検出した場合の対処方法
常駐監視を行っている各検査プログラムによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windowsのシステムの復元により修復しなければならない可能性があります。
対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。
解説での表記(用語)について
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir%と表記しており、インストール時の設定により異なる場合があります。%windir%のサブディレクトリである"System"や"System32"は%system%と表記しています。
%hexvalue%は、16進数の値を表記しています。
解説
■侵入(インストレーション)について
このトロイの木馬は、実行時に次のファイルを作成します。
%windir%\msijeh.exe (110941 B)
%windir%\msijeh.utl
%system%\Machost\Obama signs DADT repeal before big,
emotional crowd.doc (15307 B)
%system%\Machost\config.ini
%system%\Machost\start.bat
%system%\Machost\key.binary
%system%\Machost\log.txt
%system%\Machost\sound.exe (110941 B)
%system%\Machost\Utility.exe (34896 B)
%system%\Machost\test.vbs
次のレジストリを登録します。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{51E24AC2-BA5C-A1E2-12D1-D322A14AA1BD}]
"stubpath" = "%windir%\msijeh.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK\0000\Control]
"*NewlyCreated*" = 0
"ActiveService" = "network"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK\0000]
"Service" = "network"
"Legacy" = 1
"ConfigFlags" = 0
"Class" = "LegacyDriver"
"ClassGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc" = "Network Services"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK]
"NextInstance" = 1
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\network\Enum]
"0" = "Root\LEGACY_NETWORK\0000"
"Count" = 1
"NextInstance" = 1
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\network\Security]
"Security" = %hexvalue%
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\network]
"Type" = 272
"Start" = 2
"ErrorControl" = 1
"ImagePath" = "%system%\Machost\Utility.exe"
"DisplayName" = "Network Services"
"ObjectName" = "LocalSystem"
"Description" = "Microsoft network manager,for security and privileges"
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable" = 0
[HKEY_CURRENT_USER\Software\Adobe\MI]
"mc" = "%windir%\msijeh.exe"
"MIS" = "%windir%\msijeh.utl"
[HKEY_CURRENT_USER\Software\WinRAR SFX]
"C%%WINDOWS%system32%Machost" = "%System%\Machost"
■その他の情報
このトロイの木馬は複数のURLを保持しています。
そのURLからファイルをダウンロードしようとします。
ダウンロードしたファイルを次の場所に保存します。
%windir%\repair\volume.exe
このファイルを実行します。通信にはHTTPプロトコルが使用されます。
次の拡張子を持つファイルをローカルドライブで探します。
*.doc
*.docx
*.xls
*.ppt
*.pps
*.pptx
*.xlsx
*.pdf
*.rtf
見つかったファイルをリモートのコンピュータに送信しようとします。
|
