現在のトロイの活動と製品の対応について

Win32/PSW.OnLineGames.NMY トロイに対するアップデート対応は、2008年9月10日現在において通算180回を超える回数で連日繰り返し行っています。現在でも日本国内でも多くの感染報告が寄せられております。もし、この名前で検出された場合は、常に製品を最新の状態にしていただき検査および駆除・削除を実施してください。

検出した場合の対処方法

常駐監視を行っている各検査プログラムによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windowsのシステムの復元により修復しなければならない可能性があります。

対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより二次感染、三次感染を防げます。また、自分が作成したデータなどに感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータに戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。（検出したファイル自身がウイルスそのものである場合は、削除を行ってください）

駆除もしくは削除後、再起動すると再び同じウイルスによって活動が発生する場合は、システムをセーフモードで起動し、検査および駆除・削除を実施してください。

解説での表記（用語）について

以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである
"System"や"System32"は %system% と表記しています。

解説

■侵入（インストレーション）について

Win32/PSW.OnLineGames.NMY トロイが実行されると、自分自身を %system% へ次のファイル名でコピーします。

kavo.exe （115749 B）

kavo0.dll （124928 B）

gxylc.dll （26910 B） zs.sys （3450 B）

explorer.exe

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "kava" = "%system%\kavo.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden" = 2 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden" = 0 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDriveTypeAutoRun" = 145 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ Advanced\Folder\Hidden\SHOWALL] "CheckedValue" = 0

■拡散について

トロイは、次のファイル名でハードディスクやリムーバブルメディアのルートフォルダに自分自身をコピーします。

1wod1.com

autorun.inf

■情報の盗難について

トロイは、オンラインコンピューターゲームのさまざまな情報を集めます。その際、トロイは次のプロセスに関連した情報を集めます。

maplestory.exe hyo.exe fairyclient.exe cg.exe coc.exe RagFree.exe Ragexe.exe ybclient.exe wsm.exe so3d.exe ge.exe cabalmain.exe elementclient.exe wow.exe

■その他の情報

トロイは、インターネットからファイルをダウンロードして実行します。
トロイは、URLのリストを持っています。
さらに、若干のセキュリティに関連したアプリケーションの作用を変えます。その際、ルートキットの技術を使用します。