検出した場合の対処方法
常駐監視を行っている各検査プログラムによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windows のシステムの復元により修復しなければならない可能性があります。
対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。
解説での表記(用語)について
以下の説明文では、環境変数を利用して各ファイルやディレクトリへのパスを表記しています。
例:
%windir% : Windowsオペレーティングシステムがインストールされたディレクトリのパス(インストール時の設定により異なる場合があります)。
%system% : %windir% のサブディレクトリである"System"や"System32"のパス。
%malwarefilepath% : マルウェアプログラムまでのパス。
%malwarefilename% : マルウェアプログラムまでのファイル名。
その他に関しては、以下のページも参考にしてください。
Microsoft Malware Protection Center - Malware help
Common Folder variables
解説
■侵入(インストレーション)について
このウイルスは、実行時に次のファイルを%system%\drivers\フォルダーに作成します。
%variable%.sys
%variable%には可変の文字列が入ります。
次の名前を使用して自身をシステムサービスとして登録します。
amsint32
次のファイルを%temp%フォルダー内に作成します。
%variable%.exe
%variable%はランダムなテキストです。
このファイルを実行します。
次のレジストリーエントリーを作成します。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%infectedfilepath%" = "%infectedfilepath%:*:Enabled:ipsec"
これにより、Windowsファイアウォールに例外が設定され、ウイルスによる通信が許可されます。
次のレジストリーエントリーを登録します。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"GlobalUserOffline" = 0
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\system]
"EnableLUA" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
"DisableNotifications" = 1
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = 2
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
"Start" = 4
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ALG]
"Start" = 4
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"Start" = 4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusOverride" = 1
"AntiVirusDisableNotify" = 1
"FirewallDisableNotify" = 1
"FirewallOverride" = 1
"UpdatesDisableNotify" = 1
"UacDisableNotify" = 1
"AntiSpywareOverride" = 1
次のレジストリーエントリーを削除します。
[HKEY_CURRENT_USER\System\CurrentControlSet\Control\SafeBoot]
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot]
■実行ファイルへの感染について
このウイルスは、ほかのファイルに感染するポリモーフィック型のマルウェアです。
次の拡張子のいずれかを持つファイルをローカルドライブとネットワークドライブで探します。
.exe
.scr
感染は、実行ファイルの最後のセクションにウイルスのコードを付加することによって行われます。
感染先のファイルは、本来のコードの前にウイルスが実行されるよう改ざんされます。
次のレジストリーエントリーが参照したファイルに感染します。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
これにより、システムが起動するたびに実行されるようなります。
■感染について
このウイルスは、ランダムなファイル名を使用して次のドライブのルートフォルダーに自身をコピーします。
ファイル名には次の拡張子が含まれます。
.exe
.pif
次のファイルを同じフォルダー内に作成します。
autorun.inf
このAUTORUN.INFファイルには、マルウェアの実行ファイルへのパスが記述されています。
これにより、感染メディアがコンピューターに挿入されるたびにウイルスが実行されるようになります。
オペレーティングシステムの脆弱性を利用して感染を広げます。
この脆弱性の詳細については、CVE-2010-2568をご覧ください。
■その他の情報
このウイルスは次のファイルを削除します。
