製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:C
ウイルス情報
ウイルス情報

ウイルス名
CountY2K
トロイの木馬CountY2Kへの対応のお知らせ(99/9/17)

CountY2Kというマイクロソフト・サポートセンターを装ったトロイの木馬が発見されましたので、対応につきご報告いたします。なお、このトロイの木馬はまだ日本での被害報告はありません(弊社調べ)。


予防方法

下記のような内容の電子メールが届いた場合は、すぐに削除してください。添付ファイルを実行しないでください。


トロイの木馬情報

CountY2Kファミリは、通常、電子メールの添付ファイルの形で繁殖します。その電子メールはマイクロソフトから届いたかのように装っています。添付ファイル名は通常、"Y2KCOUNT.EXE"となります。ファイルサイズは、124,885バイトです。メールのテキスト内容は以下のようになります。

From: support@microsoft.com

Sender: support@microsoft.com
Received: from Microsoft (stara65.pip.digsys.bg [193.68.4.65])
Subject: Microsoft Announcement
Date: Wed, 15 Sep 1999 00:49:57 +0200

To All Microsoft Users,
We are excited to announce Microsoft Year 2000 Counter.

Start the countdown NOW.
Let us all get in the 21 Century.
Let us lead the way to the future and we will get YOU there FASTER and SAFER.

Thank you,
Microsoft Corporation


support@microsoft.comより。

マイクロソフトユーザーの皆様へ。
Microsoft Year 2000 Counterのご案内です。

今すぐカウントダウンを始めましょう。
21世紀へ共に歩みだしましょう。
貴方が素早くしかも安全に未来へ進めるようマイクロソフトがお手伝いいたします。

マイクロソフト社

添付されているのは、自己解凍型アーカイブファイルです。これが実行された場合、偽りのエラー・メッセージボックスが表示されます。メッセージボックスの内容は以下のとおりです。

Password protection error or invalid CRC32!

この実行ファイルは、以下のファイルを含むWinZip自己解凍ファイルです。

Project1.exe
file001.dat
file002.dat
file003.dat
file004.dat

Project1.exeは、自己解凍ファイルノ実行後、自動的に実行されます。このプログラムは、上記4つの.DATファイルをWINDOWS/SYSTEMフォルダに以下の名称でコピーします。

Proclib.exe
Proclib.dll
Proclib16.dll
ntsvsrv.dll
Nlhvld.dll

続いてProject1.exeは、"ntsvsrv.dll"を、SYSTEM.INIの[BOOT]セクション内の'drivers = '行の後に追加します。これにより次回起動時にはトロイの木馬が起動するようになります。この時、WINDOWS/SYSTEM内のWSOCK32.DLLがNlhvld.dllにリネームされます。さらにProcib16.dllがWSOCK32.DLLにコピーされます。

この時点でトロイの木馬によるインターネット接続への中間介入が可能になります。接続がオープンされるたびに、ファイルprocib.exeが起動することになります。

このトロイの木馬の目的は、ユーザーネームとパスワードを中間検知し、トロイの木馬の作者のもとへ送り込むことにあるようです。


検出方法

エンジンバージョン4以上の場合
最新のDATファイル(4047以降)を使えば検出が可能です。
DATファイルのダウンロード


  • エンジンバージョンの見分け方

  • * *: Ver3 DATでは対応していません。


    手作業による駆除方法

    1. SYSTEM.INIの[BOOT]セクション内の'drivers = '行を編集して、ファイル名ntsvsrv.dllを削除してください。

    2. システムを再起動してください。この時、インターネット・アプリケーションをロードしないようにしてください。ロードしないようにしておけばWSOCK32.DLLがメモリに読み込まれることはないので、同ファイルのリネームが可能になります。

    3. WINDOWS\SYSTEM\Nlhvld.dllをWINDOWS\SYSTEM\WSOCK32.DLL. に上書きコピーしてください。ファイル上書きの確認を取るメッセージが出た場合は「はい」と答えてください。「ファイルが使用中である」というエラーメッセージが出た場合、それはWSOCK32.DLLが既にメモリにロードされているということです。この場合はインターネット・アプリケーションとネットワーク・アプリケーションをすべて無効化し、(あるいはクリーンなFDからシステムを再起動し)、上書きコピーに成功するまで、本手順を試行してください。

    4. 以下のファイルをWINDOWS\SYSTEMから削除してください。

      Proclib.exe
      Proclib.dll
      Proclib16.dll
      ntsvsrv.dll
      Nlhvld.dll


    Proclib.exe, Proclib.dll, Proclib16.dll, ntsvsrv.dll は"Count2K trojan"という名前で検出されます。オリジナルの"Y2KCount.exe"添付ファイルは"Count2K.sfx"という名前で検出されます。"Project1.exe"は"Count2K.dr"という名前で検出されます。