キヤノンITソリューションズ株式会社 閉じる

ウイルス情報  
最新ウイルス定義ファイルバージョン : 12381
(2015/10/09 17:02)

最新ウイルス情報 : Win32/PSW.Agent.NDP
公開日:2007年11月01日
このウイルスに関する危険度 :■■■□□

定義名称 Win32/PSW.Agent.NDP
別名 PSW.Agent.NDP, BehavesLikeWin32.ExplorerHijack, Downloader.ab, Mal/EncPk-I, TR/Crypt.ULPM.Gen, Trj/Lineage.DVE, Trojan.Crypt.ULPM.Gen, Trojan.Downloader.Agent.YCA, Trojan.Onlinegames.Gen!Pac.30, Trojan.OnLineGames.um, Trojan.PWS.Wsgame, Trojan/PSW.OnLineGames.um, TrojanPSW.OnLineGames.um, Trojan-PSW.Win32.OnLineGames.um, W32.Drom, W32/PWStealer.VF!tr.pws, Win32.OnLineGames.um, Win32/Frethog.ON, Win32/PSW.Agent.NDP, Win-Trojan/KorGameHack.14336.DB, Worm:Win32/Nuwar!73EE
種別 ワーム
シグネチャ検査による結果だった場合 Win32/PSW.Agent.NDP
アドバンスドヒューリスティック検査による結果だった場合 このオリジナルのワームを利用した新種、亜種が検出された場合は、「NewHeur_PE」もしくは「Win32/PSW.Agent ワームの亜種」という名称で警告が出ます。
影響受けるプラットフォーム Microsoft Windows
概要 Win32/PSW.Agent.NDP は、リムーバブルストレージデバイスに感染を広げるワームです。詳しい活動内容については、解説欄をご参照ください。

検出した場合の対処方法

常駐監視を行っているAMON、IMON、DMON、EMONによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windows のシステムの復元により修復しなければならない可能性があります。

対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。

解説での表記(用語)について

以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。

解説

■侵入(インストレーション)について
Win32/PSW.Agent.NDP ワームが実行されると、インターネットよりほかのアーカイブをダウンロードして実行します。

さらに、ユーザーの情報(パスワード等)を得ようとします。

感染した環境に次のファイルを作成します。

%Programfiles%\Internet Explorer\romdrivers.bak
%Programfiles%\Internet Explorer\romdrivers.dll

これらのファイルの使用に必要な情報をレジストリに登録します。

HKCR\CLSID\{09B6AD9-FF66-E63-636B-B69E62F6236}\InProcServer32
(既定) = [ way completo]\romdrivers.dll

HKCR\CLSID\{09B6AD9-FF66-E63-636B-B69E62F6236}\InProcServer32
ThreadingModel = Apartment

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
{09B6AD9-FF66-E63-636B-B69E62F6236} "=" "

ワームは、すべてのリムーバブルメディアのルートディレクトリに対して次のファイルを作成します。

autorun.inf
Ghost.pif

autorun.inf ファイルはリムーバブルメディアがコンピュータの装置に挿入されると自動的に Ghost.pif が実行されるよう仕掛けがなされています。

Ghost.pif が実行されると、いくつかのインターネットへアクセスを行い、ほかのアーカイブをダウンロードします。

ダウンロードが終わると、そのコンピュータのAドライブからZドライブまでのすべてのドライブにダウンロードしたアーカイブをコピーします。

アーカイブを実行されるための情報をレジストリに登録します。

HKEY_CURRENT_USER\Software\SetVer\ver

ワームは、ウイルス対策ソフト Kaspersky がインストールされているかどうかを調べます。もし、インストールされているとシステム時計を1996年に書き換えます。

さらに、次のレジストリを登録します。

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
{09B68AD9-FF66-3E63-636B-B693E62F6236} = ""

