検出した場合の対処方法
常駐監視を行っている各検査プログラムによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windowsのシステムの復元により修復しなければならない可能性があります。
対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。
解説での表記(用語)について
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir%と表記しており、インストール時の設定により異なる場合があります。%windir%のサブディレクトリである"System"や"System32"は%system%と表記しています。
%malwarepath%は、マルウェアプログラムまでのパスを表記しています。
解説
■侵入(インストレーション)について
このトロイの木馬は、実行時に次のファイル名のいずれかを使用して自身を%windir%\debugフォルダーにコピーします。
arch32.exe
arch64.exe
arch86.exe
awrac.exe
bdldrc.exe
bmhost.exe
camlon.exe
clhost.exe
cmdpromt.exe
cmnfig.exe
cmsdr.exe
comfsr.exe
corp32.exe
corp64.exe
corp86.exe
cortgh.exe
coslet.exe
cosp32.exe
cosp64.exe
cosp86.exe
dhbin.exe
drkhim.exe
dtcom.exe
dtkom.exe
dtlght.exe
dtmon.exe
dtsumm.exe
exp.exe
fcogn.exe
fdnip.exe
fipst.exe
frmv.exe
ftop.exe
furw.exe
glkop.exe
gmfeel.exe
gmfill.exe
gmmchn.exe
gmmp.exe
gtpr.exe
hil32.exe
hlspool.exe
ivhg32.exe
ivhg64.exe
ivhg86.exe
javaupr.exe
jptt.exe
jvcons.exe
jvtune.exe
lpldd.exe
lsas.exe
lsm32.exe
lss32.exe
lss64.exe
lss86.exe
mdhost.exe
mhost.exe
micq.exe
mngop.exe
mrmp.exe
nghome.exe
nlpoos.exe
prntspl.exe
rdstuf.exe
rglom.exe
rmdos.exe
sdbun.exe
sfvin.exe
slmon.exe
snbse.exe
splkrv.exe
spoolsrv.exe
sqtvr.exe
srlik.exe
surv86.exe
suvr32.exe
suvr64.exe
svchost.exe
svghost.exe
tilld.exe
tprint.exe
upd32.exe
upd64.exe
upd86.exe
uphost.exe
vglhw.exe
vnflop.exe
vodlih.exe
vrmchn.exe
vsdcom.exe
vtpoll32.exe
vtpool64.exe
vtpool86.exe
winbpl.exe
windf.exe
winflx.exe
wingkp.exe
winmon.exe
winvnt.exe
winvr.exe
次の名前を使用して自身をシステムサービスとして登録します。
Advanced Driver Reservuation
次のレジストリーを登録する場合があります。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Darkness" = "%malwarepath%"
これにより、システムが起動するたびに実行されるようになります。
次のレジストリーを登録する場合があります。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
SharedAccess\Parameters\FirewallPolicy\StandardProfile\
AuthorizedApplications\List]
"%malwarepath%" = "%malwarepath%:*:Enabled:KL"
これにより、Windowsファイアウォールに例外が設定され、トロイの木馬による通信が許可されます。
次のレジストリーを削除する場合があります。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
■情報の取得
このトロイの木馬は、次の情報を収集します。
特定のアプリケーション/サービスのログインユーザー名
特定のアプリケーション/サービスのログインパスワード
次のアプリケーションに関する情報を収集します。
Total Commander
FlashFXP
FileZilla
WS_FTP
QIP
CuteFTP
The Bat!
Microsoft Internet Explorer
Mozilla Firefox
Opera
収集された情報は次のファイルに保存されます。
%windir%\Debug\result.dark
■その他の情報
このトロイの木馬は、リモートのコンピューターもしくはインターネットからデータや命令を受け取ります。
次を実行します。
リモートのコンピューターもしくはインターネットからファイルをダウンロードする
実行ファイルを実行する
DoS/DDoS攻撃を仕掛ける
プロキシサーバーを設定する
収集した情報を送信する
|