シマンテック・セキュリティ・レスポンス

http://www.symantec.com/ja/jp/security_response/index.jsp

Trojan.Obvod

危険度1: ほとんど影響なし

発見日:
2012 年 7 月 14 日
更新日:
2012 年 7 月 25 日 8:52:22 AM
種別:
Trojan
感染サイズ:
85,504 バイト
影響を受けるシステム:
Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

危険性の評価

Trojan.Obvod は、侵入先のコンピュータに潜在的に悪質なファイルをダウンロードして、クリック詐欺などの悪質な活動を実行する可能性があるトロイの木馬です。

ウイルス対策日

  • Rapid Release 初回バージョン2012 年 7 月 13 日 リビジョン032
  • Rapid Release 最新バージョン2013 年 1 月 11 日 リビジョン021
  • Daily Certified 初回バージョン2012 年 7 月 13 日 リビジョン035
  • Daily Certified 最新バージョン2013 年 1 月 11 日 リビジョン022
  • Weekly Certified 初回リリース日2012 年 7 月 18 日
Rapid Release と Daily Certified のウイルス定義について詳しくは、ここをクリックしてください。

危険性の評価

被害状況

  • 被害レベル:Low
  • 感染台数:0 - 49
  • 感染報告数:0 - 2
  • 地域危険度:Low
  • 対処レベル:Easy
  • 駆除:Easy

ダメージ

  • ダメージレベル:Low
  • 発病症状:クリック詐欺などの悪質な活動を実行し、ファイルをダウンロードする可能性がある
  • ファイル削除:cookie を削除してキャッシュを消去する
  • 不正アクセス:レジストリサブキーを改ざんして、ブラウザとインターネットのセキュリティ設定を低下させる

感染力

  • 感染力レベル:Low

テクニカルノート

この脅威は、Web エクスプロイトパックからドライブバイダウンロードを介して侵入先のコンピュータに届く可能性があります。

このトロイの木馬が実行されると、自分自身を次のロケーションにコピーします。
%UserProfile%\Application Data\[ランダムな文字列].exe

このトロイの木馬は、次の .job ファイルを作成して、Windows が起動されるたびに自分自身が実行されるようにします。
%Windir%\Tasks\[1-48].job

注意: 同じ .job ファイル名を持つ既存のスケジュールされたタスクは、すべて上書きされます。

続いて、次のファイルを削除する可能性があります。
  • %UserProfile%\Cookies\*ad*.txt
  • %UserProfile%\Application Data\Macromedia\Flash Player\*

その後、このトロイの木馬は次のレジストリサブキーの下のエントリを改ざんすることで、セキュリティ設定を低下させます。
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones

次のミューテックスを作成して、このトロイの木馬のインスタンスが 1 つだけ実行されるようにします。
  • gjigojfd3HJ
  • FJIfjoi3r4
  • HFudfjifejifb
  • jIOFjejioAD
  • JfsiJSS
  • HfhfioSjs
  • FHifsoSDks
  • FJiofjs
  • j5hfURWHIrwh

このトロイの木馬は、いくつかの広告サーバーに秘かに接続し、正規の Web サイトから参照されていることを装ってクリック詐欺を実行します。次の操作を実行します。
  • Cookies フォルダを検出し、*ad*.txt 形式の cookie ファイルを削除する
  • Web ブラウザのキャッシュを消去する
  • Flash Player のキャッシュを消去する
  • Internet Explorer のすべてのポップアップウィンドウで自動的に OK ボタンをクリックする
  • Adobe Flash Player 9 のすべてのポップアップウィンドウで自動的に Yes ボタンをクリックする
  • ファイルをダウンロードして復号する可能性がある
  • ファイルをダウンロードして実行する可能性がある

このトロイの木馬は、次のサーバーに接続する可能性があります。
  • http://109.230.217/0xabad1dea.php
  • http://*.hfuidhfd.jp
  • http://*.internationalforte.com

また、次の DNS サーバーに接続する可能性もあります。
  • 109.230.217.44
  • 156.157.70.1

さらに、次の広告サーバーに接続する可能性があります。
  • http://ad.103092804.com
  • http://ad.adserverplus.com
  • http://ad.bharatstudent.com
  • http://ad.globe7.com
  • http://ad.harrenmedianetwork.com
  • http://ad.media-servers.net
  • http://ad.reduxmedia.com
  • http://ad.scanmedios.com
  • http://ad.xertive.com
  • http://ad.z5x.net
  • http://ads.audienceamplify.com
  • http://ads.sonobi.com
  • http://ads.yieldads.com
  • http://adserving.cpxadroit.com
  • http://ib.adnxs.com

推奨する感染予防策

シマンテックセキュリティレスポンスでは、すべてのユーザーと管理者の皆様に対し、基本的なオンラインセキュリティ対策として日常的に次のことを実行することを勧めています。

  • ファイアウォールを利用して、一般に公開されていないサービスへのインターネット経由による接続をすべてブロックします。原則として、明示的に外部に提供したいサービスへの接続を除いては、すべての着信接続を拒否してください。
  • パスワードポリシーを徹底させます。強固なパスワードは、侵害されたコンピュータ上のパスワードファイルの解読を困難にします。これにより、攻撃による被害を回避、または最小限に抑えることができます。
  • コンピュータのユーザーとプログラムには、タスクの実行に必要な最小レベルの権限を付与します。ルートまたは UAC パスワードの入力が要求されたときは、管理者レベルのアクセスを要求するプログラムが正規のアプリケーションであることを確認してください。
  • 自動実行機能を無効にして、ネットワークドライブやリムーバブルドライブ上の実行可能ファイルの自動実行を阻止し、ドライブの接続が不要なときは切断してください。書き込みアクセスが不要な場合は、読み取り専用モードのオプションが利用可能であれば有効にします。
  • ファイル共有が不要な場合は、設定を解除してください。ファイル共有が必要な場合は、ACL とパスワード保護機能を使用してアクセスを制限します。共有フォルダへの匿名アクセスを無効にし、強固なパスワードが設定されたユーザーアカウントにのみ共有フォルダへのアクセスを許可します。
  • 不要なサービスは、停止するか削除します。オペレーティングシステムによって、特に必要のない補助的なサービスがインストールされることがあります。このようなサービスは攻撃手段として悪用される可能性があるため、不要なサービスを削除することによって、攻撃の危険性を軽減できます。
  • ネットワークサービスの脆弱性が悪用されている場合は、修正プログラムを適用するまでそれらのサービスを無効にするか、サービスへのアクセスをブロックしてください。
  • 常に最新の修正プログラムを適用するようにしてください。公開サービスのホストコンピュータや、 HTTP、FTP、メール、DNS サービスなど、ファイアウォール経由でアクセス可能なコンピュータでは特に注意が必要です。
  • .vbs、.bat、.exe、.pif、.scr などの拡張子を持つファイルは、脅威の拡散に頻繁に使用されるため、それらのファイルが添付されたメールをブロックまたは削除するようにメールサーバーを設定します。
  • ネットワークに接続しているコンピュータが感染した場合は、直ちにネットワークから切断して感染拡大を防止します。被害状況を分析し、信頼できるメディアを使って復元します。
  • 予期しない添付ファイルは開かないようにしてください。インターネットからダウンロードしたソフトウェアは、ウイルススキャンを実行して安全であることを確認してから実行します。ブラウザの脆弱性に対応した修正プログラムが適用されていない場合、侵害された Web サイトにアクセスするだけで感染することがあります。
  • 携帯デバイスで Bluetooth が不要な場合は、オフにしてください。必要な場合は、他の Bluetooth デバイスにスキャンされないように、表示属性を「Hidden」に設定します。 デバイスのペアリング機能を使用する必要がある場合は、すべてのデバイスが、接続時にユーザー認証を必要とする「Unauthorized」に設定されていることを確認してください。署名されていない、または未知のソースから送信されたアプリケーションは利用しないでください。
  • この文書で使用されている用語の詳細については、用語解説を参照してください。

駆除方法

お使いのシマンテック製品がこのリスクについて警告した場合、またはこのリスクへの感染について懸念がある場合は、このページをご確認ください。

次に進む前に、Symantec Full System Scan User Guide (英語) を参照して、システムの完全スキャンを実行することをお勧めします。それでも問題が解決されない場合は、次のいずれかのオプションをお試しください。



Norton (個人向け) 製品のお客様
お客様が Norton 製品のユーザーである場合、このリスクの駆除に関する以下の情報を参照することをお勧めします。

駆除ツール

感染した Windows システムファイルがある場合は、Windows のインストール CD を使用してファイルの置き換えが必要な場合があります。


感染のリスクを軽減する方法
感染のリスクの軽減に役立つ詳細情報とベストプラクティスを、次のサイトで確認できます。


ビジネス (企業、法人向け) 製品のお客様
お客様がシマンテックのビジネス製品のユーザーである場合、このリスクの駆除に関する以下の情報を参照することをお勧めします。

疑わしいファイルの特定と提出
提出された疑わしいファイルにより、シマンテックでは、保護機能が絶えず変化し続ける脅威の動向に対応していることを確認できます。提出されたファイルはシマンテックセキュリティレスポンスによって解析され、必要な場合は、更新された定義が LiveUpdate™ を介して直ちに配布されます。これにより、周辺のその他のコンピュータを攻撃から確実に保護することができます。シマンテックに提出する疑わしいファイルを特定する方法は、次のサイトで確認できます。


駆除ツール

感染した Windows システムファイルがある場合は、Windows のインストール CD を使用してファイルの置き換えが必要な場合があります。


感染のリスクを軽減する方法
感染のリスクの軽減に役立つ詳細情報とベストプラクティスを、次のサイトで確認できます。
セキュリティのベストプラクティス - インターネットのあらゆる脅威を阻止する



手動による駆除
以下の手順は、現在サポート対象のシマンテック製ウイルス対策製品のすべてを対象に記述されています。

1. システムの完全スキャンの実行
Symantec Full System Scan User Guide (英語)


2. レジストリの設定の復元
レジストリを改ざんするリスクは多く、侵入先のコンピュータの機能または処理速度に影響を与える可能性があります。改ざんの多くは、さまざまな Windows コンポーネントによって復元することができますが、レジストリの編集が必要な可能性があります。作成または改ざんされたレジストリキーに関する情報については、この文書の「テクニカルノート」を参照してください。このリスクによって作成されたレジストリサブキーとレジストリエントリを削除して、すべての改ざんされたレジストリエントリを以前の値に戻します。