検出した場合の対処方法
常駐監視を行っている各検査プログラムによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windowsのシステムの復元により修復しなければならない可能性があります。
対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。
解説での表記(用語)について
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir%と表記しており、インストール時の設定により異なる場合があります。%windir%のサブディレクトリである"System"や"System32"は%system%と表記しています。
%appdata%は、マイドキュメント以下のApplication Dataディレクトリを表記しています。 %drive%には、任意のドライブ名が入ります。 %temp%はWindowsオペレーティングシステムのテンポラリディレクトリを表記しています。 %systemroot%は、オペレーティングシステムがインストールされたディレクトリを表記しています。
解説
■侵入(インストレーション)について
このトロイの木馬は、実行時に自身を次の場所にコピーします。
%systemroot%\System32\wbem\wmiqry32.dll
%systemroot%\System32\wbem\wmihlp32.dll
システムが起動するたびに実行されるよう、次のレジストリーエントリーを登録します。
[HKEY_CLASSES_ROOT\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32]
次のプロセスに自身のプログラムコードを挿入して新たなスレッドを作成、実行する場合があります。
svchost.exe
explorer.exe
Windowsファイアウォールに例外を設定して、遮断されないようにします。
実行中のプロセスの名前に次の文字列のいずれかが含まれている場合は、直ちに活動を停止します。
abcd.exe
acs.exe
adoronsfirewall.exe
alertwall.exe
ALMon.exe
ALsvc.exe
alupdate.exe
AntiHook.exe
app_firewall.exe
apvxdwin.exe
armorwall.exe
as3pf.exe
asr.exe
aupdrun.exe
authfw.exe
avas.exe
avcom.exe
avkproxy.exe
avkservice.exe
avktray.exe
avkwctl.exe
avkwctrl.exe
avmgma.exe
avp.exe
avtask.exe
aws.exe
backgroundscanclient.exe
bgctl.exe
bgnt.exe
blackd.exe
blackice.exe
blinksvc.exe
bootsafe.exe
bullguard.exe
CavApp.exe
cavasm.exe
CavAUD.exe
CavCons.exe
CavEmSrv.exe
Cavmr.exe
CavMud.exe
Cavoar.exe
CavQ.exe
CavSn.exe
CavSub.exe
CavUMAS.exe
CavUserUpd.exe
Cavvl.exe
cdas17.exe
cdas2.exe
cdinstx.exe
CEmRep.exe
clamd.exe
CMain.exe
cmdagent.exe
cmgrdian.exe
configmgr.exe
configuresav.exe
cpd.exe
csi-eui.exe
CV.exe
DCSUserProt.exe
dfw.exe
dlservice.exe
dltray.exe
dvpapi.exe
emlproui.exe
emlproxy.exe
endtaskpro.exe
espwatch.exe
Ethereal.exe
fameh32.exe
fch32.exe
fgui.exe
filedeleter.exe
filemon.exe
firewall.exe
firewall2004.exe
firewallgui.exe
fsar32.exe
fsav32.exe
fsdfwd.exe
fsgk32.exe
fsgk32st.exe
fsguidll.exe
fshdll32.exe
fsm32.exe
fsma32.exe
fsmb32.exe
fsorsp.exe
fspc.exe
fsqh.exe
fsrt.exe
fssm32.exe
fsus.exe
fwsrv.exe
gateway.exe
GDFirewallTray.exe
GDFwSvc.exe
GDScan.exe
gsava.exe
gssm32.exe
hpf_.exe
iface.exe
InstLsp.exe
invent.exe
ipatrol.exe
ipcserver.exe
ipctray.exe
kpf4gui.exe
kpf4ss.exe
licwiz.exe
livehelp.exe
lookout.exe
lpfw.exe
mpf.exe
mpfcm.exe
Netcap.exe
Netguard Lite.exe
netguardlite.exe
Netmon.exe
nstzerospywarelite.exe
oasclnt.exe
omnitray.exe
OnAccessInstaller.exe
onlinent.exe
opf.exe
opfsvc.exe
op_mon.exe
outpost.exe
Packetizer.exe
Packetyzer.exe
pcipprev.exe
pctav.exe
pctavsvc.exe
pcviper.exe
persfw.exe
pfft.exe
pgaccount.exe
prevxcsi.exe
prifw.exe
privatefirewall 3.exe
privatefirewall3.exe
procguard.exe
procmon.exe
protect.exe
pxagent.exe
rawshark.exe
RDTask.exe
rtt_crc_service.exe
sab_wab.exe
sagui.exe
SAVAdminService.exe
savcleanup.exe
savcli.exe
savmain.exe
savprogress.exe
SavService.exe
scfmanager.exe
scfservice.exe
