Trojan.Tooso.F

1. %System%\winshost.exe として自分自身をコピーします。
   
   

   ---

   注意: %System% は可変でシステムフォルダを参照します。標準では、このフォルダは C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000)、または C:\Windows\System32 (Windows XP) です。

   ---

   
   
2. 次のファイルを投下します。
   
   %System%\wiwshost.exe
   
   
3. 次の値を
   
   "winshost.exe" = "%Windir%\winshost.exe"
   
   次のレジストリサブキーに追加することによって、
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
   
   Windows の起動時に必ず Trojan.Tooso が実行されるように設定します。
   
   
4. explorer.exe のプロセスを発見し、それに wiwshost.exe を挿入しようとします。これ以降の操作はすべて wiwshost.exe によって実行されますが、一見すると explorer.exe に行われているように見えます。
   
   
5. 次の名前が付いているサービスを無効にするスレッドを起動します。
   
   
   • Ahnlab task Scheduler
   • alerter
   • AlertManger
   • AVExch32Service
   • avg7alrt
   • avg7updsvc
   • AvgCore
   • AvgFsh
   • AvgServ
   • AVPCC
   • avpcc
   • AVUPDService
   • AvxIni
   • awhost32
   • backweb client-4476822
   • backweb client - 4476822
   • BackWeb Client - 7681197
   • BlackICE
   • CAISafe
   • ccEvtMgr
   • ccPwdSvc
   • ccSetMgr
   • ccSetMgr.exe
   • DefWatch
   • dvpapi
   • dvpinit
   • F-Secure Gatekeeper Handler Starter
   • fsbwsys
   • FSDFWD
   • fsdfwd
   • FSMA
   • KAVMonitorService
   • kavsvc
   • KLBLMain
   • McAfee Firewall
   • McAfeeFramework
   • McShield
   • McTaskManager
   • mcupdmgr.exe
   • MCVSRte
   • MonSvcNT
   • navapsvc
   • Network Associates Log Service
   • NISSERV
   • NISUM
   • NOD32ControlCenter
   • NOD32Service
   • Norman NJeeves
   • Norman ZANDA
   • Norton Antivirus Server
   • NPFMntor
   • NProtectService
   • NSCTOP
   • nvcoas
   • NVCScheduler
   • nwclntc
   • nwclntd
   • nwclnte
   • nwclntf
   • nwclntg
   • nwclnth
   • NWService
   • Outbreak Manager
   • Outpost Firewall
   • OutpostFirewall
   • PASSRV
   • PAVFNSVR
   • Pavkre
   • PavProt
   • PavPrSrv
   • PAVSRV
   • PCCPFW
   • PersFW
   • PREVSRV
   • PSIMSVC
   • ravmon8
   • SAVFMSE
   • SAVScan
   • SAVScan
   • SAVScan
   • SBService
   • schscnt
   • sharedaccess
   • SharedAccess
   • SmcService
   • SNDSrvc
   • SPBBCSvc
   • SweepNet
   • SWEEPSRV.SYS
   • Symantec AntiVirus Client
   • Symantec Core LC
   • Tmntsrv
   • V3MonNT
   • V3MonSvc
   • VexiraAntivirus
   • VisNetic AntiVirus
   • Plug-in
   • vsmon
   • wuauserv
   • XCOMM
     
     
6. 次のレジストリエントリを削除することにより、セキュリティ関連のプログラムが Windows の起動時に実行されるのを阻止しようとします。
   
   
   • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
     "McAfee.InstantUpdate.Monitor"
   • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
     "APVXDWIN"
   • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
     "avg7_cc"
   • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
     "avg7_emc"
   • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
     "ccApp"
   • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
     "KAV50"
   • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
     "McAfee Guardian"
   • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
     "NAV CfgWiz"
   • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
     "SSC_UserPrompt"
   • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
     "Symantec NetDriver Monitor"
   • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
     "Zone Labs Client"
   • HKEY_LOCAL_MACHINE\SOFTWARE\Agnitum
   • HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab
   • HKEY_LOCAL_MACHINE\SOFTWARE\McAfee
   • HKEY_LOCAL_MACHINE\SOFTWARE\Panda Software
   • HKEY_LOCAL_MACHINE\SOFTWARE\Symantec
   • HKEY_LOCAL_MACHINE\SOFTWARE\Zone Labs
     
