■侵入(インストレーション)について
Win32/TrojanDropper.Agent.DGO トロイが実行されると、自分自身を次の場所へコピーします。
![](/files/user/html/info/virusinfo/common/img/dummy.gif) |
C:\WINDOWS\system32\sstts.exe |
また、同じ場所に次のファイルをドロップします。
![](/files/user/html/info/virusinfo/common/img/dummy.gif) |
sstts.dll (Win32/Adware.Virtumonde.FP)
sttss.ini
sttss.ini2 |
すべての実行中のプロセスに対して、次のライブラリがインジェクトされます。
![](/files/user/html/info/virusinfo/common/img/dummy.gif) |
sstts.dll |
感染ファイルが毎回実行できるようにするために、次のレジストリが登録されます。
![](/files/user/html/info/virusinfo/common/img/dummy.gif) |
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load" = "C:\WINDOWS\system32\sstts.exe" |
さらに、次のレジストリが登録されます。
![](/files/user/html/info/virusinfo/common/img/dummy.gif) |
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"GlobalUserOffline" = 1
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Authentication Packages" = "msv1_0 C:\WINDOWS\system32\sstts.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\SYSTEM\CurrentVersion\Explorer\Browser Helper Objects]
"{%variable CLSID%}"(※)
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{%variable CLSID%}\InprocServer32]
"(Default)" = "C:\WINDOWS\system32\sstts.exe"
"ThreadingModel" = "Both"
※ %variable CLSID%には、さまざまなCLSID用コードが入ります。 |
■実行可能なファイルの感染について
アドウェアは、実行ファイルに感染します。ホストファイルは、トロイが元のコードが実行される前に、感染コードが実行できるよう施します。アドウェアは、元のコードを浸入のリソース部分に付け加えることによって、ファイルに影響を与えます。
これにより感染したファイルが実行されると、オリジナルプログラムは一時ファイルにドロップされて動作します。
■その他の情報
アドウェアは、取り除く必要がある脅威が検出された危険にさらされているコンピュータとして、警告を鳴らしてインターネットブラウザーのダイアログを表示します。
そのダイアログは、以下のものになります。
![](/files/user/html/info/virusinfo/common/img/dummy.gif) |
サンプル(1)
![](../dropper_agent_1.gif)
サンプル(2)
![](../dropper_agent_2.gif)
サンプル(3)
![](../dropper_agent_3.gif)
サンプル(4)
![](../dropper_agent_4.gif)
サンプル(5)
![](../dropper_agent_5.gif)
サンプル(6)
![](../dropper_agent_6.gif)
サンプル(7)
![](../dropper_agent_7.gif)
サンプル(8)
![](../dropper_agent_8.gif)
ダウンロードされたプログラムは、合法的で役に立つように見せようとします。これらのプログラムのゴールは、ユーザーにこれらのプログラムを購入することを促すことになっています。
サンプル(9)
![](../dropper_agent_9.gif) |
アドウェアの登録の間、ユーザーは次のインターネットウェブサイトのうちのいずれかリダイレクトされる場合があります。
![](/files/user/html/info/virusinfo/common/img/dummy.gif) |
http://www.antivirussecuritypro.com
http://www.drivecleaner.com
http://www.systemdoctor.com
http://www.winantivirus.com
http://www.winantiviruspro.com
http://www.sysprotect.com
http://www.errorprotector.com
http://www.amaena.com
http://www.winantispyware.com
http://www.errorsafe.com
http://www.winfirewall.com
http://www.winpopupguard.com
http://www.winantispy.com
http://www.windrivecleaner.com
http://www.stopguard.com
http://www.virusguard.com
http://www.winfixer.com |
アドウェアは、リモート先のコンピュータもしくはインターネットからデータと命令を送られます。アドウェアは、URLのリストを含んでおり、HTTPプロトコルを利用してコミュニケーションに使われます。
アドウェアは、次のレジストリを登録する場合があります。
![](/files/user/html/info/virusinfo/common/img/dummy.gif) |
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\FCOVM]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\RemoveRP] |
アドウェアは、次のプロセスの作用を変えます。
![](/files/user/html/info/virusinfo/common/img/dummy.gif) |
lsass.exe
ad-aware.exe
wrsssdk.exe
hijackthis.exe
firefox.exe
mozilla.exe |
|