この数日間、Trojan.Exprez.B の検出件数がスペイン語圏で徐々に増加しているという報告がお客様から寄せられています。Trojan.Exprez.B は、侵入先のコンピュータ上で .exe、.doc、.docx の各ファイルを自身のコピーに置き換えるファイルインフェクタです。このコピーには元のファイルも含まれており、暗号化されて本体の末尾に付加されています。

コンピュータ上のどんな場所でも Trojan.Exprez.B に感染するわけではなく、以下のプロパティを持つドライブはスキップされます。

• DRIVE_NO_ROOT_DIR タイプのドライブ
• DRIVE_CDROM タイプのドライブ
• DRIVE_UNKNOWN タイプのドライブ
• System Volume Information フォルダがあるドライブ

Trojan.Exprez.B は、実行されると自身の末尾に付加されている .exe、.doc、または .docx ファイルを復号します。そのうえで、自身をカレントフォルダに保存し、各ファイル拡張子に関連付けられたデフォルトのアプリケーション（たとえば Microsoft Word）を起動します。アプリケーションが終了すると、Trojan.Exprez.B は保存したファイルを削除します。

次に、以下のファイルを作成します。これは、この脅威の実行可能ファイル本体のコピーです。
%UserProfile%\Application Data\Microsoft\[8 文字のランダムな大文字].exe (Trojan.Exprez!gen1)

コンピュータを再起動すると、このファイルは次の場所に移動されます。
%Windir%\xpsp2res.dll

Trojan.Exprez.B は、元のファイルを暗号化して自身の末尾に付加することによって .exe、.doc、.docx ファイルに感染します。感染した .exe ファイルは元のファイル名を維持するので、この脅威の削除後に他の処理を行う必要はありません。

一方、文書ファイルは以下の法則で名前が変更されます。
[元のファイル名].docx → [元のファイル名]xcod.scr

Trojan.Exprez.B 自体を削除しても、変更された .doc ファイルや .docx ファイルは拡張子が変更された名前のまま、つまり [元のファイル名]xcod.scr のままであることに注意してください。[元のファイル名].doc または [元のファイル名].docx に、ファイル名を手動で適宜変更する必要があります。

文書がたどる 3 つの段階の例を以下に示します。

1. 文書が感染し、名前とアイコンが変更されたところ
   View Inline Image
2. 文書は修復されたが、拡張子は変更されたまま
   View Inline Image
3. 文書ファイルが正しい拡張子に戻されたところ
   View Inline Image

現在、感染したファイルは Trojan.Exprez.B として検出され、投下された悪質なバイナリファイルは Trojan.Exprez!gen1 として検出されます。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。