検出した場合の対処方法
常駐監視を行っている各検査プログラムによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windowsのシステムの復元により修復しなければならない可能性があります。
対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。
解説での表記(用語)について
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir%と表記しており、インストール時の設定により異なる場合があります。%windir%のサブディレクトリである"System"や"System32"は%system%と表記しています。
解説
■侵入(インストレーション)について
このトロイの木馬は、実行時に自身を次の場所にコピーします。
%localappdata%\ctfmow.exe
システムが起動するたびに実行されるよう、次のレジストリーエントリーを登録します。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
次のレジストリーエントリーを作成します。
[HKEY_CURRENT_USER\EnganarAVG]
[HKEY_CURRENT_USER\Virusinicializar]
次のレジストリーエントリーを登録します。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
[HKEY_CURRENT_USER\Software\Sysinternals\PsKill]
[HKEY_CURRENT_USER\Software\Sysinternals\PsExec]
次のファイルを作成します。
C:\windows\Key_RevoltadoNova
次のファイルを作成する場合があります。
C:\Morre.exe (187184 B)
C:\System.exe (303616 B)
C:\Permissao.exe (234536 B)
C:\registros.reg (8944 B)
C:\setreg.cmd (527 B)
■情報の取得
このトロイの木馬は個人情報を盗み出します。
特定のサイトへのアクセスに使用された情報を収集します。
次のアプリケーションの動作に影響を及ぼします。
Internet Explorer
Mozilla Firefox
Google Chrome
タイトルに次の文字列のいずれかが含まれているウィンドウを探します。
Banco Itau - Feito Para Voce - Google Chrome
Banco Itau - Feito Para Voce - Microsoft Internet Explorer
Banco Itau - Feito Para Voce - Mozilla Firefox
Banco Itau - Feito Para Voce - Windows Internet Explorer
Bradesco - Google Chrome
Bradesco - Microsoft Internet Explorer
Bradesco - Mozilla Firefox
Bradesco - Windows Internet Explorer
Bradesco Pessoa Juridica - Microsoft Internet Explorer
Bradesco Pessoa Juridica - Windows Internet Explorer
Credicard - Google Chrome
Credicard - Mozilla Firefox
Entrar - Google Chrome
Entrar - Microsoft Internet Explorer
Entrar - Mozilla Firefox
Entrar - PayPal - Google Chrome
Entrar - PayPal - Microsoft Internet Explorer
Entrar - PayPal - Mozilla Firefox
Entrar - PayPal - Windows Internet Explorer
Entrar - Windows Internet Explorer
HSBC Bank Brasil S.A. - Banco Multiplo - Google Chrome
HSBC Bank Brasil S.A. - Banco Multiplo - Mozilla Firefox
Hotmail
SICREDI Total Internet - Windows Internet Explorer
Sicredi Total Internet - Microsoft Internet Explorer
Sicredi Total Internet - Windows Internet Explorer
Uniclass - Itau Uniclass - Google Chrome
Uniclass - Itau Uniclass - Internet Explorer
Uniclass - Itau Uniclass - Microsoft Internet Explorer
Uniclass - Itau Uniclass - Mozilla Firefox
Uniclass - Itau Uniclass - Windows Internet Explorer
[bb.com.br] - Mozilla Firefox
Internet Explorerが次のサイトへのアクセスに使用されているときにさまざまな情報を収集します。
banrisul.com.br/brb/
facebook.com/
http://www.itau.com.br/index.htm
http://www.santanderempresarial.com.br/
https://accounts.google.com/ServiceLogin
https://www.credicard.com.br/BRGCB/JSO/signon/DisplayUsernameSignon.do
https://www2.bancobrasil.com.br/aapf/login.jsp?aapf.IDH=sim&perfil=1
https://wwws3.hsbc.com.br/ITE/common/html/hsbc-online.shtml
itau.com.br/itaucard/
serasaexperian.com.br
sicreditotal.com.br
次の偽のダイアログボックスを表示します。
このマルウェアの目的は、ユーザーに個人情報を入力させることです。
次の情報を収集します。
特定のアプリケーション/サービスのログインユーザー名
特定のアプリケーション/サービスのログインパスワード
コンピューター名
ボリュームシリアルナンバー
ネットワークアダプター情報
収集された情報は次のファイルに保存されます。
c:\%computername%.txt
収集した情報をリモートのコンピューターに送信しようとします。
7つのURLを保持しています。通信にはHTTPプロトコルとFTPプロトコルが使用されます。
■その他の情報
このトロイの木馬は、次の命令を実行します。
cmd /k del "C:\Arquivos de programas\GbPlugin\." /q
cmd /k rd "%ProgramFiles%\GbPlugin"
cmd /k del "C:\Program Files (x86)\GbPlugin\." /q
cmd /k rd "C:\Program Files (x86)\GbPlugin"
次の命令を実行する場合があります。
net.exe stop sharedaccess
netsh advfirewall set currentprofile state off
cmd /k regedit /s c:\registros.reg
cmd /k taskkill -f /im GbpSv.exe /im explorer.exe
cmd /k c:\Permissao.exe -i -s c:\setreg.cmd
cmd /k c:\Morre.exe -t winlogon.exe
次のファイルを削除する場合があります。
C:\Arquivos de programas\GbPlugin\gbiehcef.dll