HKCR\CLSID\{09B68AD9-FF66-3E63-636B-B693E62F6236}\InProcServer32
(既定) = "shell32.dll"

HKCR\CLSID\{09B68AD9-FF66-3E63-636B-B693E62F6236}\InProcServer32
ThreadingModel = "Apartment"

次のレジストリキーを削除します。

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
{01F6EB6F-AB5C-1FDD-6E5B-FB6EE3CC6CD6}
{06A68AD9-FF56-6E73-937B-B893E72F6226}
{06E6B6B6-BE3C-6E23-6C8E-B833E2CE63B8}
{131AB311-16F1-F13B-1E43-11A24B51AFD1}
{1496D5ED-7A09-46D0-8C92-B8E71A4304DF}
{274B93C2-A6DF-485F-8576-AB0653134A76}
{42A612A4-4334-4424-4234-42261A31A236}
{754FB7D8-B8FE-4810-B363-A788CD060F1F}
{923509F1-45CB-4EC0-BDE0-1DED35B8FD60}
{99F1D023-7CEB-4586-80F7-BB1A98DB7602}
{A6011F8F-A7F8-49AA-9ADA-49127D43138F}
{AEB6717E-7E19-11d0-97EE-00C04FD91972}
{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
{DD7D4640-4464-48C0-82FD-21338366D2D2}
{DE35052A-9E37-4827-A1EC-79BF400D27A4}
{FEB94F5A-69F3-4645-8C2B-9E71D270AF2E}

また、次のキー以下で見つかったアーカイブを削除します。

HKLM\SOFTWARE\Microsoft\Windows

次のアーカイブが作成されます。

[アーカイブの保存先]\Internet Explorer\Autorun.inf
[アーカイブの保存先]\Internet Explorer\HiJack.bak
[アーカイブの保存先]\Internet Explorer\HiJack.bkk
[アーカイブの保存先]\Internet Explorer\HiJack.dll
[アーカイブの保存先]\Internet Explorer\romdrivers.bak
[アーカイブの保存先]\Internet Explorer\romdrivers.bkk
[アーカイブの保存先]\Internet Explorer\romdrivers.dll

%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\NewInfo.bmp
%ProgramFiles%\Internet Explorer\PLUGINS\BinNice.bak
%ProgramFiles%\Internet Explorer\PLUGINS\BinNice.bkk
%ProgramFiles%\Internet Explorer\PLUGINS\BinNice.dll
%ProgramFiles%\Internet Explorer\PLUGINS\System64.sys

%system32%\drivers\etc\hosts

%TEMP%\conime.exe
%TEMP%\copypfh.exe
%TEMP%\csrss.exe
%TEMP%\daso.exe
%TEMP%\daso0.dll
%TEMP%\fyso.exe
%TEMP%\fyso0.dll
%TEMP%\IEXPLORE.EXE
%TEMP%\jtso.exe
%TEMP%\jtso0.dll
%TEMP%\mhso.exe
%TEMP%\mhso0.dll
%TEMP%\mmc.exe
%TEMP%\qjso.exe
%TEMP%\qjso0.dll
%TEMP%\qqso.exe
%TEMP%\qqso0.dll
%TEMP%\rxso.exe
%TEMP%\rxso0.dll
%TEMP%\services.exe
%TEMP%\smss.exe
%TEMP%\spglsdr.exe
%TEMP%\srogm.exe
%TEMP%\svchost.exe
%TEMP%\svchost32.exe
%TEMP%\tlso.exe
%TEMP%\tlso0.dll
%TEMP%\wgso.exe
%TEMP%\wgso0.dll
%TEMP%\wlso.exe
%TEMP%\wlso0.dll
%TEMP%\wmso.exe
%TEMP%\wmso0.dll
%TEMP%\woso.exe
%TEMP%\woso0.dll
%TEMP%\ztso.exe
%TEMP%\ztso0.dll

このページのトップへ

(C)Canon IT Solutions Inc.