検出した場合の対処方法
常駐監視を行っている各検査プログラムによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windows のシステムの復元により修復しなければならない可能性があります。
対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。
解説での表記(用語)について
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。
%commonappdata%は、マイドキュメント以下のApplication Dataディレクトリを表記しています。 %malwarefilename%は、マルウェアプログラムファイル名を表記しています。
解説
■侵入(インストレーション)について
このトロイの木馬は、自身のコピーを作成しません。
通常は別のマルウェアの一部です。
通常は次のフォルダー内で検出されます。
%commonappdata%
システムが起動するたびに実行されるよう、次のレジストリーエントリーを登録します。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"%malwarefilename%" = "regsvr32.exe "%commonappdata%\%malwarefilename%.dat""
%malwarefilename%には可変の文字列が入ります。
実行中のすべてのプロセスに自身のプログラムコードを挿入して新たなスレッドを作成、実行します。ただし、次のプロセスは除きます。
csrss.exe
dwm.exe
lsass.exe
lsm.exe
services.exe
smss.exe
svchost.exe
taskhost.exe
wininit.exe
winlogon.exe
次のレジストリーエントリーを登録します。
[HKEY_CURRENT_USER\Software\AppDataLow\{%variable1%}]
"{%variable2%}" = %variable3%
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"NoProtectedModeBanner" = 1
"TabProcGrowth" = 0
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
"2500" = 3
次のレジストリーエントリーを登録する場合があります。
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers]
"DefaultLevel" = 262144
"TransparentEnabled" = 1
"PolicyScope" = 0
"ExecutableTypes" = "WSC VB URL SHS SCR REG PIF PCD OCX MST MSP MSI MSC MDE MDB LNK ISP INS INF HTA HLP EXE CRT CPL COM CMD CHM BAT BAS ADP ADE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{%variable4%}]
"SaferFlags" = 0
"ItemData" = "%folder%\%programfolder%"
%variable1-4%には可変の文字列が入ります。%folder%は次の文字列のいずれかになります。
%systemvolume%\Documents and Settings\All Users\Application Data\
%systemvolume%\Program Files (x86)\
%systemvolume%\Program Files\
%programfolder%は次の文字列のいずれかになります。
AVAST Software
AVG
Agnitum
Alwil Software
AnVir Task Manager
Anti-Malware
ArcaBit
Avira
Avira GmbH
BitDefender
BlockPost
Common Files\Doctor Web
Common Files\G DATA
Common Files\P Tools
Common Files\Symantec Shared
DefenseWall
DefenseWall HIPS
Doctor Web
DrWeb
ESET
FRISK Software
G DATA
K7 omputing
Kaspersky Lab
Kaspersky Lab Setup Files
Lavasoft
Malwarebytes
McAfee
McAfee.com
Microsoft Security Client
Microsoft Security Essentials
Microsoft\Microsoft Antimalware
Norton AntiVirus
Online Solutions
P Tools
P Tools Internet Security
Panda Security
Positive Technologies
Sandboxie
Security Task Manager
Spyware Terminator
Sunbelt Software
Symantec
Trend Micro
UAenter
Vba32
Xore
Zillya Antivirus
a-squared Anti-Malware
a-squared HiJackFree
avg8
f-secure
:\Documents and Settings\NetworkService\Local Settings\Application Data\F-SecureF-Secure Internet Security
■情報の取得
このトロイの木馬は個人情報を盗み出します。
次の情報を収集します。
FTPアカウント情報
特定のアプリケーション/サービスのログインユーザー名
特定のアプリケーション/サービスのログインパスワード
電子証明書
オペレーティングシステムとシステム設定に関する情報
インストールされているソフトウェア
cookie
ユーザーが特定のWebサイトを閲覧中に個人情報を収集します。
次のプログラムが影響を受けます。
32bit FTP
3D-FTP
AceFTP
Adobe
ALFTP
Becky! Internet Mail
BitKinex
BlazeFtp
BulletProof FTP
Classic FTP
CoffeeCup Direct FTP / Free FTP
Core FTP
CuteFTP
Cyberduck Browser
DeluxeFTP
Directory Opus
Easy FTP
Epic Privacy Browser
FAR Manager
FastStone Browser
FFFTP
FireFTP
FlashFXP
Fling FTP
Flock
Fresh FTP
Frigate3
FTP Commander
FTP Control
FTP Explorer
FTP Navigator
FTP Now
FTP Rush
FTP Surfer
FTP Voyager
FTP++
FTPClient
FTPInfo
FTPShell
Global Downloader
GoFTP
Google Chrome
IncrediMail
Internet Explorer
K-Meleon
LeechFTP
LinasFTP
Microsoft Outlook
Mozilla Firefox
My FTP
NetDrive
NetSarang Xftp
NexusFile
Notepad++
NovaFTP
Odin Secure FTP Expert
PocoMail
PuTTY
Robo-FTP
SeaMonkey
SecureFX
SmartFTP
Staff-FTP
The Bat!
