検出した場合の対処方法

常駐監視を行っているAMON、IMON、DMON、EMONによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windows のシステムの復元により修復しなければならない可能性があります。

解説での表記(用語)について

以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。

解説

■侵入(インストレーション)について

Win32/Saburex.A ウイルスが実行されると、次のファイルを %system% へドロップします。

ファイルサイズは17920バイトです。ウイルスは、システムが開始される毎に実行できるよう、次のレジストリを登録します。このキーには、ウイルスが実行する場所を含んでいます。

もし失敗すると、代わりとして次のレジストリを登録します。

■実行可能なファイルの感染活動について

ウイルスはローカルドライブ上の実行可能な形式(ファイル)を探します。実行可能な形式(ファイル)が、次の文字列のうちを含む名前でフォルダに存在しない場合に、感染活動を試みます。

このウイルスは、影響を与えるファイルを選ぶ時に、いくつかのほかの基準を適用する場合があります。ウイルスは、影響を与える際ホストの最初のセクションでコードに上書きを行います。元のコードはCAB形式で圧縮されておりファイルに追加されます。そして、感染したファイルが実行される時に、実行可能なオリジナルのホストは、上書きされたコードをもとに再構成されます。DLLライブラリが含まれる他のCAB形式ファイルは、上記と同じようにファイルが追加されます。

■盗難について

ウイルスは、特定のアプリケーションが使用される時にさまざまな情報を集めます。集めたデータは次のレジストリに保存されます。

ウイルスはリモート先のコンピュータに情報を送信します。この時 HTTP プロトコルを使用します。