■侵入(インストレーション)について
Win32/PSW.Agent.NDP ワームが実行されると、インターネットよりほかのアーカイブをダウンロードして実行します。
さらに、ユーザーの情報(パスワード等)を得ようとします。
感染した環境に次のファイルを作成します。
|
%Programfiles%\Internet Explorer\romdrivers.bak
%Programfiles%\Internet Explorer\romdrivers.dll |
これらのファイルの使用に必要な情報をレジストリに登録します。
|
HKCR\CLSID\{09B6AD9-FF66-E63-636B-B69E62F6236}\InProcServer32
(既定) = [ way completo]\romdrivers.dll
HKCR\CLSID\{09B6AD9-FF66-E63-636B-B69E62F6236}\InProcServer32
ThreadingModel = Apartment
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
{09B6AD9-FF66-E63-636B-B69E62F6236} "=" " |
ワームは、すべてのリムーバブルメディアのルートディレクトリに対して次のファイルを作成します。
|
autorun.inf
Ghost.pif |
autorun.inf ファイルはリムーバブルメディアがコンピュータの装置に挿入されると自動的に Ghost.pif が実行されるよう仕掛けがなされています。
Ghost.pif が実行されると、いくつかのインターネットへアクセスを行い、ほかのアーカイブをダウンロードします。
ダウンロードが終わると、そのコンピュータのAドライブからZドライブまでのすべてのドライブにダウンロードしたアーカイブをコピーします。
アーカイブを実行されるための情報をレジストリに登録します。
|
HKEY_CURRENT_USER\Software\SetVer\ver |
ワームは、ウイルス対策ソフト Kaspersky がインストールされているかどうかを調べます。もし、インストールされているとシステム時計を1996年に書き換えます。
さらに、次のレジストリを登録します。
|
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
{09B68AD9-FF66-3E63-636B-B693E62F6236} = ""
HKCR\CLSID\{09B68AD9-FF66-3E63-636B-B693E62F6236}\InProcServer32
(既定) = "shell32.dll"
HKCR\CLSID\{09B68AD9-FF66-3E63-636B-B693E62F6236}\InProcServer32
ThreadingModel = "Apartment" |
次のレジストリキーを削除します。
|
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
{01F6EB6F-AB5C-1FDD-6E5B-FB6EE3CC6CD6}
{06A68AD9-FF56-6E73-937B-B893E72F6226}
{06E6B6B6-BE3C-6E23-6C8E-B833E2CE63B8}
{131AB311-16F1-F13B-1E43-11A24B51AFD1}
{1496D5ED-7A09-46D0-8C92-B8E71A4304DF}
{274B93C2-A6DF-485F-8576-AB0653134A76}
{42A612A4-4334-4424-4234-42261A31A236}
{754FB7D8-B8FE-4810-B363-A788CD060F1F}
{923509F1-45CB-4EC0-BDE0-1DED35B8FD60}
{99F1D023-7CEB-4586-80F7-BB1A98DB7602}
{A6011F8F-A7F8-49AA-9ADA-49127D43138F}
{AEB6717E-7E19-11d0-97EE-00C04FD91972}
{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
{DD7D4640-4464-48C0-82FD-21338366D2D2}
{DE35052A-9E37-4827-A1EC-79BF400D27A4}
{FEB94F5A-69F3-4645-8C2B-9E71D270AF2E} |
また、次のキー以下で見つかったアーカイブを削除します。
|
HKLM\SOFTWARE\Microsoft\Windows |
次のアーカイブが作成されます。
|
[アーカイブの保存先]\Internet Explorer\Autorun.inf
[アーカイブの保存先]\Internet Explorer\HiJack.bak
[アーカイブの保存先]\Internet Explorer\HiJack.bkk
[アーカイブの保存先]\Internet Explorer\HiJack.dll
[アーカイブの保存先]\Internet Explorer\romdrivers.bak
[アーカイブの保存先]\Internet Explorer\romdrivers.bkk
[アーカイブの保存先]\Internet Explorer\romdrivers.dll
%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\NewInfo.bmp
%ProgramFiles%\Internet Explorer\PLUGINS\BinNice.bak
%ProgramFiles%\Internet Explorer\PLUGINS\BinNice.bkk
%ProgramFiles%\Internet Explorer\PLUGINS\BinNice.dll
%ProgramFiles%\Internet Explorer\PLUGINS\System64.sys
%system32%\drivers\etc\hosts
%TEMP%\conime.exe
%TEMP%\copypfh.exe
%TEMP%\csrss.exe
%TEMP%\daso.exe
%TEMP%\daso0.dll
%TEMP%\fyso.exe
%TEMP%\fyso0.dll
%TEMP%\IEXPLORE.EXE
%TEMP%\jtso.exe
%TEMP%\jtso0.dll
%TEMP%\mhso.exe
%TEMP%\mhso0.dll
%TEMP%\mmc.exe
%TEMP%\qjso.exe
%TEMP%\qjso0.dll
%TEMP%\qqso.exe
%TEMP%\qqso0.dll
%TEMP%\rxso.exe
%TEMP%\rxso0.dll
%TEMP%\services.exe
%TEMP%\smss.exe
%TEMP%\spglsdr.exe
%TEMP%\srogm.exe
%TEMP%\svchost.exe
%TEMP%\svchost32.exe
%TEMP%\tlso.exe
%TEMP%\tlso0.dll
%TEMP%\wgso.exe
%TEMP%\wgso0.dll
%TEMP%\wlso.exe
%TEMP%\wlso0.dll
%TEMP%\wmso.exe
%TEMP%\wmso0.dll
%TEMP%\woso.exe
%TEMP%\woso0.dll
%TEMP%\ztso.exe
%TEMP%\ztso0.dll |
|