検出した場合の対処方法
常駐監視を行っている各検査プログラムによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windowsのシステムの復元により修復しなければならない可能性があります。
対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。
解説での表記(用語)について
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir%と表記しており、インストール時の設定により異なる場合があります。%windir%のサブディレクトリである"System"や"System32"は%system%と表記しています。
%currentfolder%は、カレントディレクトリを表記しています。
%malwarefilename%は、マルウェアプログラムファイル名を表記しています。
%temp%はWindowsオペレーティングシステムのテンポラリディレクトリを表記しています。
%systemdrive%は、システムドライブを表記しています。
解説
■侵入(インストレーション)について
このトロイの木馬は、自身のコピーを作成しません。
別のマルウェアの一部であると考えられます。
次のファイルを作成します。
%systemdrive%\Windows\System32\Kernerl32.dll (75776 B)
%systemdrive%\Program Files\Internet Explorer\HMMACPI32.dll (78336 B)
次の(パス, 名前)のシステムドライバーをインストールする場合があります。
%system%\drivers\LaxEx.sys, LanEx_Device
次のレジストリーエントリーを登録する場合があります。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanEx_Device]
"DisplayName" = "LanEx_Device"
"ErrorControl" = 1
"ImagePath" = "%system%\drivers\LaxEx.sys"
"Start" = 3
"Type" = 1
次のテキストファイルを作成する場合があります。
%currentfolder%\%malwarefilename%.ini
%currentfolder%\log.dat
C:\Boot.log
■感染について
このトロイの木馬は、P2Pネットワークを介して感染を広げる場合があります。
UDP 35768番ポートを開きます。
ランダムなTCPポートを開きます。
■情報の取得
このトロイの木馬は次の情報を収集します。
コンピューターのIPアドレス
MACアドレス
収集した情報をリモートのコンピューターに送信しようとします。通信にはHTTPプロトコルが使用されます。
■その他の情報
このトロイの木馬は、特定の仮想環境内で実行されていることを確認すると、自身の実行を終了します。
次のファイルを改ざんします。
%windir%\win.ini
%system%\Drivers\etc\hosts
名前に次の文字列のいずれかが含まれているウィンドウを作成するプログラムを終了させます。
QQ2008
QQ2009
QQ2010
QQ2011
QQ2012
QQ2013
Internet Explorer
UIMainFrame
#32770
qq20
パスに次の文字列のいずれかが含まれているプロセスを終了させます。
\\minie
ctfmon\\ctfmon.exe
gfr25inmilc.exe
minie.exe
temp\\bvnarlc\\svchost.exe
windows\\wmbbill.exe
wxcltaidex
パスに次の文字列のいずれかが含まれているプロセスを終了させる場合があります。
\\bin\\
\\qq.exe
\\qq20
\\qqexternal.exe
\\remain.exe
\\temp\\jl
\\temp\\pcl
\\temp\\ww
ads\\services.exe
desk\\desk.exe
miniie.exe
opinion\\tip.exe
ppmsgwin.exe
svchost.exe
system32\\svchost.exe
system32\\upbup.exe
system32\\wrdws.exe
temp\\desk
temp\\exitpop
temp\\ey
temp\\info.exe
temp\\msginfo.exe
temp\\smss.exe
upbuq.exe
wmbbill.exe
次のサイトへのアクセスを遮断します。
114la.com
123.duba.net
123.sogou.com
123.tao.com
1616.com
1616.net
2345.com
360.cn
hao.qq.com
hao123.com
tao123.com
www.265.com
www.726.com
www.baidu.com
www.sogou.com
www.soso.com
ユーザーを攻撃者のWebサイトにリダイレクトする場合があります。
rootkitによく見られる手法を用いています。
次のWindows APIをフックして、入力データやメッセージを横取りします。
CreateProcessA (kernel32.dll)
CreateProcessW (kernel32.dll)
LoadLibraryExW (kernel32.dll)
TerminateProcess (kernel32.dll)
NtOpenProcess (ntdll.dll)
NtQuerySystemInformation (ntdll.dll)
NtTerminateProcess (ntdll.dll)
ShellExecuteA (shell32.dll)
ShellExecuteW (shell32.dll)
MsgBoxA (user32.dll)
MsgBoxW (user32.dll)
ShowWindow (user32.dll)
HMMACPI32.dllライブラリーを実行中のすべてのプロセスにインジェクトしようとします。
Kernerl32.dllライブラリーは、次のプロセスにインジェクトされます。
barclient.exe
runme.exe
taskmgr.exe
インターネットからファイルをダウンロードする場合があります。
ダウンロードしたファイルを次の場所に保存します。
%temp%\Thream.exe
次のコピー(コピー元, コピー先)を実行します。
%temp%\Thream.exe, %currentfolder%\Hello%variable%.zip
このファイルを実行します。
次のファイルを削除する場合があります。
%currentfolder%\%malwarefilename%.dll
%currentfolder%\%malwarefilename%ex.exe
次のテキストファイルを作成する場合があります。
C:\Program Files\HCard.ini
|
