Bloodhound.Exploit.23 は、URL のリンクを装う、埋め込み実行可能ファイルのプログラムを内包する Web ページに対するヒューリスティック手法による検出名です。一部の Web ブラウザでは、このようなリンクをクリックすると、埋め込みファイルが実行されます。Opera ブラウザはこの攻撃に対して、脆弱性があると報告されています。Microsoft Internet Explorer はこの攻撃に対して、脆弱性がないと報告されています。
Backdoor.Globe は Microsoft Windows LoadImage API 機能の整数オーバーフローの脆弱性 (マイクロソフトセキュリティ情報 MS05-002 参照) を悪用するコンセプトを証明する目的で作成されたトロイの木馬です。このトロイの木馬は、スタックオーバーフローを引き起こすために不正な形式のアニメカーソル (.ani) を使用する HTML ファイルに埋め込まれた Javascript として存在します。Backdoor.Globe は Windows XP SP 2 には感染しません。
"Web Event Logger"="{79FEACFF-FFCE-815E-A900-316290B5B738}"
次のレジストリエントリに追加することによって、
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoadWindows の起動時に必ずトロイの木馬が実行されるように設定します。
- "(標準)"="[ランダムな 8 文字].dll"
- "ThreadingModel" = "Apartment"
次のレジストリエントリに追加することによって、
- HKEY_CLASSES_ROOT\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\
InProcServer32Windows の起動時に必ずトロイの木馬が実行されるように設定します。
かなりややこしそうです。
Adware.StartPage が実行されると、次のことを行います。
- 次のファイルを作成します。
- * C:\RECYCLER\easysearch_google.jpg
- * C:\RECYCLER\index.html
- * C:\RECYCLER\uninstall.exe
- * C:\RECYCLER\install.exe
- C:\RECYCLER\bin376.dll
- 次の値を
- "EasySearch Start Page"="C:\RECYCLER\install.exe"
- 次のレジストリキーに追加することによって、
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Windows の起動時に必ず install.exe が実行されるように設定します。
- 次のレジストリキーの
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- 次の値を改ざんします。
- "SFCDisable"="1"
- 次のレジストリエントリを作成します。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\EasySearch Start Page
- HKEY_CLASSES_ROOT\CLSID\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF}
- Microsoft Internet Explorer が起動されるたびに毎回、スタートページが C:\RECYCLER\index.html という検索ページにリダイレクトされます。
「RECYCLER」にファイルを作成、システムファイルチェッカーを無効にする。対処法として、まずはコントロールパネルからアンインストールとのこと。