*.vdb
*.avc
*drw*.key
次のサービスを無効にします。
AVP
Agnitum Client Security Service
Amon monitor
aswUpdSv
aswMon2
aswRdr
aswSP
aswTdi
aswFsBlk
acssrv
AV Engine
avast! iAVS4 Control Service
avast! Antivirus
avast! Mail Scanner
avast! Web Scanner
avast! Asynchronous Virus Monitor
avast! Self Protection
AVG E-mail Scanner
Avira AntiVir Premium Guard
Avira AntiVir Premium WebGuard
Avira AntiVir Premium MailGuard
BGLiveSvc
BlackICE
CAISafe
ccEvtMgr
ccProxy
ccSetMgr
COMODO Firewall Pro Sandbox Driver
cmdGuard
cmdAgent
Eset Service
Eset HTTP Server
Eset Personal Firewall
F-Prot Antivirus Update Monitor
fsbwsys
FSDFWD
F-Secure Gatekeeper Handler Starter
FSMA
Google Online Services
InoRPC
InoRT
InoTask
ISSVC
KPF4
KLIF
LavasoftFirewall
LIVESRV
McAfeeFramework
McShield
McTaskManager
MpsSvc
navapsvc
NOD32krn
NPFMntor
NSCService
Outpost Firewall main module
OutpostFirewall
PAVFIRES
PAVFNSVR
PavProt
PavPrSrv
PAVSRV
PcCtlCom
PersonalFirewal
PREVSRV
ProtoPort Firewall service
PSIMSVC
RapApp
SharedAccess
SmcService
SNDSrvc
SPBBCSvc
SpIDer FS Monitor for Windows NT
SpIDer Guard File System Monitor
SPIDERNT
Symantec Core LC
Symantec Password Validation
Symantec AntiVirus Definition Watcher
SavRoam
Symantec AntiVirus
Tmntsrv
TmPfw
UmxAgent
UmxCfg
UmxLU
UmxPol
vsmon
VSSERV
WebrootDesktopFirewallDataService
WebrootFirewall
wscsvc
XCOMM
名前に次の文字列のいずれかが含まれているプロセスを終了させます。
AVPM.
A2GUARD
A2CMD.
A2SERVICE.
A2FREE
AVAST
ADVCHK.
AHPROCMONSERVER.
AIRDEFENSE
ALERTSVC
AVIRA
AMON.
TROJAN
AVZ.
ANTIVIR
APVXDWIN.
ARMOR2NET.
ASHAVAST.
ASHDISP.
ASHENHCD.
ASHMAISV.
ASHPOPWZ.
ASHSERV.
ASHSIMPL.
ASHSKPCK.
ASHWEBSV.
ASWUPDSV.
ASWSCAN
AVCIMAN.
AVCONSOL.
AVENGINE.
AVESVC.
AVEVAL.
AVEVL32.
AVGAM
AVGCC.AVGCHSVX.
AVGCSRVX.
AVGNSX.
AVGCC32.
AVGCTRL.
AVGEMC
AVGFWSRV.
AVGNT.
AVCENTER
AVGNTMGR
AVGSERV.
AVGTRAY.
AVGUARD.
AVGUPSVC.
AVGWDSVC.
AVINITNT.
AVKSERV.
AVKSERVICE.
AVKWCTL.
AVP.
AVP32.
AVPCC.
AVAST
AVSERVER.
AVSCHED32.
AVSYNMGR.
AVWUPD32.
AVWUPSRV.
AVXMONITOR
AVXQUAR.
BDSWITCH.
BLACKD.
BLACKICE.
CAFIX.
BITDEFENDER
CCEVTMGR.
CFPCONFIG.
CCSETMGR.
CFIAUDIT.
CLAMTRAY.
CLAMWIN.
CUREIT
DEFWATCH.
DRVIRUS.
DRWADINS.
DRWEB
DEFENDERDAEMON
DWEBLLIO
DWEBIO
ESCANH95.
ESCANHNT.
EWIDOCTRL.
EZANTIVIRUSREGISTRATIONCHECK.
F-AGNT95.
FAMEH32.
FILEMON
FIREWALL
FORTICLIENT
FORTITRAY.
FORTISCAN
FPAVSERVER.
FPROTTRAY.
FPWIN.
FRESHCLAM.
EKRN.
FSAV32.
FSAVGUI.
FSBWSYS.
F-SCHED.
FSDFWD.
FSGK32.
FSGK32ST.
FSGUIEXE.
FSMA32.
FSMB32.
FSPEX.
FSSM32.
F-STOPW.
GCASDTSERV.
GCASSERV.
GIANTANTISPYWARE
GUARDGUI.
