キヤノンITソリューションズ：NOD32 アンチウイルス：Win32/PSW.Small.NAF


最新ウイルス定義ファイルバージョン : 12381 (2015/10/09 17:02)

最新ウイルス情報 : Win32/PSW.Small.NAF	公開日：2008年05月29日
このウイルスに関する危険度 :■■■□□

定義名称	Win32/PSW.Small.NAF
シグネチャ検査による結果だった場合	Win32/PSW.Small.NAF
種別	トロイの木馬
別名	Trojan-PSW.Win32.Papras.dc (Kaspersky), Generic.f trojan (McAffee), Trojan:Win32/Meredrop (Microsoft)
アドバンスドヒューリスティック検査による結果だった場合	このオリジナルのトロイを利用した新種、亜種が検出された場合は、「NewHeur_PE」もしくは「Win32/PSW.Small トロイの亜種」という名称で警告が出ます。
影響を受けるプラットフォーム	Microsoft Windows
概要	Win32/PSW.Small.NAF トロイは、機密情報を盗み、リモート先へ情報を送信するトロイです。また、ルートキット技術を使います。

検出した場合の対処方法

常駐監視を行っているAMON、IMON、DMON、EMONによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windows のシステムの復元により修復しなければならない可能性があります。

対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。

駆除しても再発する場合は、セーフモードで起動してディスクの検査をする必要があります。

解説での表記(用語)について

以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。

解説

■侵入(インストレーション)について

Win32/PSW.Small.NAF トロイが実行されると、自分自身を %windir% フォルダへ次の名前でコピーします。

9129837.exe

また、同じフォルダに次のファイルをドロップします。

new_drv.sys (7680 B)

トロイは次の名前を使って、自分自身をサービスに登録をします。

!!!!

感染ファイルが毎回実行できるようにするために、次のレジストリが登録されます。

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NEW_DRV\0000\Control]
"NewlyCreated" = 0
"ActiveService" = "new_drv"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NEW_DRV\0000]
"Service" = "new_drv"
"Legacy" = 1
"ConfigFlags" = 0
"Class" = "LegacyDriver"
"ClassGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc" = "!!!!"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NEW_DRV]
"NextInstance" = 1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\new_drv\Enum]
"0" = "Root\LEGACY_NEW_DRV\0000"
"Count" = 1
"NextInstance" = 1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\new_drv]
"Type" = 1
"Start" = 3
"ErrorControl" = 0
"ImagePath" = "%windir%\new_drv.sys"
"DisplayName" = "!!!!"

[HKEY_CURRENT_USER\Software\Microsoft\InetData]
"k1" = %variable1%
"k2" = %variable2%
"version" = 220

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess]
"Start" = 4

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wscsvc]
"Start" = 4

※ %variable1%、%variable2% は適当なテキストが入ります。

■情報の盗難について

Win32/PSW.Small.NAF トロイは、パスワードおよび機密情報を盗みます。トロイは、以下のサービスに関連した情報を集めます。

FTP
POP3
IMAP
ICQ

トロイは、リモート先へ情報を送ります。トロイにはURLアドレスが含まれており、HTTPプロトコルを使います。

■その他の情報

トロイは、次のプロセスに対する作用を変えます。

ALG (Application Layer Gateway Service)
SharedAccess (Windows Firewall/Internet Connection Sharing (ICS))
wscsvc (Security Center)

トロイは、次のファイルを作成する場合があります。

%system%\abcdefg.bat

トロイは、次のフォルダに保存されたファイルを削除する場合があります。

%userprofile%\cookies\

このほかに、インターネットから実行可能なファイルをダウンロードします。