 |
|
検出した場合の対処方法 |
|
|
常駐監視を行っているAMON、IMON、DMON、EMONによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windows
のシステムの復元により修復しなければならない可能性があります。
|
|
解説での表記(用語)について |
|
|
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir%
と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は
%system% と表記しています。
|
|
解説 |
|
|
■侵入(インストレーション)について
Win32/Sality.NAJ ウイルスが実行されると、次のファイルを
%windir% へドロップします。
このライブラリは、すべてのプロセスに感染してロードします。
次のレジストリを登録します。
| |
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet
Settings]
"
GlobalUserOffline" = 0 |
次のファイルが修正されます。
■実行可能なファイルの感染活動について
ウイルスは、次のレジストリに登録されたファイルが参照することで感染します。
| |
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run |
したがって、ウイルスはシステムが開始されるたびに実行されます。
ウイルスは、ローカルドライブおよびネットワークドライブ上の次の拡張子の実行可能な形式(ファイル)を探します。
さらに、ウイルスはリモートマシン上の共有フォルダにある実行可能なファイルを検索します。実行可能な形式のファイルが、次の文字列を含まないフォルダに存在した場合に限り感染活動を行います。
このウイルスは、影響を与えるファイルを選ぶ時に、いくつかのほかの基準を適用する場合があります。ウイルスは、影響を与える際ホストの最初のセクションでコードに上書きを行います。元のコードはCAB形式で圧縮されておりファイルに追加されます。そして、感染したファイルが実行される時に、実行可能なオリジナルのホストは、上書きされたコードをもとに再構成されます。DLLライブラリが含まれる他のCAB形式ファイルは、上記と同じようにファイルが追加されます。 ■その他の情報
ウイルスは、次の拡張子をもつファイルを削除します。
ウイルスは、次の文字列を含む実行ファイルを削除します。
| |
ALER
ANDA
ANTI
AVP
BIDEF
CLEAN
GUAR
KAV
NOD
OUTP
SCAN
TREN
TROJ
ZONE |
次のプログラムが終了されます。
| |
ANTI
ATGUARD
AUTOTRACE
AVGSERV
AVLTMAIN
AVP
AVPROTECT
AVSYNMGR
AVXQUAR
BIDEF
BIDSERVER
BIPCP
BLACKICE
CLEANER
DRWATSON
DRWEB
DRWTSN32
ESCANH
ICSSUPPNT
ICSUPP
KAV
LOCKDOWN
MCAGENT
MCUPDATE
MGUI
NAV
NMAIN
NOD32
NPFMESSENGER
NPROTECT
NUPGRADE
OUTPOST
PERISCOPE
PINGSCAN
PORTDETECTIVE
PROTECTX
RTVSCAN
SAVSCAN
TRJSCAN
VSMAIN
ZONEALARM |
ウイルスは、インターネットからいくつかのファイルをダウンロードして、実行しようとします。
|
