検出した場合の対処方法
常駐監視を行っている各検査プログラムによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windowsのシステムの復元により修復しなければならない可能性があります。
対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。
解説での表記(用語)について
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir%と表記しており、インストール時の設定により異なる場合があります。%windir%のサブディレクトリである"System"や"System32"は%system%と表記しています。
%temp%はWindowsオペレーティングシステムのテンポラリディレクトリを表記しています。
解説
■侵入(インストレーション)について
このトロイの木馬は、実行時に次のファイルを作成します。
%localappdata%\cache\LangBar32.dll
%localappdata%\cache\LangBar64.dll
%temp%\Visaform Turkey.pdf
%temp%\L2P.T (Win32/TrojanDropper.Agent.QBJ)
これらのファイルを実行します。
次のテキストが表示されます。
自身の残りのコンポーネントをダウンロードします。
ファイルを次のフォルダーに保存します。
%localappdata%\cache\lbarext32.dll
%localappdata%\cache\lbarhlp32.dll
%localappdata%\cache\lbarext64.dll
%localappdata%\cache\lbarhlp64.dll
次のレジストリーエントリーを作成します。
[HKEY_CURRENT_USER\Software\Microsoft\CTF\LangBarAddIn\{12345678-1234-1234-1234-1234567890AB}]
Enable = 1
FilePath = "%localappdata%\cache\LangBar32.dll"
[HKEY_CURRENT_USER\Software\Microsoft\CTF\LangBarAddIn\{12345678-1234-1234-1234-1234567890AC}]
Enable = 1
FilePath = "%localappdata%\cache\LangBar64.dll"
[HKEY_CURRENT_USER\Software\Microsoft\CTF]
"Disable Thread Input Manager" = 0
これにより、システムが起動するたびに実行されるようになります。
■情報の取得
このトロイの木馬は、次のプロセスに関する情報を収集します。
chrome.exe
facebookmessenger.exe
firefox.exe
icq.exe
iexplore.exe
jusched.exe
jucheck.exe
miranda32.exe
msmsgs.exe
msnmsgr.exe
opera.exe
outlook.exe
pidgin.exe
skype.exe
thunderbird.exe
winmail.exe
yahoomessenger.exe
yahoom~1.exe
次の情報を収集します。
オペレーティングシステムとシステム設定に関する情報
ネットワークアダプター情報
実行中のプロセスの一覧
実行中のサービスの一覧
共有フォルダーの一覧
コンピューターユーザーの一覧
ファイルの関連付け情報
特定のアプリケーション/サービスのログインユーザー名
特定のアプリケーション/サービスのログインパスワード
電子メールアカウントのデータ
クリップボード内のデータ
電子証明書
最近アクセスしたURLの一覧
特定のドライブ内のファイル/フォルダーの一覧
収集した情報をリモートのコンピューターに送信しようとします。
1つのURLを保持しています。通信にはHTTPプロトコルが使用されます。
■その他の情報
これは、リモートからコントロール可能なバックドア型のトロイの木馬です。
次を実行します。
キー入力内容を記録する
保護されたストレージから情報を取得してリモートのコンピューターに送信する
レジストリーエントリーを登録する
レジストリーエントリーを削除する
フォルダーを削除する
ファイルを削除する
自身を感染先のコンピューターから削除する
ファイルをリモートのコンピューターに送信する
自身をバージョンアップする
シェルコマンドを実行する
次のダイアログボックスを表示する場合があります。
次のフォルダーを作成する場合があります。
%temp%\Low\
%localappdata%\cache\jkduwjvfh\
%localappdata%\cache\mshdkvcb\
次のファイルを作成する場合があります。
%temp%\~tekxnsiof.tmp
%temp%\~tc%variable%.tmp
%temp%\~w%variable%.tmp
%temp%\tf%variable%.tmp
%temp%\Low\~cr%variable%.tmp
%temp%\Low\~ia%variable%.tmp
%localappdata%\cache\b3cdbd%variable%.tmp
%localappdata%\cache\kmt32.pod
%localappdata%\cache\krt%variable%.%variable%
%localappdata%\cache\qld32
%localappdata%\cache\jkduwjvfh\%variable%
%localappdata%\cache\jkduwjvfh\%variable%.tdm
%variable%には可変の文字列が入ります。
次のレジストリーエントリーを登録する場合があります。
[HKEY_CURRENT_USER\Software\Microsoft\MultiMedia\Other]
"HC" = %data%
"ID" = %data%
"BLD" = %data%
"BLE" = %data%
"WLE" = %data%
"PJ" = %data%
"SF" = %data%
"MJN" = %data%
"AD" = %data%
"ADT" = %data%
"ADS" = %data%
"ADU" = %data%
"ADP" = %data%
"ADD" = %data%
"CJ" = %data%
"SAJ" = %data%
"SP" = %data%
[HKEY_CURRENT_USER\Software\Microsoft\MultiMedia\Other\AT]
"DT" = %data%
"LED" = %data%
"JO" = %data%
|
