Palm84 某所の日記

有為のクマにかくれり~

ウイルス(Trojan)情報 - トレンドマイクロ

ワームによって使用できなくなったタスクマネージャ、レジストリエディタを有効化します。

  1. 以下の手順でVBSファイル(例:Fixtool.vbs)を作成します。
  2. "Notepad.exe"を開き以下の記述をコピーします。
  3. On Error Resume Next
    Set Sh = CreateObject("WScript.Shell")
    Sh.RegDelete "HKEY_CURRENT_USER\Software\Microsoft\Windows\
    CurrentVersion\Policies\System\DisableTaskMgr"
    Sh.RegDelete "HKEY_CURRENT_USER\Software\Microsoft\Windows\
    CurrentVersion\Policies\System\DisableRegistryTools"
    Set Sh = Nothing

  4. コピーしたファイルを "Fixtool.vbs" という名称で保存します。
  5. 作成した "Fixtool.vbs" をダブルクリックし、実行します。

MSN Messengerで拡散するワーム。VBSファイルでの修復法って初めて見ました。(常識?)

ダウンロードされたスクリプトファイルは "only-virgins.com" というタイトルのHTMLページを表示します。そのページには未成年は閲覧しないようにとの警告文が記載されています。

 そのページには "Enter" と "Exit" という2つのリンクがあります。 "Enter" をクリックすると感染コンピュータの<ルートディレクトリ>(通常はc:ドライブ)を開いてアクセス可能にします。 この不正プログラムは特定のWebサイトからスクリプトファイルのダウンロードを試みます。ダウンロードされたファイルは<Windowsシステムフォルダ>に "SYSTEM32.DLL" のファイル名で保存されます。

 この不正プログラムは "EXPLORER.EXE" の実行時にダウンロードしたスクリプトファイルが実行されるようにするために以下のレジストリ値を作成します。

もろCWSみたいです。

This Trojan can arrive to the system through the following:

    * as an email attachment
    * downloading from a Web site
    * installation by another malware 

メールでも運ばれるってとこに不安を感じてしまうのですが。

This worm configures the system to act either as FTP, 
HTTP, or SMTP server. It can then receive commands coming 
from a remote malicious user, such as the following:L

    * Modify Internet Explorer's home page
    * Open and close CD tray
    * Shut down the system 

It formats drives C: and D:. It also removes the System Restore option of the system. 

CDトレイの開閉って昔流行ってませんでしたっけ?でもバックドアだから怖いですね。

This Trojan downloader may be download by another Trojan, detected by TREND MICRO as TROJ_ISTBAR.GR, as the file ISTDOWLOAD.EXE.

Upon execution, this Trojan downloads malicious files detected by TREND MICRO as the following malware:

    * WORM_SDBOT.AYG
    * WORM_SDBOT.AYH 

It also downloads the following grayware programs:

    * ADW_NCASE.A
    * ADW_SIDEFIND.C
    * ADW_SIDEFIND.L
    * ADW_TARGETSAV.A
    * SPYW_DYFUCA.E
    * SPYW_POWERSCAN.C 

いわゆるbotとスパイウェア・アドウェアが合体しちゃってます。この手が増えてきたら困りそう。

This Trojan may arrive as an email attachment, downloaded from a Web site, or installed by another malware.

Upon execution, it attempts to download and execute the following files by querying the Web site: http://www.finefind.biz:

    * syncroad.exe
    * winsync.exe 

finefind.biz は検索サイトなんでアドウェアみたいですね。メールで運ばれることもあると。

※註:トレンドマイクロ社のウイルス情報内のURLは安全の為?、一部修正(変更)されてることが多いです。

この不正プログラムは警告音とともにポップアップ広告を表示します。ポップアップ広告には「ユーザのコンピュータがスパイウェアに感染しているかもしれません、デスクトップのツールバーにある風船のアイコンをクリックしてください」という旨が記載されています。

 風船のアイコンをクリックすると、この不正プログラムの作者もしくは不正ユーザのWebサイトに接続します。

シマンテックのAdware.WinProtectと同じみたい。というか亜種もいっぱいあるんですよね。(よくは知らないけど)

It also sets the Internet Explorer (IE) startup page to about:blank.

IE(Internet Explorer)の設定を変更:
 この不正プログラムはIE(Internet Explorer)ホームページ(スタートページ)を "about:blank" に変更します。""

情報漏洩:
 この不正プログラムはオンラインバンキングに関するWebサイトの情報を収集します。この不正プログラムはユーザのインターネットでの活動を監視し、ユーザが以下のWebサイトにアクセスするのを待機します。

    * https://ibank.barclays.co.uk
    * https://ibank.cahoot.com
    * https://olb2.nationet.com
    * https://online.lloydstsb.co.uk
    * https://www.bankofscotlandhalifax-online.co.uk
    * https://www.ebank.hsbc.co.uk
    * https://www.ebank.hsbc.co.uk
    * https://www.millenniumbcp.pt
    * https://www.ukpersonal.hsbc.com

 ユーザがこれらのWebサイトにアクセスすると偽のHTMLページを表示しユーザにアカウント情報などを入力させようと試みます。この不正プログラムが収集した情報は不正リモートユーザに送信されます。 

フィッシング・キーロガー・トロイ」ってかんじでしょうか。感染しちゃってる場合はたとえ正確なURLを入力しても罠にかかってしまうわけですね。でも「about:blank」設定は余計な気がします。気付いてしまうので。あっ、逆の意味があるのかも?

This Trojan drops several files in the Windows system folder, including the following malware and grayware programs:

    * BAT_PASSER.A
    * BKDR_HACDEF.084
    * HKTL_HIDEWIN.A
    * HKTL_HIDEWIN.D
    * HKTL_XSCAN.A
    * TROJ_BOTIRC.A 

hackツールがてんこもりみたいです。えーとHIDEWINってVX2のことでしたっけ?

キーロガーmskj.exe。シマンテックのTrojan.Kaemonと同じようです。