検出した場合の対処方法
常駐監視を行っている各検査プログラムによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windows のシステムの復元により修復しなければならない可能性があります。
対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。
解説での表記(用語)について
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。
%malwarefilepath%は、マルウェアプログラムまでのパスを表記しています。
解説
■侵入(インストレーション)について
このトロイの木馬は、悪意のある「The Bat!」の拡張機能/プラグインです。
ファイル名に次の文字列が含まれているファイルを探します。
TBPlugin.INI
探し出されたファイルには、次のテキストが書き込まれます。
[Plugins]
Count = %variable%
Plugin #%variable% = %malwarefilepath%
%variable%には可変の文字列が入ります。
次のレジストリーエントリーを登録する場合があります。
[HKEY_CURRENT_USER\Software\Classes\CLSID\-{49CBB1C6-97D1-485A-9EC1-A26065633066}]
"(Default)" = "Mail Plugin"
[HKEY_CURRENT_USER\Software\Classes\CLSID\-{49CBB1C7-97D1-485A-9EC1-A26065633066}]
"(Default)" = "Mail Plugin"
[HKEY_CURRENT_USER\Software\Classes\CLSID\-{49CBB1C6-97D1-485A-9EC1-A26065633066}\InprocServer32]
"(Default)" = "%malwarefilepath%"
"ThreadingModel" = "Apartment"
[HKEY_CURRENT_USER\Software\Classes\CLSID\-{49CBB1C7-97D1-485A-9EC1-A26065633066}\InprocServer32]
"(Default)" = "%malwarefilepath%"
"ThreadingModel" = "Apartment"
[HKEY_CURRENT_USER\Software\Classes\CLSID\-{1C82EAD9-508E-11D1-8DCF-00C04FB951F9}\TreatAs]
"(Default)" = "{49CBB1C6-97D1-485A-9EC1-A26065633066}"
[HKEY_CURRENT_USER\Software\Classes\CLSID\-{84DA0A92-25E0-11D3-B9F7-00C04F4C8F5D}\TreatAs]
"(Default)" = "{49CBB1C7-97D1-485A-9EC1-A26065633066}"
■情報の取得
このトロイの木馬は、次のアプリケーションに関する情報を収集します。
Microsoft Outlook
Microsoft Outlook Express
The Bat!
次の情報を収集します。
電子メールのメッセージ
電子メールアカウントのデータ
収集された情報は次のファイルに保存されます。
%malwarefilefolder%\SPUNINST\mswmpdat.tlb
■その他の情報
このトロイの木馬は、通常は別のマルウェアの一部です。
|
