McAfee for Small Businesses

・Proxy-Thunkerは、4.1.60スキャンエンジンと上記の定義ファイルを使用すると検出されます。ただしDLLが挿入されているので、再起動せずに修復するには、4.2.40エンジンを使用する必要があります。

・Proxy-Thunkerはトロイの木馬で、感染システムにオープンプロキシサーバを作成します。このサーバは、スパマー（スパムメール送信者）が匿名で電子メールメッセージを送信するのに使用され、ランダムなIPポートに作成されます。

・トロイの木馬のドロッパは、VBScriptドロッパファイル（real.htaというファイル名の可能性があります）が作成します。このスクリプトが実行されると、C:\ディレクトリにmsdos.exeファイル、またはwsysc.exeファイルを書き込み、実行します。この.exeファイルは、WINDOWS SYSTEMディレクトリ（%SysDr%）にwthunk32.dllファイルを落とし込みます。 以下のレジストリキー値を作成して、システムの起動時にこのDLLを読み込みます。

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
  ShellServiceObjectDelayLoad "OLE Automation Module" = 3F143C3A-1457-6CCA-03A7-7AA23B61E40F

・以下のレジストリエントリも作成します。

• HKEY_CURRENT_USER\Software\Classes\CLSID\{3F143C3A-1457-6CCA-03A7-7AA23B61E40F}
• HKEY_CLASSES_ROOT\CLSID\{3F143C3A-1457-6CCA-03A7-7AA23B61E40F

・再起動時に、explorer.exeプロセスにwthunk32.dllファイルを挿入します。このDLLは、Webページ（IPアドレス64.246.60.83）にアクセスします。このWebページは、リモート攻撃者がエクスプロイトするために感染システムのさまざまなIPポートを開く指示をDLLに返します。