 |
|
検出した場合の対処方法 |
|
|
常駐監視を行っているAMON、IMON、DMON、EMONによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windows
のシステムの復元により修復しなければならない可能性があります。
|
|
解説での表記(用語)について |
|
|
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir%
と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は
%system% と表記しています。
|
|
解説 |
|
|
■侵入(インストレーション)について
Win32/PSW.Sinowal.NAG トロイが実行されると、トロイは次のファイル名を使って自分自身を
%temp% へコピーします。なお、%num%にはランダムな数字が入ります。
トロイは、次のシステムサービス名を使って自分自身を登録します。
2つのファイルがインターネットからダウンロードされます。これらのファイルは以下のフォルダのいずれかに保存されます。
| |
%commonfiles%\Microsoft Shared\Web
Folders
%system%\..\temp |
次のファイル名が使用されます。なお、%num%にはランダムな数字が入ります。
次のファイルが修正されます。
| |
%system%\drivers\etc\hosts |
トロイは、実行可能なのオリジナルのldrsvc サービスを削除します。
■盗難について
トロイは、次の情報を集めます。
| |
コンピュータのIPアドレス |
| |
コンピュータ名 |
| |
電子メール アカウントのデータ |
| |
FTP アカウントのデータ |
| |
パスワード |
| |
Internet Explorerのお気に入り |
次のプログラムが影響を受けます。
| |
AK-Mail |
| |
Crystal FTP Pro |
| |
Eudora |
| |
FAR |
| |
FlashFXP |
| |
GlobalSCAPE |
| |
Ipswitch |
| |
LeechFTP |
| |
Microsoft Outlook |
| |
Microsoft Outlook Express |
| |
Rhino Software |
| |
StarFinanz |
| |
The Bat |
| |
Thubderbird |
| |
TRELLIAN |
トロイは、次のサイトへアクセスするときにコミュニケーションを邪魔します。
| |
cib.ibanking-services.com |
| |
banking.raiffeisen.at |
| |
bankingportal.naspa.de |
| |
ykb.teleweb.com.tr |
| |
*vr-*ebanking.de |
集めた情報は、次のフォルダに保存されます。
トロイは、HTTPプロトコルを使ってリモートマシンへ情報を送信します。
■その他の情報
トロイは、ランダムにTCPポートを開けます。また、SOCKSプロキシがリッスンします。
|
