスのログインパスワード
メールアドレス
次のプログラムが影響を受けます。
32bit FTP
BitKinex
BulletProof FTP Client
Classic FTP
Core FTP
CuteFTP
Directory Opus
Far Manager
FFFTP
FileZilla
Flash FXP
Fling
Frigate3 FTP
FTP Commander
FTP Commander Pro
FTP Control
FTP Explorer
FTPRush
LeapFTP
NetDrive
SecureFX
SmartFTP
SoftX FTP Client
Total Commander
TurboFTP
UltraFXP
Web Site Publisher
WebDrive
Windows Commander
WinSCP
WS_FTP
すべてのローカルファイルからメールアドレスを収集します。
次の拡張子を持つファイルは避けます。
.7z
.avi
.bmp
.class
.dll
.exe
.gif
.gz
.hxd
.hxh
.hxn
.hxw
.jar
.jpeg
.jpg
.mov
.mp3
.msi
.ocx
.ogg
.png
.rar
.vob
.wav
.wave
.wma
.wmv
.zip
収集した情報をリモートのコンピューターに送信しようとします。
■リムーバブルメディアへの感染について
このトロイの木馬は、オペレーティングシステムの脆弱性を利用して感染を広げます。利用するのはCVE-2010-2568の脆弱性です。
次の名前を使用して、リムーバブルドライブのルートフォルダーに自身をコピーします。
ggl1.tmp
次のファイルが同じフォルダー内に作成されます。
ggl.tmp (85504 B, Win32/Kelihos.A)
google.lnkへのショートカット(392 B, LNK/Exploit.CVE-2010-2568)
google.lnkへのショートカットのコピー(392 B,
LNK/Exploit.CVE-2010-2568)
google.lnkへのショートカットのコピーのコピー(392 B,
LNK/Exploit.CVE-2010-2568)
Windows Shellでは、ローカルユーザーまたはリモートの攻撃者は、不正な細工が施された*.lnkまたは*.pifショートカットのアイコンが表示された場合に任意のコードを実行することが可能です。
攻撃者は、この脆弱性を悪用し、リモートから脆弱性のあるシステム上で任意のコードを実行する可能性があります。
任意のコードを実行するのに、ユーザー側でのさらなる操作は必要ありません。
これにより、感染メディアがコンピューターに挿入されるたびにトロイの木馬が実行されるようになります。
■その他の情報
このトロイの木馬は、リモートのコンピューターもしくはインターネットからデータや命令を受け取ります。
情報や次の行動についての命令のやり取りに使用されるコンピューター(ピア)のリストを保持しています(「IPアドレス:ポート番号」の形式)。
46.46.87.2:80
95.180.187.10:80
31.41.8.11:80
81.190.178.12:80
31.170.134.13:80
77.239.13.16:80
190.94.237.18:80
78.84.52.19:80
212.22.222.21:80
66.91.51.23:80
77.239.66.28:80
62.215.166.29:80
72.185.8.30:80
130.212.18.31:80
91.220.90.33:80
164.15.100.35:80
188.230.107.39:80
178.165.110.39:80
85.24.199.48:80
89.116.28.49:80
84.122.24.50:80
213.113.51.50:80
109.97.89.50:80
89.34.249.50:80
130.43.140.53:80
91.67.33.54:80
203.192.244.54:80
161.116.73.55:80
187.184.33.56:80
31.170.135.56:80
175.205.116.57:80
138.100.53.58:80
220.227.55.58:80
88.222.176.59:80
213.92.178.59:80
89.36.248.59:80
77.211.89.63:80
61.61.219.64:80
89.229.221.64:80
84.123.246.64:80
95.68.42.66:80
77.81.50.66:80
67.165.216.66:80
190.1.52.70:80
85.15.204.72:80
31.170.137.74:80
147.156.158.75:80
83.165.109.76:80
112.210.141.77:80
92.115.148.80:80
46.249.135.84:80
94.251.189.86:80
212.79.117.87:80
95.208.19.88:80
176.31.157.88:80
186.136.112.89:80
70.60.52.91:80
98.149.251.96:80
93.118.210.100:80
217.144.24.102:80
89.149.80.102:80
69.47.94.103:80
78.60.238.104:80
82.75.33.106:80
96.10.251.108:80
178.148.70.112:80
78.31.229.112:80
178.201.246.114:80
82.81.28.115:80
186.137.172.116:80
87.206.233.118:80
93.176.232.119:80
89.228.43.120:80
46.105.114.120:80
84.42.131.121:80
65.185.100.122:80
221.147.70.123:80
24.163.56.124:80
188.140.87.124:80
31.220.253.124:80
71.204.9.125:80
161.111.80.126:80
85.122.82.126:80
31.47.25.127:80
24.2.231.128:80
174.61.35.130:80
89.74.18.131:80
201.239.59.131:80
78.106.78.131:80
62.84.45.133:80
84.52.147.133:80
178.235.32.135:80
95.65.98.137:80
212.7.28.138:80
89.253.176.139:80
188.2.2.140:80
69.27.61.144:80
78.96.228.144:80
173.19.16.146:80
69.249.0.148:80
68.114.12.150:80
75.76.3.154:80
98.197.69.154:80
142.104.19.158:80
84.231.7.163:80
109.225.69.164:80
190.83.202.166:80
62.82.154.167:80
78.97.209.173:80
62.43.57.174:80
85.186.123.178:80
109.251.146.180:80
187.22.64.181:80
109.90.34.183:80
95.58.206.192:80
61.58.74.193:80
178.150.189.193:80
68.57.27.194:80
85.155.141.195:80
184.58.129.198:80
130.243.188.198:80
94.52.223.200:80
31.133.33.201:80
176.8.100.204:80
46.109.139.204:80
31.47.22.205:80
31.133.37.212:80
201.248.107.212:80
85.216.190.212:80
68.53.200.215:80
31.129.112.219:80
74.71.105.220:80
109.122.5.224:80
89.47.58.225:80
次を実行する場合があります。
DoS/DDoS攻撃を仕掛ける
プロキシサーバーを設定する
ネットワークトラフィックを監視する
スパムメールを送信する
感染先のコンピューターのハードウェアリソースを使用してBitcoinとして知られるデジタル通貨のマイニングを実行します。
|