検出した場合の対処方法
常駐監視を行っている各検査プログラムによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windows のシステムの復元により修復しなければならない可能性があります。
対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。
解説での表記(用語)について
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。
%currentfolder%は、カレントディレクトリを表記しています。
%systemdrive%は、システムドライブを表記しています。
解説
■侵入(インストレーション)について
このトロイの木馬は、自身のコピーを作成しません。
次のWebブラウザーに設定されているホームページを変更します。
Microsoft Internet Explorer
次のレジストリーエントリーを登録します。
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page" = "http://www.9365.info"
[HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]
"(Default)" = "%systemdrive%\Program Files\Internet Explorer\iexplore.exe http://www.9365.info"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]
"(Default)" = "%systemdrive%\Program Files\Internet Explorer\iexplore.exe http://www.9365.info"
次のレジストリーエントリーを登録する場合があります。
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope" = "baidu"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\baidu]
"URL" = "http://www.baidu.com/baidu?tn=flstudios_cb&word={searchTerms}&cl=3&ie=utf-8"
"DisplayName" = "|+|+---"
■その他の情報
このトロイの木馬は、複数のURLを保持しています。そのアドレスからファイルをダウンロードしようとします。
ダウンロードしたファイルを次の場所に保存します。
%currentfolder%\hzsoft\%variable%.exe
%currentfolder%\%variable%.exe
これらのファイルを実行します。通信にはHTTPプロトコルが使用されます。
%variable%には可変の文字列が入ります。
次のフォルダーに保存されたファイルを削除する場合があります。
%currentfolder%
その後、自身をコンピューターから削除します。
|