C:\Program Files (x86)\GbPlugin\gbiehcef.dll
C:\Arquivos de programas\GbPlugin\gbieh.dll
C:\Program Files (x86)\GbPlugin\gbieh.dll
C:\Arquivos de programas\GbPlugin\gbiehabn.dll
C:\Program Files (x86)\GbPlugin\gbiehabn.dll
C:\Arquivos de programas\GbPlugin\gbiehuni.dll
C:\Program Files (x86)\GbPlugin\gbiehuni.dll
C:\Arquivos de programas\Scpad\scpsssh2.dll
C:\Program Files (x86)\Scpad\scpsssh2.dll
C:\Arquivos de programas\GbPlugin\gbiehscd.dll
C:\Program Files (x86)\GbPlugin\gbiehscd.dll
C:\registros.reg
C:\setreg.cmd
C:\Morre.exe
C:\Permissao.exe
C:\System.exe
次のレジストリーを削除する場合があります。
[HKEY_CLASSES_ROOT\CLSID\{2E3C3651-B19C-4DD9-A979-901EC3E930AF}]
[HKEY_CLASSES_ROOT\CLSID\{3F888695-9B41-4B29-9F44-6B560E464A16}]
[HKEY_CLASSES_ROOT\CLSID\{AF45043F-819C-47CC-9B37-94DBE50A6E63}]
[HKEY_CLASSES_ROOT\CLSID\{C41A1C0E-EA6C-11D4-B1B8-444553540000}]
[HKEY_CLASSES_ROOT\CLSID\{C41A1C0E-EA6C-11D4-B1B8-444553540003}]
[HKEY_CLASSES_ROOT\CLSID\{C41A1C0E-EA6C-11D4-B1B8-444553540007}]
[HKEY_CLASSES_ROOT\CLSID\{C41A1C0E-EA6C-11D4-B1B8-444553540008}]
[HKEY_CLASSES_ROOT\CLSID\{C41A1C0E-EA6C-11D4-B1B8-444553540011}]
[HKEY_CLASSES_ROOT\CLSID\{DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931}]
[HKEY_CLASSES_ROOT\CLSID\{E37CB5F0-51F5-4395-A808-5FA49E399003}]
[HKEY_CLASSES_ROOT\CLSID\{E37CB5F0-51F5-4395-A808-5FA49E399007}]
[HKEY_CLASSES_ROOT\CLSID\{E37CB5F0-51F5-4395-A808-5FA49E399008}]
[HKEY_CLASSES_ROOT\CLSID\{E37CB5F0-51F5-4395-A808-5FA49E399011}]
[HKEY_CLASSES_ROOT\CLSID\{E37CB5F0-51F5-4395-A808-5FA49E399F83}]
[HKEY_CLASSES_ROOT\Gbieh.GbIehObj.1]
[HKEY_CLASSES_ROOT\Gbieh.GbIehObj]
[HKEY_CLASSES_ROOT\Gbieh.GbPluginObj.1]
[HKEY_CLASSES_ROOT\Gbieh.GbPluginObj]
[HKEY_CLASSES_ROOT\GbpDist.GbpDistObj.1]
[HKEY_CLASSES_ROOT\GbpDist.GbpDistObj]
[HKEY_CLASSES_ROOT\Interface\{7827CCC3-0DEB-4CFB-911C-AA777C8826EA}]
[HKEY_CLASSES_ROOT\Interface\{C41A1C0D-EA6C-11D4-B1B8-444553540000}]
[HKEY_CLASSES_ROOT\TypeLib\{04978612-A774-406D-AF1B-F44E2838D72A}]
[HKEY_CLASSES_ROOT\TypeLib\{6B71634C-5867-4D85-BFFE-DF1C322F8B96}]
[HKEY_CLASSES_ROOT\TypeLib\{9CA261C7-D518-4987-B434-10A1B243C8B8}]
[HKEY_CLASSES_ROOT\TypeLib\{AD764BE6-87A7-46A1-8C55-A712D079E749}]
[HKEY_CLASSES_ROOT\TypeLib\{C41A1C01-EA6C-11D4-B1B8-444553540000}]
[HKEY_CLASSES_ROOT\TypeLib\{C41A1C01-EA6C-11D4-B1B8-444553540003}]
[HKEY_CLASSES_ROOT\TypeLib\{C41A1C01-EA6C-11D4-B1B8-444553540007}]
[HKEY_CLASSES_ROOT\TypeLib\{C41A1C01-EA6C-11D4-B1B8-444553540008}]
[HKEY_CLASSES_ROOT\TypeLib\{C41A1C01-EA6C-11D4-B1B8-444553540011}]
[HKEY_CURRENT_CONFIG\System\CurrentControlSet\Enum\ROOT\LEGACY_GBPSV]
[HKEY_CURRENT_USER\Software\GbPlugin]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2E3C3651-B19C-4DD9-A979-901EC3E930AF}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3F888695-9B41-4B29-9F44-6B560E464A16}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A3717295-941D-416F-9384-ED1736729F1C}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AF45043F-819C-47CC-9B37-94DBE50A6E63}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C41A1C0E-EA6C-11D4-B1B8-444553540000}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C41A1C0E-EA6C-11D4-B1B8-444553540003}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C41A1C0E-EA6C-11D4-B1B8-444553540007}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C41A1C0E-EA6C-11D4-B1B8-444553540008}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C41A1C0E-EA6C-11D4-B1B8-444553540011}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E37CB5F0-51F5-4395-A808-5FA49E399003}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E37CB5F0-51F5-4395-A808-5FA49E399007}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E37CB5F0-51F5-4395-A808-5FA49E399008}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E37CB5F0-51F5-4395-A808-5FA49