発見日: 2002 年 9 月 18 日
更新日: 2007 年 2 月 13 日 11:56:12 AM
別名: Trojan.PSW.Delf.ac [AVP]
種別: トロイの木馬
感染サイズ: 198,656 [UPX]508,928378,368 [UPX]622,080
影響を受けるシステム: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
Trojan.PSW.Ajim_bbs が実行されると、次のことを行います。
自分自身の新しいコピーを %windir%\Winupdate.exe および %windir%\System32\Internets.exe として作成します。
トロイの木馬は既存の %windir%\Winver.exe ファイルを自分自身で上書きします。
また、オリジナルの %windir%\Hosts ファイルを独自の特別な Hosts ファイルで上書きします。
トロイの木馬は自分自身が最初に実行されたフォルダと同じフォルダに Set.ini ファイルを作成します。また、Set.ini ファイルを %windir%\Desktop フォルダにコピーすることで、そのファイルを Windows のデスクトップに表示します。
注意: %windir% は可変です。このトロイの木馬は Windows のインストール先フォルダ(標準では C:\Windows または C:\Winnt) を探し出し、その場所に自分自身をコピーします。
Trojan.PSW.Ajim_bbs はメモリに常駐し、ユーザ名およびパスワードと思われる情報を探し出します。
トロイの木馬は次のレジストリキーを、.exe ファイルが実行されるか、または .txt ファイルが開かれるときに自分自身が実行されるように改変します。
- 次のレジストリキーの
HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command
(標準) 値のデータを、
"%1" %*
から、次の内容に変更します。
%windir%\winupdate.exe %1 %*
- 次のレジストリキーの
HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command
(標準) 値のデータを、
%windir%\NOTEPAD.EXE %1
から、次の内容に変更します。
%windir%\winver.exe %windir%\NOTEPAD.EXE %1
上記レジストリキーの改変後、スペースを含む長い名前の実行形式ファイルを実行しようとする際に問題が生じるようになります。
Trojan.PSW.Ajim_bbs はまた、既定の URL やホームページなど、Internet Explorer の設定を改変します。トロイの木馬は次のレジストリキーの値を
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main
次のように変更します。
Default_Page_URL http:/ /ajim.delphibbs.com
Start Page http:/ /ajim.delphibbs.com
CustomizeSearch http:/ /ajim.delphibbs.com
SearchAssistant http:/ /ajim.delphibbs.com
この時点で、トロイの木馬に上書きされた %windir%\Hosts ファイル(テキストファイル) の内容は次のようになります。
202.108.36.169 www.rising.com.cn
202.108.36.169 community.rising.com.cn
202.108.36.169 www.iduba.net
202.108.36.169 bbs.iduba.net
202.108.36.169 iduba.net
202.108.36.169 rising.com.cn
上記のファイル名は全て、同じ IP アドレスを参照しています。
トロイの木馬が投下する Set.ini ファイルの内容はデフォルトでは次のように表示されています。
[set]
email=
pass=
smtp=smtp.163.com
トロイの木馬はメモリに常駐している間、ユーザが Process Viewer プログラム(このトロイの木馬上のプロセスを終了するために使用可能なプログラム)を実行しようとした場合、それを検知しエラーメッセージを表示します。そのメッセージは中国語で書かれており、ほとんどの西洋言語のコンピュータでは次のように表示されます。
中国語のコンピュータでは次のように表示されます。
16進バイトでは、そのメッセージは次のように表示されます。
B7A2CFD6D2FDB5BCC7F8B2A1B6BEA3ACC7EBB5BD646F73CFC2C3E6D3C341C5CCA3A10000.
その後、トロイの木馬はユーザが実行しようとした Pview95.exe ファイルを削除します。
その後、トロイの木馬は盗み出したパスワードをメールでこのトロイの木馬の作者に送信します。推奨する感染予防策
シマンテックセキュリティレスポンスでは、すべてのユーザーと管理者の皆様に対し、基本的なオンラインセキュリティ対策として日常的に次のことを実行することを勧めています。
- 不必要なサービスをすべて無効化するか、あるいは削除する。 OSの多くは標準で、FTPクライアント、telnet、Webサーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されます。そのような付加的なサービスを削除することによって、複合型リスクの攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
- 1 つ以上のネットワークサービスが複合型脅威によって悪用された場合、パッチを適用するまでの間、攻撃対象となったサービスを無効にするか、またはそのサービスへのアクセスを遮断する。
- 常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。 . また、この記事、信頼できるセキュリティ情報、ベンダーの Web サイトのいずれかで言及されているセキュリティアップデートがある場合、そのセキュリティアップデートも適用してください。
- パスワードポリシーの徹底。 複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。これにより、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
- メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scrなど)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
- ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離す。被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
- 予期せぬメールが届いた場合には、添付ファイルを開かないように従業員を指導する。 また、インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。 既知のセキュリティホールに対応するパッチが適用されていないWebブラウザーを使用している場合は、安全でないWebサイトにアクセスするだけで感染する可能性があることに留意する。
記述: Jari Kytojoki
Hatena
Yahoo
Livedoor
Buzzurl
Delicious
FC2
Google
Newsvine
newsing
Digg
