製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:M
ウイルス情報
ウイルス名危険度
MultiDropper-TR
企業ユーザ:
個人ユーザ:
種別トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
5959
対応定義ファイル
(現在必要とされるバージョン)
5960 (現在7565)
対応エンジン5.2.00以降 (現在5600) 
エンジンバージョンの見分け方
別名Kaspersky - Trojan.Win32.Agent.dhxd Microsoft - Worm:Win32/Emerleox.gen!A Nod32 - a variant of Win32/HideProc.NA
情報掲載日2010/04/26
発見日(米国日付)2010/04/21
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
09/17RDN/BackDoor...
09/17DNSChanger.b...
09/17RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7565
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・MultiDropper-TRはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

ファイル情報

  • MD5 - C071BF1BDBA73B5A6473902E071A8C22
  • SHA - E17FACBD94B8B301FC394FCEF76C5F08F793B4C7

ウイルスの特徴TOPに戻る

・実行時、リモートポート80から220.181.[削除].175に接続します。

・以下の場所に自身をコピーします。

  • %ProgramFiles%\mos.exe
  • %SystemDrive%\QGS.exe
  • %WinDir%\system32\wuauolt.exe

・また、以下のファイルをドロップ(作成)します。

  • %SystemDrive%\AutoRun.inf

・以下のレジストリキーがシステムに追加されます。

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}

・以下のレジストリ値がシステムに追加されます。

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe\]
    “Debugger:” = "ntsd -d"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe\]
    “Debugger:” = "ntsd -d"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safebox.exe\]
    “Debugger:” = "ntsd -d"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe\]
    “Debugger:” = "ntsd -d"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\alogserv.exe\]
    “Debugger:” = "ntsd -d"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avconsol.exe\]
    “Debugger:” = "ntsd -d"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe\]
    “Debugger:” = "ntsd -d"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avsynmgr.exe\]
    “Debugger:” = "ntsd -d"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe\]
    “Debugger:” = "ntsd -d"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccRegVfy.exe\]
    “Debugger:” = "ntsd -d"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DSMain.exe\]
    “Debugger:” = "ntsd -d"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FYFireWall.exe\]
    “Debugger:” = "ntsd -d"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KavPFW.exe\]
    “Debugger:” = "ntsd -d"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPlus.EXE\]
    “Debugger:” = "ntsd -d"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVStart.exe\]
    “Debugger:” = "ntsd -d"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVSvc.EXE\]
    “Debugger:” = "ntsd -d"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KMailMon.EXE\]
    “Debugger:” = "ntsd -d"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPfwSvc.EXE\]
    “Debugger:” = "ntsd -d"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPopMon.EXE\]
    “Debugger:” = "ntsd -d"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KULANSyn.EXE\]
    “Debugger:” = "ntsd -d"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch.EXE\]
    “Debugger:” = "ntsd -d"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatchUI.EXE\]
    “Debugger:” = "ntsd -d"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Navapsvc.exe\]
    “Debugger:” = "ntsd -d"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NPFMntor.exe\]
    “Debugger:” = "ntsd -d"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\pfw.exe\]
    “Debugger:” = "ntsd -d"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe\]
    “Debugger:” = "ntsd -d"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe\]
    “Debugger:” = "ntsd -d"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMonD.exe\]
    “Debugger:” = "ntsd -d"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavStub.exe\]
    “Debugger:” = "ntsd -d"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe\]
    “Debugger:” = "ntsd -d"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RAVTIMER.EXE\]
    “Debugger:” = "ntsd -d"

・上記のレジストリにより、上記のセキュリティソフトウェアが動作しないようにします。

・以下のレジストリ値が改変されます。

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\]
    “CheckedValue:” = “0x00000000”

・上記のレジストリ項目により、乗っ取ったユーザが隠しファイルを閲覧できないようにします。

また、以下のレジストリキーの値を改変して、乗っ取ったユーザがシステムファイル、隠しフォルダを表示できないようにします。
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\]
    "Type:" = "checkbox2"
  • [HKEY_USERS\S-1-(不定)1005\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\]
    "ShowSuperHidden:" = "0x00000000"

・以下のフォルダ属性が改変されます。

  • %SystemDrive%\Documents and Settings\All Users\Start Menu\Programs\Startup
  • %WinDir%\system32

・HOSTSファイルを改変し、以下のURLからIPへのマッピングを組み込み、乗っ取ったユーザが以下の商用サイトにアクセスできないようにします。

  • 127.0.0.1 www.iq123.com
  • 127.0.0.1 www.yijidh.com
  • 127.0.0.1 www.250dh.cn
  • 127.0.0.1 www.223.la
  • 127.0.0.1 www.kuku123.com
  • 127.0.0.1 www.930930.com
  • 127.0.0.1 www.7999.com
  • 127.0.0.1 www.9123.com
  • 127.0.0.1 www.hao123e.com
  • 127.0.0.1 www.020.com
  • 127.0.0.1 www.sosote.com
  • 127.0.0.1 www.uu108.com
  • 127.0.0.1 www.yao.la
  • 127.0.0.1 www.youxi777.com
  • 127.0.0.1 www.1616.net
  • 127.0.0.1 www.1188.com
  • 127.0.0.1 www.9605.com
  • 127.0.0.1 7055.net
  • 127.0.0.1 www.0056.com
  • 127.0.0.1 www.6655.com
  • 127.0.0.1 www.1166.com
  • 127.0.0.1 www.5kip.com
  • 127.0.0.1 www.114xia.com
  • 127.0.0.1 www.pp55.com
  • 127.0.0.1 www.265dh.com
  • 127.0.0.1 www.3567.com
  • 127.0.0.1 www.6565.cn
  • 127.0.0.1 www.666t.com
  • 127.0.0.1 www.9223.com
  • 127.0.0.1 www.dduu.com
  • 127.0.0.1 www.hao123.cn

・また、以下のInternet Explorerのリンクファイルをドロップ(作成)します。

  • %AppData%\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.lnk
  • %AppData%\Desktop\Internet Explorer.lnk

・ユーザがこれらのリンクファイルにアクセスすると、ユーザをi.16[削除]vv.comにリダイレクトします。

・また、既存のフォルダ名を使ってリムーバブルドライブに自身をコピーし、これらを隠すため、既存のフォルダの属性を変更して拡散します。

[%WinDir%はWindowsフォルダ(例:C:\Windows)、%AppData%はC:\Documents and Settings\[ユーザ名]\Application Data、%ProgramFiles%はC:\ProgramFiles、%SystemDrive%はオペレーティングシステムがインストールされているドライブで、通常はC:\]

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • 上記のファイルおよびレジストリキーが存在します。
  • 上記のIPアドレスへの予期しないネットワーク接続が存在します。

感染方法TOPへ戻る

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電子メールなどを通じて配布されます。

駆除方法TOPへ戻る