McAfee for Small Businesses

ウイルス名 危険度 MultiDropper-TR 企業ユーザ: 低 個人ユーザ: 低 種別 トロイの木馬 最小定義ファイル (最初に検出を確認したバージョン) 5959 対応定義ファイル (現在必要とされるバージョン) 5960　（現在7109) 対応エンジン 5.2.00以降　(現在5.4.00)　 エンジンバージョンの見分け方 別名 Kaspersky - Trojan.Win32.Agent.dhxd Microsoft - Worm:Win32/Emerleox.gen!A Nod32 - a variant of Win32/HideProc.NA 情報掲載日 2010/04/26 発見日（米国日付） 2010/04/21 駆除補足 ウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 06/16 VBS/LoveLett... 06/16 RDN/AutoRun.... 06/16 RDN/Generic ... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7109  エンジン：5.4.00   ウイルス検索

ウイルスの特徴 TOPに戻る ・実行時、リモートポート80から220.181.[削除].175に接続します。 ・以下の場所に自身をコピーします。 %ProgramFiles%\mos.exe %SystemDrive%\QGS.exe %WinDir%\system32\wuauolt.exe ・また、以下のファイルをドロップ（作成）します。 %SystemDrive%\AutoRun.inf ・以下のレジストリキーがシステムに追加されます。 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} ・以下のレジストリ値がシステムに追加されます。 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe\] “Debugger:” = "ntsd -d" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe\] “Debugger:” = "ntsd -d" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safebox.exe\] “Debugger:” = "ntsd -d" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe\] “Debugger:” = "ntsd -d" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\alogserv.exe\] “Debugger:” = "ntsd -d" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avconsol.exe\] “Debugger:” = "ntsd -d" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe\] “Debugger:” = "ntsd -d" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avsynmgr.exe\] “Debugger:” = "ntsd -d" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe\] “Debugger:” = "ntsd -d" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccRegVfy.exe\] “Debugger:” = "ntsd -d" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DSMain.exe\] “Debugger:” = "ntsd -d" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FYFireWall.exe\] “Debugger:” = "ntsd -d" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KavPFW.exe\] “Debugger:” = "ntsd -d" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPlus.EXE\] “Debugger:” = "ntsd -d" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVStart.exe\] “Debugger:” = "ntsd -d" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVSvc.EXE\] “Debugger:” = "ntsd -d" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KMailMon.EXE\] “Debugger:” = "ntsd -d" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPfwSvc.EXE\] “Debugger:” = "ntsd -d" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPopMon.EXE\] “Debugger:” = "ntsd -d" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KULANSyn.EXE\] “Debugger:” = "ntsd -d" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch.EXE\] “Debugger:” = "ntsd -d" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatchUI.EXE\] “Debugger:” = "ntsd -d" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Navapsvc.exe\] “Debugger:” = "ntsd -d" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NPFMntor.exe\] “Debugger:” = "ntsd -d" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\pfw.exe\] “Debugger:” = "ntsd -d" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe\] “Debugger:” = "ntsd -d" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe\] “Debugger:” = "ntsd -d" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMonD.exe\] “Debugger:” = "ntsd -d" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavStub.exe\] “Debugger:” = "ntsd -d" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe\] “Debugger:” = "ntsd -d" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RAVTIMER.EXE\] “Debugger:” = "ntsd -d" ・上記のレジストリにより、上記のセキュリティソフトウェアが動作しないようにします。 ・以下のレジストリ値が改変されます。 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\] “CheckedValue:” = “0x00000000” ・上記のレジストリ項目により、乗っ取ったユーザが隠しファイルを閲覧できないようにします。 また、以下のレジストリキーの値を改変して、乗っ取ったユーザがシステムファイル、隠しフォルダを表示できないようにします。 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\] "Type:" = "checkbox2" [HKEY_USERS\S-1-(不定)1005\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\] "ShowSuperHidden:" = "0x00000000" ・以下のフォルダ属性が改変されます。 %SystemDrive%\Documents and Settings\All Users\Start Menu\Programs\Startup %WinDir%\system32 ・HOSTSファイルを改変し、以下のURLからIPへのマッピングを組み込み、乗っ取ったユーザが以下の商用サイトにアクセスできないようにします。 127.0.0.1 www.iq123.com 127.0.0.1 www.yijidh.com 127.0.0.1 www.250dh.cn 127.0.0.1 www.223.la 127.0.0.1 www.kuku123.com 127.0.0.1 www.930930.com 127.0.0.1 www.7999.com 127.0.0.1 www.9123.com 127.0.0.1 www.hao123e.com 127.0.0.1 www.020.com 127.0.0.1 www.sosote.com 127.0.0.1 www.uu108.com 127.0.0.1 www.yao.la 127.0.0.1 www.youxi777.com 127.0.0.1 www.1616.net 127.0.0.1 www.1188.com 127.0.0.1 www.9605.com 127.0.0.1 7055.net 127.0.0.1 www.0056.com 127.0.0.1 www.6655.com 127.0.0.1 www.1166.com 127.0.0.1 www.5kip.com 127.0.0.1 www.114xia.com 127.0.0.1 www.pp55.com 127.0.0.1 www.265dh.com 127.0.0.1 www.3567.com 127.0.0.1 www.6565.cn 127.0.0.1 www.666t.com 127.0.0.1 www.9223.com 127.0.0.1 www.dduu.com 127.0.0.1 www.hao123.cn ・また、以下のInternet Explorerのリンクファイルをドロップ（作成）します。 %AppData%\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.lnk %AppData%\Desktop\Internet Explorer.lnk ・ユーザがこれらのリンクファイルにアクセスすると、ユーザをi.16[削除]vv.comにリダイレクトします。 ・また、既存のフォルダ名を使ってリムーバブルドライブに自身をコピーし、これらを隠すため、既存のフォルダの属性を変更して拡散します。 [%WinDir%はWindowsフォルダ（例：C:\Windows）、%AppData%はC:\Documents and Settings\[ユーザ名]\Application Data、%ProgramFiles%はC:\ProgramFiles、%SystemDrive%はオペレーティングシステムがインストールされているドライブで、通常はC:\] 以下の症状が見られる場合、このウイルスに感染している可能性があります。 TOPへ戻る 上記のファイルおよびレジストリキーが存在します。 上記のIPアドレスへの予期しないネットワーク接続が存在します。 感染方法 TOPへ戻る ・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電子メールなどを通じて配布されます。 駆除方法 TOPへ戻る