GUARDNT.
GUARDXSERVICE.
GUARDXKICKOFF.
HREGMON.
HRRES.
HSOCKPE.
HUPDATE.
IAMAPP.
IAMSERV.
ICLOAD95.
ICLOADNT.
ICMON.
ICSSUPPNT.
ICSUPP95.
ICSUPPNT.
IPTRAY.
INETUPD.
INOCIT.
INORPC.
INORT.
INOTASK.
INOUPTNG.
IOMON98.
ISAFE.
ISATRAY.
KAV.
KAVMM.
KAVPF.
KAVPFW.
KAVSTART.
KAVSVC.
KAVSVCUI.
KMAILMON.
MAMUTU
MCAGENT.
MCMNHDLR.
MCREGWIZ.
MCUPDATE.
MCVSSHLD.
MINILOG.
MSSECES.
MSSEOOBE.
MYAGTSVC.
MYAGTTRY.
NAVAPSVC.
NAVAPW32.
NAVLU32.
NAVW32.
NEOWATCHLOG.
NEOWATCHTRAY.
NISSERV
NISUM.
NMAIN.
NOD32
NORMIST.
NOTSTART.
NPAVTRAY.
NPFMNTOR.
NPFMSG.
NPROTECT.
NSCHED32.
NSMDTR.
NSSSERV.
NSSTRAY.
NTRTSCAN.
NTOS.
NTXCONFIG.
NUPGRADE.
NVCOD.
NVCTE.
NVCUT.
NWSERVICE.
OFCPFWSVC.
OUTPOST
ONLINENT.
OPSSVC.
OP_MON.
PAVFIRES.
PAVFNSVR.
PAVKRE.
PAVPROT.
PAVPROXY.
PAVPRSRV.
PAVSRV51.
PAVSS.
PCCGUIDE.
PCCIOMON.
PCCNTMON.
PCCPFW.
PCCTLCOM.
PCTAV.
PERSFW.
PERTSK.
PERVAC.
PESTPATROL
PNMSRV.
PREVSRV.
PREVX
PSIMSVC.
QUHLPSVC.
QHONLINE.
QHONSVC.
QHWSCSVC.
QHSET.
RFWMAIN.
RTVSCAN.
RTVSCN95.
SALITY
SAPISSVC.
SCANWSCS.
SAVADMINSERVICE.
SAVMAIN.
SAVPROGRESS.
SAVSCAN.
SCANNINGPROCESS.
SDRA64.
SDHELP.
SHSTAT.
SITECLI.
SPBBCSVC.
SPHINX.
SPIDERCPL.
SPIDERML.
SPIDERNT.
SPIDERUI.
SPYBOTSD.
SPYXX.
SS3EDIT.
STOPSIGNAV.
SWAGENT.
SWDOCTOR.
SWNETSUP.
SYMLCSVC.
SYMPROXYSVC.
SYMSPORT.
TAUMON.
TMLISTEN.
TMNTSRV.
TMPROXY.
TNBUTIL.
TRJSCAN.
VBA32ECM.
VBA32IFS.
VBA32LDR.
VBA32PP3.
VBSNTW.
VCRMON.
VRFWSVC.
VRMONNT.
VRMONSVC.
VRRW32.
VSECOMR.
VSHWIN32.
VSMON.
VSSERV.
VSSTAT.
WATCHDOG.
WEBSCANX.
WINSSNOTIFY.
WRCTRL.
XCOMMSVR.
ZLCLIENT
ZONEALARM
複数のURLを保持しています。
そのURLからいくつかのファイルをダウンロードしようとします。
これらのファイルを実行します。
実行中のすべてのプロセスに自身のプログラムコードを挿入して新たなスレッドを作成、実行します。
次のファイルを改ざんします。
SYSTEM.INI
このファイルに次のエントリーを書き込みます。
[MCIDRV_VER]
DEVICEMB=%number%
%number%はランダムな数字です。
|
