 |
|
検出した場合の対処方法 |
|
|
対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。
|
|
解説での表記(用語)について |
|
|
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir%
と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は
%system% と表記しています。
|
|
解説 |
|
|
■侵入(インストレーション)について
Win32/Spy.BZub.NAC トロイが実行されると、次のファイルが、
%windir% へドロップされます。
このプログラムは、Internet Explorer用のブラウザヘルパーオブジェクトです。プログラムサイズは、60928バイトあります。
次のレジストリの登録をします。
- [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{73364D99-1240-4dff-B11A-67E448373048}]
- [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73364D99-1240-4dff-B11A-67E448373048}\InprocServer32]
(Default) = "%system%\ipv6mons.dll"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73364D99-1240-4dff-B11A-67E448373048}\InprocServer32]
"
ThreadingModel" = "apartment"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73364D99-1240-4dff-B11A-67E448373048}\InprocServer32]
"
Enable Browser Extensions" = "yes"
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\List]
" C:\Program Files\Internet Explorer\IEXPLORE.EXE" = "C:\Program
Files\Internet Explorer\IEXPLORE.EXE:*:Enabled:Internet
Explorer
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control
Panel\loadnet_insll]
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control
Panel\load\worg]
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control
Panel\load\cmpid]
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control
Panel\load\forwas]
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control
Panel\load\h]
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control
Panel\load\nw]
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control
Panel\load\wspopp]
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\browser
helper obJects\{73364D99-1240-4dff-B11A-67E448373048}]
|
■情報の盗難について
トロイは、Internet Explorerが次のサイトにアクセスするのに用いられている時に、いろいろな情報を集めます。
| |
- app/ueberweisung.input.do
- app/ueberweisung.prep.do
- banking.postbank.de
- banking.postbank.de/app/finanzstatus.reduziert.init.do
- banking.postbank.de/app/kontoumsatz.umsatz.init.do
- banking.postbank.de/app/legitimation.input.do
- banking.postbank.de/app/ueberweisung.quittung.do
- e-gold.com/acct/acct.asp
- https://*.netbank.commbank.com.au/netbank/bankmain
- https://banking.postbank.de/app/finanzstatus.init.do
- https://banking.postbank.de/app/kontoumsatz.umsatz.init.do
- https://banking.postbank.de/app/welcome.do
- https://signin.ebay*/ws/eBayISAPI.dll
- postbank.de
|
いくつかの情報は、ローカルファイルでも見つかり、次の情報が集められます。
| |
- パスワード
- 訪れたURL
- HTML フォームのコンテンツ
- コンピュータ名
- コンピュータの IP アドレス
- Outlook Express アカウントのデータ
- デジタル署名
|
データは、次のファイルで %system% フォルダに保存されます。
| |
- form.txt
- info.txt
- shot.html
|
このトロイは、情報をリモートマシンにアップロードすることができます。そのとき、FTPプロトコルが使われます。
■その他の情報
トロイは、Cドライブの全てのファイルおよび様々なプログラムファイルを削除しようとする可能性があります。
|
