検出した場合の対処方法
常駐監視を行っている各検査プログラムによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windows のシステムの復元により修復しなければならない可能性があります。
対象のファイルが身に覚えのないファイル名の場合は、そのファイル自身がウイルスそのものである可能性が高いので、駆除ではなくすべて削除をしてください。これにより2次感染、3次感染を防げます。また、自分が作成したデータ等に感染していた場合は、駆除が可能な場合もありますが、駆除のボタンが押せない状態もしくは駆除しても失敗する場合は、すでに元のデータの戻せない状態までデータが書き換えられている場合もあります。この場合もすべて削除してください。
解説での表記(用語)について
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。
%currentfolder%は、カレントディレクトリを表記しています。 %malwarefilepath%は、マルウェアプログラムまでのパスを表記しています。 %temp%はWindowsオペレーティングシステムのテンポラリディレクトリを表記しています。
解説
■侵入(インストレーション)について
このトロイの木馬は、自身のコピーを作成しません。
次のファイルを作成します。
%temp%\svchost.exe (212992 B)
%currentfolder%\wabfiles.exe (32768 B)
%currentfolder%\kbdus.dll (5632 B)
%currentfolder%\kbdsl.dll (6656 B)
%currentfolder%\kbdsl1.dll (6656 B)
これらのファイルを実行します。
次のレジストリーエントリーを登録します。
[HKEY_CURRENT_USER\Software\Dorgel\General]
"ArchiveAVI" = "%currentfolder%\clip.avi"
"Device" = 0
"MainWndPos" = "10000,10000"
"MotionDetection" = 0
"Preview" = 0
"PreviewPos" = "356,443"
"Reconnect" = 0
"ReconnectTime" = 1
"ShowMsgBoxes" = 1
"TrayIcon" = 1
"AVIChangeInterval" = 0
"Capture" = 1
"FramesPerSecond" = 1
"UseAVI" = 1
[HKEY_CURRENT_USER\Software\Dorgel\StoreEvents\Store]
"CreateDirs" = 0
"Enable" = 1
"File" = "%currentfolder%\img.jpg"
"Interval" = 1
"LogLevel" = 0
"Order" = 1
"ResetTime" = 1
"Type" = 1
[HKEY_CURRENT_USER\Software\Dorgel\CaptionEvents\TextCaption]
"Absolute" = 0
"BackColor" = 0
"Enable" = 1
"File" = ""
"Font" = %binaryvalue%
"ForeColor" = 16777215
"Language" = 27
"MaxLength" = 0
"Order" = 1
"PosHor" = 0
"PosVer" = 0
"Rotate" = 0
"Shadow" = 2
"Text" = "%username% - %F, %T"
"Transparent" = 1
"Type" = 2
■情報の取得
このトロイの木馬は個人情報を盗み出します。
ユーザーのキー入力内容を記録する機能を備えています。
次のファイルにあるさまざまな情報を保持します。
%currentfolder%\klUS.inf
%currentfolder%\klSK.inf
%currentfolder%\wab.inf
%currentfolder%\wabcsv.inf
%currentfolder%\img.jpg
%currentfolder%\clip.avi
%currentfolder%\record.wav
%currentfolder%\ipad.inf
%currentfolder%\ffp.inf
次の情報を収集します。
ネットワークアダプター情報
国
OSのバージョン
ユーザー名
コンピューター名
特定のフォルダーへのパス
メールアドレス
収集した情報をリモートのコンピューターに送信する場合があります。通信にはFTPプロトコルが使用されます。
■その他の情報
このトロイの木馬は、リモートのコンピューターもしくはインターネットからデータや命令を受け取ります。
2つのURLを保持しています。通信にはHTTPプロトコルとFTPプロトコルが使用されます。
次を実行します。
リモートのコンピューターもしくはインターネットからファイルをダウンロードする
実行ファイルを実行する
自身をバージョンアップする
特定のドライブに保存されているファイルの一覧をリモートのコンピューターに送信する
要求されたファイルを送信する
Webカメラから動画/音声を盗み出す
スクリーンショットを作成する
スパムメールを送信する
収集した情報を送信する
次のレジストリーエントリーを登録する場合があります。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%malwarefilepath%" = "%malwarefilepath%:*:Enabled:Microsoft Windows security update"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{6B69306C-6062-4A9B-89A3-591F3F71A04B}" = "v2.10|Action=Allow|Active=TRUE|Dir=Out|App=%malwarefilepath%|Name=Microsoft Windows Adobe Acrobat Reader security update for PDF files"
"{6392B155-9708-4BD1-974D-F654DCC084F7}" = "v2.10|Action=Allow|Active=TRUE|Dir=In|App=%malwarefilepath%|Name=Microsoft Windows Adobe Acrobat Reader security update for PDF files"
"TCP Query User{C893D2C3-AB3B-4F79-86B5-40993CCC8FDE}" = "v2.0|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=%malwarefilepath%|Name=Microsoft Windows Adobe Acrobat Reader security update for PDF files|Desc=Microsoft Windows≪ Adobe Acrobat Reader security update for PDF files|Edge=FALSE|"
"UDP Query User{5E08BA57-D285-4482-9153-0101DFD33055}" = "v2.0|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=%malwarefilepath%|Name=Microsoft Windows Adobe Acrobat Reader security update for PDF files|Desc=Microsoft Windows≪ Adobe Acrobat Reader security update for PDF files|Edge=FALSE|"
これにより、Windowsファイアウォールに例外が設定され、トロイの木馬による通信が許可されます。
|