TROJ_DROPPER.FVZ
TrojanDropper:Win32/Zegost.B (Microsoft), Trojan.Gen (Symantec), Generic Dropper!dht (McAfee), Trojan.Win32.Agent.ddpg (Kaspersky)
Windows 2000, XP, Server 2003
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、特定のWebサイトにアクセスします。これにより、不正リモートユーザにマルウェアのインストールが知らされます。また、不正なファイルがダウンロードされます。この結果、感染コンピュータは、さらなる他の脅威にさらされることとなります。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のファイルを作成します。
- %System Root%\Documents and Settings\All Users\Application Data\Storm\update\%SESSIONNAME%\cenmu.cc3
- %User Temp%\hsrccexskf.dat
- %System%\e22a4301.rdb
(註:%User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\<ユーザー名>\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\TEMP" です。. %System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。)
マルウェアは、以下のフォルダを作成します。
- %System Root%\Documents and Settings\All Users\Application Data\Storm\update\%SESSIONNAME%
自動実行方法
マルウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Commessenger70
Type = "20"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Commessenger70
Start = "2"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Commessenger70
ErrorControl = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Commessenger70
ImagePath = "%SystemRoot%\system32\svchost.exe -k netsvcs"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Commessenger70
DisplayName = "Messenger"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Commessenger70
ObjectName = "LocalSystem"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Commessenger70
Description = "Transmits net send and Alerter service messages between clients and servers. This service is not related to Windows Messenger. If this service is stopped, Alerter messages will not be transmitted. If this service is disabled, any services that explicitly depend on it will fail to start."
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Commessenger70\Parameters
seRVicemAIN = "BuildTrusteeWithSidA"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Commessenger70\Parameters
seRVicedlL = "%System Root%\Documents and Settings\All Users\Application Data\Storm\update\%SESSIONNAME%\cenmu.cc3"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Commessenger70\Parameters
module = "%System Root%\cubxdjsupj"
マルウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Commessenger70
他のシステム変更
マルウェアは、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Messenger
FailureActions = "{random values}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Messenger
Group = ""
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Messenger\Parameters
seRVicemAIN = "BuildTrusteeWithSidA"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Messenger\Parameters
module = "%System Root%\cubxdjsupj"
マルウェアは、以下のレジストリ値を変更します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Messenger
Start = "2"
(註:変更前の上記レジストリ値は、「4」となります。)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Messenger
ErrorControl = "0"
(註:変更前の上記レジストリ値は、「1」となります。)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Messenger\Parameters
ServiceDll = "%System Root%\Documents and Settings\All Users\Application Data\Storm\update\%SESSIONNAME%\cenmu.cc3"
(註:変更前の上記レジストリ値は、「%SystemRoot%\System32\msgsvc.dll」となります。)
ダウンロード活動
マルウェアは、以下の不正Webサイトにアクセスします。
- {BLOCKED}14.3322.org:18188
対応方法
手順 1
Windows XP および Windows Server 2003 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
Windowsをセーフモードで再起動します。
手順 3
このレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
- Commessenger70
- Commessenger70
手順 4
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger
- FailureActions = "{random values}"
- FailureActions = "{random values}"
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger
- Group = ""
- Group = ""
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Parameters
- seRVicemAIN = "BuildTrusteeWithSidA"
- seRVicemAIN = "BuildTrusteeWithSidA"
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Parameters
- module = "%System Root%\cubxdjsupj"
- module = "%System Root%\cubxdjsupj"
手順 5
変更されたレジストリ値を修正します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger
- From: Start = "2"
To: Start = "4"
- From: Start = "2"
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger
- From: ErrorControl = "0"
To: ErrorControl = "1"
- From: ErrorControl = "0"
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Parameters
- From: ServiceDll = "%System Root%\Documents and Settings\All Users\Application Data\Storm\update\%SESSIONNAME%\cenmu.cc3"
To: ServiceDll = "%SystemRoot%\System32\msgsvc.dll"
- From: ServiceDll = "%System Root%\Documents and Settings\All Users\Application Data\Storm\update\%SESSIONNAME%\cenmu.cc3"
手順 6
以下のフォルダを検索し削除します。
手順 7
以下のファイルを検索し削除します。
手順 8
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TROJ_DROPPER.FVZ」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください