キヤノンITソリューションズ：NOD32 アンチウイルス：Win32/TrojanDropper.Agent.DGO


最新ウイルス定義ファイルバージョン : 12381 (2015/10/09 17:02)

最新ウイルス情報 : Win32/TrojanDropper.Agent.DGO	公開日：2008年03月24日
このウイルスに関する危険度 :■■□□□

定義名称	Win32/TrojanDropper.Agent.DGO
シグネチャ検査による結果だった場合	Win32/TrojanDropper.Agent.DGO トロイ
種別	トロイの木馬
別名	Trojan-Dropper.Win32.Agent.dgo (Kaspersky), W32.Trats!inf (Symantec), W32/Trats virus (McAfee)
アドバンスドヒューリスティック検査による結果だった場合	このオリジナルのウイルスを利用した新種、亜種が検出された場合は、「NewHeur_PE」もしくは「Win32/TrojanDropper.Agent の亜種」という名称で警告が出ます。
影響を受けるプラットフォーム	Microsoft Windows
概要	Win32/TrojanDropper.Agent.DGO トロイは、Win32/Adware.Virtumonde.FP アドウェアをインストールするトロイです。

検出した場合の対処方法

常駐監視を行っているAMON、IMON、DMON、EMONによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windows のシステムの復元により修復しなければならない可能性があります。

対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。

解説での表記(用語)について

以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。

解説

■侵入(インストレーション)について

Win32/TrojanDropper.Agent.DGO トロイが実行されると、自分自身を次の場所へコピーします。

C:\WINDOWS\system32\sstts.exe

また、同じ場所に次のファイルをドロップします。

sstts.dll (Win32/Adware.Virtumonde.FP)
sttss.ini
sttss.ini2

すべての実行中のプロセスに対して、次のライブラリがインジェクトされます。

sstts.dll

感染ファイルが毎回実行できるようにするために、次のレジストリが登録されます。

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load" = "C:\WINDOWS\system32\sstts.exe"

さらに、次のレジストリが登録されます。

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"GlobalUserOffline" = 1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Authentication Packages" = "msv1_0 C:\WINDOWS\system32\sstts.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\SYSTEM\CurrentVersion\Explorer\Browser Helper Objects]
"{%variable CLSID%}"(※)

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{%variable CLSID%}\InprocServer32]
"(Default)" = "C:\WINDOWS\system32\sstts.exe"
"ThreadingModel" = "Both"

※ %variable CLSID%には、さまざまなCLSID用コードが入ります。

■実行可能なファイルの感染について

アドウェアは、実行ファイルに感染します。ホストファイルは、トロイが元のコードが実行される前に、感染コードが実行できるよう施します。アドウェアは、元のコードを浸入のリソース部分に付け加えることによって、ファイルに影響を与えます。

これにより感染したファイルが実行されると、オリジナルプログラムは一時ファイルにドロップされて動作します。

■その他の情報

アドウェアは、取り除く必要がある脅威が検出された危険にさらされているコンピュータとして、警告を鳴らしてインターネットブラウザーのダイアログを表示します。

そのダイアログは、以下のものになります。

サンプル(1)

サンプル(2)

サンプル(3)

サンプル(4)

サンプル(5)

サンプル(6)

サンプル(7)

サンプル(8)

ダウンロードされたプログラムは、合法的で役に立つように見せようとします。これらのプログラムのゴールは、ユーザーにこれらのプログラムを購入することを促すことになっています。

サンプル(9)

アドウェアの登録の間、ユーザーは次のインターネットウェブサイトのうちのいずれかリダイレクトされる場合があります。

http://www.antivirussecuritypro.com
http://www.drivecleaner.com
http://www.systemdoctor.com
http://www.winantivirus.com
http://www.winantiviruspro.com
http://www.sysprotect.com
http://www.errorprotector.com
http://www.amaena.com
http://www.winantispyware.com
http://www.errorsafe.com
http://www.winfirewall.com
http://www.winpopupguard.com
http://www.winantispy.com
http://www.windrivecleaner.com
http://www.stopguard.com
http://www.virusguard.com
http://www.winfixer.com

アドウェアは、リモート先のコンピュータもしくはインターネットからデータと命令を送られます。アドウェアは、URLのリストを含んでおり、HTTPプロトコルを利用してコミュニケーションに使われます。

アドウェアは、次のレジストリを登録する場合があります。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\FCOVM]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\RemoveRP]

アドウェアは、次のプロセスの作用を変えます。

lsass.exe
ad-aware.exe
wrsssdk.exe
hijackthis.exe
firefox.exe
mozilla.exe