駆除ツールはこちらからダウンロードできます。
検出した場合の対処方法
常駐監視を行っている各検査プログラムによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windowsのシステムの復元により修復しなければならない可能性があります。
対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。
解説での表記(用語)について
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir%と表記しており、インストール時の設定により異なる場合があります。%windir%のサブディレクトリである"System"や"System32"は%system%と表記しています。
%appdata%は、マイドキュメント以下のApplication Dataディレクトリを表記しています。
%temp%はWindowsオペレーティングシステムのテンポラリディレクトリを表記しています。
%userprofile%は、ユーザーのマイドキュメントディレクトリを表記しています。
解説
■侵入(インストレーション)について
このトロイの木馬は、実行時に次のファイルを作成します。
%temp%\%number%.sys (159232 B)
%temp%\%variable1%-%number%.exe (41984 B)
%userprofile%\%variable2%-%number%.exe (41984 B)
%system%\c_%variable3%.nls (183300 B)
次のファイル名を使用して自身のコピーを作成する場合があります。
%appdata%\ScanDisc.exe
%appdata%\%variable4%.exe
%temp%\%variable5%.tmp
次のファイルを作成する場合があります。
%userprofile%\Desktop\Computer.lnk
作成されたファイルは悪意のあるファイルへのショートカットです。
次のファイルを作成する場合があります。
%temp%\SE%variable6%
%appdata%\mcp.ico
%appdata%\%variable7%.reg
%appdata%\Mozilla\Firefox\Profiles\%variable8%\searchplugi
ns\search.xml
%system%\tasks\task%variable9%
%windir%\temp\%variable10%.tmp
次のファイルを改ざんする場合があります。
C:\Windows\system32\drivers\etc\hosts
C:\Windows\system32\drivers\etc\hosts.txt
%appdata%\Mozilla\Firefox\Profiles\%variable11%\prefs.js
%variable1-11%、%number%には可変の文字列が入ります。
%temp%\SE%variable6%ライブラリーは、次のプロセスにインジェクトされる場合があります。
explorer.exe
次のシステムドライバーをインストールします(パス、名前)。
%temp%\%number%.sys, %number%
次のファイルを削除します。
%temp%\%number%.sys
システムが起動するたびに実行されるよう、次のレジストリーエントリーを登録します。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Run]
"Windows Update Server" =
"%userprofile%\%variable2%-%number%.exe"
次のレジストリーを登録する場合があります。
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunOnce]
"%appdata%\%variable4%.exe opt"
インストール終了後、元の実行ファイルを削除します。
32ビットおよび64ビット両方のプログラムのコンポーネントを保持しています。
■情報の取得
このトロイの木馬は、次の情報を収集します。
コンピューター名
オペレーティングシステムとシステム設定に関する情報
ボリュームシリアルナンバー
ディスクデバイスとそのタイプの一覧
オペレーティングシステムのバージョン
収集した情報をリモートのコンピューターに送信しようとします。
■その他の情報
このトロイの木馬はプロキシサーバーとして機能します。
自身をアップデートする機能や任意のファイルを実行する機能を備えています。
246のURLを保持しているほか、さまざまなURLを生成します。通信にはHTTPプロトコルが使用されます。
特定の仮想環境内で実行されていることを確認すると、自身の活動を終了します。
デバッガ内で実行されている場合は、直ちに活動を停止します。
システムの管理者権限を取得しようとします。利用するのはCVE-2010-3338の脆弱性です。
ユーザーを攻撃者のWebサイトにリダイレクトする場合があります。
次のファイルに自身のプログラムコードを書き込む場合があります。
%system%\drivers\*.*
次のレジストリーを登録する場合があります。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Policies\System]
"ConsentPromptBehaviorAdmin" = 0
"ConsentPromptBehaviorUser" = 0
"EnableLUA" = 0
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows]
"update" = "shortcut"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\HideDesktopIcons\ClassicStartMenu]
"{20D04FE0-3AEA-1069-A2D8-08002B30309D}" = 1
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\HideDesktopIcons\NewStartPanel]
"{20D04FE0-3AEA-1069-A2D8-08002B30309D}" = 1
[HKEY_USERS\%variable%\Software\Microsoft\Internet Explorer\
SearchScopes]
"DefaultScope" = "%data%"
[HKEY_USERS\%variable%\Software\Microsoft\Internet Explorer\
SearchScopes\%data%]
"URL" =
"http://findgala.com/?&uid=%number%&q={searchTerms}"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\
Internet Settings\User Agent\Post Platform]
"(Default)" = "Build/13.0"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\
Internet Settings\5.0\User Agent\Post Platform]
"(Default)" = "Build/13.0"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
Tcpip\Parameters\Interfaces]
"NameServer" = "8.8.8.8"
次の偽のダイアログボックスを表示する場合があります。
|
