 |
|
検出した場合の対処方法 |
|
|
常駐監視を行っているAMON、IMON、DMON、EMONによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windows
のシステムの復元により修復しなければならない可能性があります。
|
|
解説での表記(用語)について |
|
|
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir%
と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は
%system% と表記しています。
|
|
解説 |
|
|
■侵入(インストレーション)について
Win32/TrojanProxy.Skopa.B トロイが実行されると、トロイは次のファイル名を使って自分自身を
%temp% へコピーします。
次のファイルをドロップします。
トロイのコードは実行中のプロセスにインジェクトします。また、トロイは、システムが開始される毎に実行できるよう、トロイは次のレジストリを修正します。
| |
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"
Firewall auto setup" = "%temp%\winlogon.exe" |
さらに、次のレジストリにキーを登録します。
| |
HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\Desktop\host |
| |
HKET_CURRENT_USER\Software\Microsoft\Internet
Explorer\Security\host |
トロイは、次のレジストリの修正をします。
| |
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
次のファイルが削除されます。
| |
%system%\drivers\etc\hosts |
■その他の情報
トロイは、インターネットからダウンロードした指示に従い電子メールメッセージを送信します。
トロイは、 rootkit のための一般的な技術を使用して、システムにてその存在を隠します。
トロイは、TCP 80番ポートを開けます。
|