Thunderbird
Total Commander
TurboFTP
UltraFXP
Web Site Publisher
WebDrive
Windows Commander
WinFTP
WinSCP
WinZip
Wise-FTP
WS_FTP
次のサービスが影響を受けます。
Remote Desktop
Windows Live Mail
Windows Mail
収集した情報をリモートのコンピューターに送信する場合があります。
■その他の情報
このトロイの木馬は、リモートのコンピューターもしくはインターネットからデータや命令を受け取ります。
4つのURLを保持しています。通信にはTCPプロトコルとHTTPプロトコルが使用されます。
次を実行します。
プロキシサーバーを設定する
実行ファイルを実行する
リモートのコンピューターもしくはインターネットからファイルをダウンロードする
ファイルをリモートのコンピューターに送信する
実行中のプロセスの一覧をリモートのコンピューターに送信する
cookieを削除する
コンピューターをシャットダウンして再起動する
自身をバージョンアップする
自身をアンインストールする
Webサイトのコンテンツを改ざんする
ネットワークトラフィックを監視する
スクリーンショットを作成する
感染したコンピューターにアクセスするための手段として使用される場合があります。
次のWindows APIをフックして、入力データやメッセージを横取りします。
Beep (kernel32.dll)
CallWindowProcA (user32.dll)
CallWindowProcW (user32.dll)
CreateProcessA (kernel32.dll)
CreateProcessAsUserA (advapi32.dll)
CreateProcessAsUserW (advapi32.dll)
CreateProcessW (kernel32.dll)
DefDlgProcA (user32.dll)
DefDlgProcW (user32.dll)
DefFrameProcA (user32.dll)
DefFrameProcW (user32.dll)
DefMDIChildProcA (user32.dll)
DefMDIChildProcW (user32.dll)
DefWindowProcA (user32.dll)
DefWindowProcW (user32.dll)
DirectSoundCaptureCreate (dsound.dll)
DirectSoundCaptureCreate8 (dsound.dll)
DirectSoundCreate (dsound.dll)
DirectSoundCreate8 (dsound.dll)
DirectSoundFullDuplexCreate (dsound.dll)
DirectSoundFullDuplexCreate8 (dsound.dll)
FlashWindow (user32.dll)
FlashWindowEx (user32.dll)
GetAsyncKeyState (user32.dll)
GetCursorPos (user32.dll)
GetKeyboardState (user32.dll)
GetKeyState (user32.dll)
GetMessageA (user32.dll)
GetMessagePos (user32.dll)
GetMessageW (user32.dll)
GetProcAddress (kernel32.dll)
HttpEndRequestA (wininet.dll)
HttpEndRequestW (wininet.dll)
HttpOpenRequestA (wininet.dll)
HttpOpenRequestW (wininet.dll)
HttpQueryInfoA (wininet.dll)
HttpSendRequestA (wininet.dll)
HttpSendRequestExA (wininet.dll)
HttpSendRequestExW (wininet.dll)
HttpSendRequestW (wininet.dll)
InternetCloseHandle (wininet.dll)
InternetConnectA (wininet.dll)
InternetConnectW (wininet.dll)
InternetQueryDataAvailable (wininet.dll)
InternetQueryOptionA (wininet.dll)
InternetQueryOptionW (wininet.dll)
InternetReadFile (wininet.dll)
InternetReadFileExA (wininet.dll)
InternetSetOptionA (wininet.dll)
InternetSetOptionA (wininet.dll)
InternetWriteFile (wininet.dll)
LoadLibraryA (kernel32.dll)
LoadLibraryA (kernel32.dll)
LoadLibraryExA (kernel32.dll)
LoadLibraryExA (kernel32.dll)
LoadLibraryExW (kernel32.dll)
LoadLibraryExW (kernel32.dll)
LoadLibraryW (kernel32.dll)
LoadLibraryW (kernel32.dll)
PeekMessageA (user32.dll)
PeekMessageW (user32.dll)
PlaySoundA (winmm.dll)
PlaySoundW (winmm.dll)
PR_Close (nspr4.dll)
PR_Read (nspr4.dll)
PR_Write (nspr4.dll)
SetCursorPos (user32.dll)
sndPlaySoundA (winmm.dll)
sndPlaySoundW (winmm.dll)
TlsGetValue (kernel32.dll)
VirtualProtect (kernel32.dll)
waveOutOpen (winmm.dll)
ZwConnectPort (ntdll.dll)
ZwRaiseHardError (ntdll.dll)
一部のセキュリティーソフトウェアの動作に干渉します。
次のレジストリーキーにあるさまざまな情報を保持します。
[HKEY_CURRENT_USER\Software\AppDataLow]
32ビットおよび64ビット両方のプログラムのコンポーネントを保持しています。
|