E399011}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E37CB5F0-51F5-4395-A808-5FA49E399F83}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Gbieh.GbIehObj.1]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Gbieh.GbIehObj]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Gbieh.GbPluginObj.1]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Gbieh.GbPluginObj]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\GbpDist.GbpDistObj.1]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\GbpDist.GbpDistObj]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{7827CCC3-0DEB-4CFB-911C-AA777C8826EA}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{C41A1C0D-EA6C-11D4-B1B8-444553540000}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{04978612-A774-406D-AF1B-F44E2838D72A}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{6B71634C-5867-4D85-BFFE-DF1C322F8B96}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{9CA261C7-D518-4987-B434-10A1B243C8B8}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{AD764BE6-87A7-46A1-8C55-A712D079E749}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C41A1C01-EA6C-11D4-B1B8-444553540000}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C41A1C01-EA6C-11D4-B1B8-444553540003}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C41A1C01-EA6C-11D4-B1B8-444553540007}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C41A1C01-EA6C-11D4-B1B8-444553540008}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C41A1C01-EA6C-11D4-B1B8-444553540011}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\GbPluginAbn]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\GbPluginBb]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\GbPluginCef]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\GbPluginScd]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\GbPluginUni]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\\indows NT\CurrentVersion\Winlogon\Notify\GbPluginBb]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\GbPluginCef]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C41A1C0E-EA6C-11D4-B1B8-444553540000}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{E37CB5F0-51F5-4395-A808-5FA49E399F83}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls\C:\WINDOWS\system32\scpLIB.dll]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls\C:\WINDOWS\system32\scpMIB.dll]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls\C:\WINDOWS\system32\scpsssh2.dll]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{E37CB5F0-51F5-4395-A808-5FA49E399F83}]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_GBPKM]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_GBPSV]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_GBPSV]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Hardware Profiles\Current\System\CurrentControlSet\Enum\ROOT\LEGACY_GBPSV]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GbpKm]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GbpSv]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_GBPSV]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_GBPSV]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\GbpKm]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\GbpSv]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GBPKM]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GBPSV]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_GBPSV]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\Current\System\CurrentControlSet\Enum\ROOT\LEGACY_GBPSV]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GbpKm]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GbpSv]
[HKEY_USERS\S-1-5-21-854245398-1708537768-2147221027-1003\Software\GbPlugin]
オペレーティングシステムを再起動させる場合があります。
|
