検出した場合の対処方法
常駐監視を行っている各検査プログラムによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windows のシステムの復元により修復しなければならない可能性があります。
対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。
解説での表記(用語)について
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。
%appdata%は、マイドキュメント以下のApplication Dataディレクトリを表記しています。
%currentfolder%は、カレントディレクトリを表記しています。
%originalfilename%は、独自生成ディレクトリを表記しています。
%temp%はWindowsオペレーティングシステムのテンポラリディレクトリを表記しています。
解説
■侵入(インストレーション)について
このウイルスは、実行時に自身を次の場所にコピーします。
%appdata%\Microsoft\%variable1%\%variable2%
%variable1%は次の文字列のいずれかになります。
SysWOW_x86_64
SysWOW_amd64
Sys32
XMMC
SView
SysWOW_32
Posix
%variable2%は次の文字列のいずれかになります。
csrssys.exe
taskhostsys.exe
wlogon32.exe
dwmsys.exe
sidebar2.exe
lsassys.exe
SearchIndexerDB.exe
wininit32.exe
この%appdata%\Microsoft\%variable1%\%variable2%フォルダーは、Windows Explorer内で表示されないようにするため、システム(S)属性と隠し(H)属性が設定される場合があります。
次のファイルを作成します。
%appdata%\Microsoft\%variable1%\%variable2%\%variable3%.%variable4%
%variable3%は次の文字列のいずれかになります。
ffx
msys
mdata
lust
icxml
ntw32
aeinv
apds
nthserv
teln32
openssh
srv_x86
nt32
winnt32
cygwin32
%variable4%は次の文字列のいずれかになります。
dat
dll
exe
ocx
bin
dmp
sys
img
このファイルの内容をランダムなデータで上書きします。
次のフォルダーを作成する場合があります。
%appdata%\Microsoft\%variable1%\%variable3%\
次のレジストリーエントリーを登録する場合があります。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"%variable5%" = "%appdata%\%variable1%\%variable2%"
[HKEY_CURRENT_USER\Software\Classes\%variable5%]
"(Default)" = "application"
"Content-Type" = "application/x-msdownload"
[HKEY_CURRENT_USER\Software\Classes\%variable5%\DefaultIcon]
"(Default)" = "%1"
[HKEY_CURRENT_USER\Software\Classes\%variable5%\shell\open\command]
"(Default)" = "%appdata%\%variable1%\%variable2%" /START "%1" %*
"IsolatedCommand" = "%1" %*
[HKEY_CURRENT_USER\Software\Classes\%variable3%\shell\runas\command]
"(Default)" = "%1" %*
"IsolatedCommand" = "%1" %*
[HKEY_CURRENT_USER\Software\Classes\.exe]
"(Default)" = "%variable5%"
"Content-Type" = "application/x-msdownload"
[HKEY_CURRENT_USER\Software\Classes\.exe\DefaultIcon]
"(Default)" = "%1"
[HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command]
"(Default)" = "%appdata%\%variable1%\%variable2%" /START "%1" %*
"IsolatedCommand" = "%1" %*
[HKEY_CURRENT_USER\Software\Classes\.exe\shell\runas\command]
"(Default)" = "%1" %*
"IsolatedCommand" = "%1" %*
これにより、システムが起動するたびに実行されるようなります。
%variable5%は次の文字列のいずれかになります。
wexplorer
jitc
haldriver
systemui
prochost
halnt
cmos
ntdriver
■実行ファイルへの感染について
このウイルスはファイルに感染します。
リムーバブルドライブやネットワークドライブに保存されているファイルに感染します。
次の拡張子を持つファイルを探します。
.exe
元のファイルの先頭にコードを付加してファイルに感染します。
付加されるプログラムコードの大きさは290336 Bです。
感染ファイルが実行された場合、元のファイルは一時ファイルに書き出されます。
元のファイルを実行します。
一時ファイルの名前は次のようになります。
%currentfolder%\%originalfilename%_%variable%.exe
%variable%には可変の文字列が入ります。
■情報の取得
このウイルスは個人情報を盗み出します。
次の情報を収集します。
コンピューター名
MACアドレス
ユーザー名
CPUの情報
メモリのステータス
アプリケーションの開始時刻
インストールされているソフトウェアの一覧
実行中のプロセスの一覧
収集した情報をリモートのコンピューターに送信しようとします。
■その他の情報
このウイルスは、デバッガ内で実行されている場合は、直ちに自身を終了します。
特定のセキュリティーソフトウェアの実行を検出した場合は、直ちに自身を終了します。
検出されないようにするため、一部のセキュリティーソフトウェアの動作に干渉します。
リモートのコンピューターもしくはインターネットからデータや命令を受け取ります。
1つのURLを保持しています。通信にはHTTPプロトコルが使用されます。
次を実行します。
リモートのコンピューターもしくはインターネットからファイルをダウンロードする
実行ファイルを実行する
自身をバージョンアップする
Windowsのクリップボードから情報を盗み出す
ファイルをリモートのコンピューターに送信する
Webカメラから動画/音声を盗み出す
スクリーンショットを作成する
DoS/DDoS攻撃を仕掛ける
キー入力内容を記録する
収集した情報を送信する
次のファイルを作成する場合があります。
%temp%\%variable%.wc.jpg
%temp%\%variable%.sc.jpg
%temp%\%variable%.wav
%temp%\%variable%.sc.jpg.cr
%temp%\%variable%.wc.jpg.cr
%temp%\%variable%.wav.cr
%variable%には可変の文字列が入ります。
|
