Palm84 某所の日記

有為のクマにかくれり~

Viril情報とか

少し古いかもですが。

PWStealでRootkitなバックドアです。

# Installs a rootkit by creating the following files:

 * %System%\win_rar.dll
 * %System%\raid.sys

Note: The rootkit changes the behavior of some internal Windows functions to hide the Trojan process on the compromised computer.

拡張子【sys】ってドライバですよね。デバイスマネージャで見えたりしないのかな?

Trojan.Desktophijack は、侵入先のコンピュータのホームページやデスクトップの設定を改ざんするトロイの木馬です。

デスクトップの壁紙を次のテキストが表示された青い壁紙に変更します。

Security warning
A fatal error in IE has occured at 0028:C0011E36 in VXD VMM(01) *
00010E36. Error was caused by [削除された名前]
* System cannot function in normal mode.
Please check your security settings.
* Scan your PC with any available antivirus / spyware remover program to fix this problem.

「こけおどし系」と言ったらいいのかな、増えてるみたいですね。

Trojan.Kakkeys は、機密情報を事前に指定した掲示板 (BBS) に漏洩しようとするトロイの木馬です。 このトロイの木馬は Ruby で書かれており、Winny ファイル共有ネットワークを介してばらまかれる可能性があります。

動作しなかったとか書いてますけど、この手の情報アップロード型はWinny使用者でなくとも動作しますから、ダウンロードいっぱいする人は注意ですね。

注意: この脅威が自身を実行する方法のため、セーフモードでレジストリを編集して、それからログオフして手順 6 を始める前に再びログオンすることが非常に重要です。この手順が正しく完了しなかった場合、脅威は削除されません。

この方法の意味がよくわからないのですが、終了時に何かするってことでしょうか?そう言えば、かなり昔Klez駆除の時にこんなことしたような覚えがあるようなないような(年取ると記憶が・・・デジャブ?)

【追記】再起動しちゃ駄目みたいです。レジストリ編集後にログオフ→ログオン→ファイル削除せよってこと。手順 6は[5]の間違いです。

thanks to Lucaさん&脳脂肪さん(勝手にペア組すみません・・・はいどーも〜みたいなw)