schedulerdaemon.exe
sdcdevcon.exe
sdcdevconIA.exe
sdcdevconx.exe
sdcservice.exe
sdtrayapp.exe
siteadv.exe
sndsrvc.exe
Sniffer.exe
snsmcon.exe
snsupd.exe
SoftAct.exe
spfirewallsvc.exe
sppfw.exe
spybotsd.exe
SpyHunter3.exe
spywareterminatorshield.exe
spywat~1.exe
sp_rsser.exe
ssupdate.exe
SUPERAntiSpyware.exe
Tcpdump.exe
terminet.exe
Tethereal.exe
THGuard.exe
tppfdmn.exe
tscutynt.exe
tshark.exe
tzpfw.exe
umxagent.exe
umxtray.exe
updclient.exe
UUpd.exe
uwcdsvr.exe
VCATCH.exe
vdtask.exe
VSDesktop.exe
vsmon.exe
webwall.exe
Windump.exe
winroute.exe
Wireshark.exe
wwasher.exe
xauth_service.exe
xfilter.exe
zanda.exe
zapro.exe
zerospywarele.exe
zerospywarelite_installer.exe
zlclient.exe
zlh.exe
■情報の取得
このトロイの木馬は、パスワードなどの個人情報を盗み出します。
次の情報を収集します。
コンピューター名
オペレーティングシステムのバージョン
ネットワークアダプター情報
特定のアプリケーション/サービスのログインパスワード
特定のアプリケーション/サービスのログインユーザー名
オペレーティングシステムとシステム設定に関する情報
コンピューターのIPアドレス
実行中のプロセスの一覧
最近アクセスしたURLの一覧
cookie
Internet Explorerのバージョン
特定のドライブ内のファイル/フォルダーの一覧
ハードウェア情報
特定のフォルダーへのパス
ネットワークパラメーター
収集された情報は次のファイルに保存されます。
%temp%\~shw.tmp
%windir%\temp\~ZM6AD3.tmp
%drive%\.thumbs.db
%temp%\md.bak
%systemroot%\Temp\s61cs3.dat
%systemroot%\Temp\ws1bin.dat
収集した情報をリモートのコンピューターに送信しようとします。
■リムーバブルメディアへの感染について
このトロイの木馬は、自身のコピーをリムーバブルドライブに作成する場合があります。
次のファイルを作成する場合があります。
%drive%\system32.dat (Win32/Spy.Gauss.A, 430080 B)
%drive%\system32.bin (Win32/Spy.Gauss.A, 681984 B)
%drive%\.Backup0%variable%\target.lnk
%drive%\.Backup0%variable%\desktop.ini
%drive%\.Backup00%variable%\target.lnk
%drive%\.Backup00%variable%\desktop.ini
%variable%は、「D」、「E」、「F」、「G」、「H」、「I」、「J」、「K」、「L」、「M」のいずれかの文字になります。
■その他の情報
このトロイの木馬は、インターネットに接続されているかどうかを確認するため、次のURLへの接続を試みます。
www.google.com
www.update.windows.com
インターネットからファイルをダウンロードする場合があります。
4つのURLを保持しています。通信にはHTTPSプロトコルが使用されます。
次のファイルを作成する場合があります。
%systemroot%\fonts\pldnrfn.ttf
%appdata%\Mozilla\firefox\Profiles\%profile%.default\extensions\{a288cad4-7b24-43f8-9f4d-8e156305a8bc}\browser.js
%appdata%\Mozilla\firefox\Profiles\%profile%.default\extensions\{a288cad4-7b24-43f8-9f4d-8e156305a8bc}\browser.xul
%appdata%\Mozilla\firefox\Profiles\%profile%.default\extensions\{a288cad4-7b24-43f8-9f4d-8e156305a8bc}\fileio.js
%appdata%\Mozilla\firefox\Profiles\%profile%.default\extensions\{a288cad4-7b24-43f8-9f4d-8e156305a8bc}\chrome.manifest
%appdata%\Mozilla\firefox\Profiles\%profile%.default\extensions\{a288cad4-7b24-43f8-9f4d-8e156305a8bc}\lppd.dat
%appdata%\Mozilla\firefox\Profiles\%profile%.default\extensions\{a288cad4-7b24-43f8-9f4d-8e156305a8bc}\install.rdf
次のレジストリーエントリーを登録する場合があります。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Fonts]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Reliability]
[HKEY_CURRENT_USER\Control Panel\Desktop]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings]
[SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings]
%variable1-3%には可変の文字列が入ります。
次のWindows APIをフックして、入力データやメッセージを横取りします。
NtQueryDirectoryFile (ntdll.dll)
|