|
|
検出した場合の対処方法 |
|
|
常駐監視を行っているAMON、IMON、DMON、EMONによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windows
のシステムの復元により修復しなければならない可能性があります。
|
|
解説での表記(用語)について |
|
|
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir%
と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は
%system% と表記しています。
|
|
解説 |
|
|
■侵入(インストレーション)について
Win32/TrojanClicker.Small.KJ トロイが実行されると、トロイは次のファイル名を使って自分自身を
%windir% へコピーします。
|
svchost.exe
service32.exe |
そのほかのファイルは、同じフォルダにドロップします。そのファイル名は次のうちのいずれかです。
|
scrss32.dll
spoolsv32.dll
syshost.dll
syst32.dll |
ファイルサイズはおよそ5Kバイトです。
トロイは、システムが開始される毎に実行できるよう、トロイは次のレジストリを修正します。
|
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] |
この場所に実行可能なトロイが登録されます。
■その他の情報
トロイは、URLのリストを含みます。エクスプローラを使用してオープンします。
トロイは、次のライブラリのいくつかの機能を修正することにより、システムでその存在を隠そうとします。
|