|
|
検出した場合の対処方法 |
|
|
検出したファイル自身は削除してください。
また、このトロイによって、EXEPLORE.EXEがすでに感染されていた後に検出された場合は、削除してからシステムの復元等による作業やオペレーティングシステムの修復セットアップが必要な場合があります。
|
|
解説での表記(用語)について |
|
|
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir%
と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は
%system% と表記しています。
|
|
解説 |
|
|
■侵入(インストレーション)について
Win32/PSW.Agent.NCCトロイが実行されると、トロイは次の名前を使って自分自身を
%temp% へコピーします。
以下のファイルを同じフォルダ内にドロップします。
ファイルのサイズは7kB前後で、ライブラリは次のプロセスにインジェクトされ、かつロードされます。
トロイはシステムが開発される毎に実行できるよう、次のエントリを登録します。
|
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"upxdn" = "%temp%\upxdn.exe" |
■盗難について
トロイはオンラインゲーム「Zhengtu」に関連した情報を集めます。
トロイはHTTPプロトコルを使用し、情報をリモートマシンに送信します。
|