     
7. すべての固定ドライブから次の名前が付いているファイルの全インスタンスを削除しようとするスレッドを起動します。
   
   
   • a5v.dll
   • AUPD1ATE.EXE
   • AUPDATE.EXE
   • av.dll
   • Av1synmgr.exe
   • Avc1onsol.exe
   • Avconsol.exe
   • avg23emc.exe
   • avgc3c.exe
   • avgcc.exe
   • avgemc.exe
   • Avsynmgr.exe
   • C1CSETMGR.EXE
   • c6a5fix.exe
   • cafix.exe
   • CC1EVTMGR.EXE
   • cc1l30.dll
   • ccA1pp.exe
   • ccApp.exe
   • CCEVTMGR.EXE
   • ccl30.dll
   • CCSETMGR.EXE
   • ccv1rtrst.dll
   • ccvrtrst.dll
   • CM1Grdian.exe
   • CMGrdian.exe
   • is5a6fe.exe
   • isafe.exe
   • K2A2V.exe
   • KAV.exe
   • kav12mm.exe
   • kavmm.exe
   • LUAL1L.EXE
   • LUALL.EXE
   • LUI1NSDLL.DLL
   • LUINSDLL.DLL
   • Luup1date.exe
   • Luupdate.exe
   • Mcsh1ield.exe
   • Mcshield.exe
   • mysuperprog.exe
   • NAV1APSVC.EXE
   • NAVAPSVC.EXE
   • NPFM1NTOR.EXE
   • NPFMNTOR.EXE
   • outp1ost.exe
   • outpost.exe
   • RuLa1unch.exe
   • RuLaunch.exe
   • s1ymlcsvc.exe
   • SND1Srvc.exe
   • SNDSrvc.exe
   • SP1BBCSvc.exe
   • SPBBCSvc.exe
   • symlcsvc.exe
   • Up222Date.exe
   • Up2Date.exe
   • ve6tre5dir.dll
   • vetredir.dll
   • Vs1Stat.exe
   • vs6va5ult.dll
   • Vshw1in32.exe
   • Vshwin32.exe
   • VsStat.exe
   • vsvault.dll
   • zatu6tor.exe
   • zatutor.exe
   • zatutor.exe
   • zl5avscan.dll
   • zlavscan.dll
   • zlavscan.dll
   • zlcli6ent.exe
   • zlclient.exe
   • zo3nealarm.exe
   • zonealarm.exe
   • zonealarm.exe
     
     
8. 次のサービスを停止しようとするスレッドを起動します。
   
   
   • SharedAccess
   • wscsvc
     
     
9. 次の名前が付いているプロセスを停止しようとするスレッドを起動します。
   
   
   • ATUPDATER.EXE
   • ATUPDATER.EXE
   • AUPDATE.EXE
   • AUTODOWN.EXE
   • AUTOTRACE.EXE
   • AUTOUPDATE.EXE
   • AVPUPD.EXE
   • AVWUPD32.EXE
   • AVXQUAR.EXE
   • AVXQUAR.EXE
   • CFIAUDIT.EXE
   • DRWEBUPW.EXE
   • ESCANH95.EX
   • ESCANHNT.EXE
   • FIREWALL.EXE
   • ICSSUPPNT.EXE
   • ICSUPP95.EXE
   • LUALL.EXE
   • MCUPDATE.EXE
   • NUPGRADE.EXE
   • NUPGRADE.EXE
   • OUTPOST.EXE
   • UPDATE.EXE
   • UPGRADER.EXE
     
     
10. 次のドメイン (上から順番に) からファイルをダウンロードしようとするスレッドを起動します。最初の試みは、トロイの木馬の起動時に実行されます。それ以降は 6 時間ごとに行われます。トロイの木馬は %Windir%\_re_file.exe ファイルをダウンロードして、実行します。この情報を書いている時点では、このファイルを URL から入手することはできませんでした。
    
    
    • 21ebuild.com
    • 51.net
    • acsohio.com
    • agria.hu
    • andi.com.vn
    • angham.de
    • ascolfibras.com
    • automobilonline.de
    • bangyan.cn
    • beall-cpa.com
    • bolz.at
    • bs-security.de
    • centrovestecasa.it
    • checkonemedia.nl
    • contentproject.com
    • cz-wanjia.com
    • czwanqing.com
    • czzm.com
    • datanet.huwww.datanet.hu
    • designgong.org
    • dgy.com.cn
    • die-fliesen.de
    • discoteka-funfactory.com
    • dom-invest.com.pl
    • eagle.com.cn
    • eagleclub.com.cn
    • eagleclub.com.cn
    • ehc.hu
    • elvis-presley.ch
    • engelhardtgmbh.de
    • externet.hu
    • fahrschule-herb.de
    • fahrschule-lesser.de
    • fermegaroy.com
    • festivalteatrooccidente.com
    • festivalteatrooccidente.com
    • formholz.at
    • fotomax.fi
    • gemtrox.com.tw
    • gepeters.org
    • gimex-messzeuge.de
    • gomyhome.com.tw
    • gymzn.cz
    • gymzn.cz
    • gymzn.cz
    • hondenservice.be
    • idaf.de
    • idcs.be
    • ider.cl
    • inside-tgweb.de
    • izoli.sk
    • jcm-american.com
    • jeoushinn.com
    • jingjuok.com
    • jue-bo.com
    • kingsley.ch
    • marketvw.com
    • megaserve.net
    • mild.at
    • mild.at
    • mild.at
    • niko.de
    • nikogmbh.com
    • olva.com.pe
    • on24.ee
    • onlink.net
    • ppm-alliance.de
    • presley.ch
    • renegaderc.com
    • replayu.com
    • sachsenbuecher.de
    • sanjinyuan.com
    • scvanravenswaaij.nl
    • slovanet.sk
    • snsphoto.com
    • societaet.de
    • soeco.org
    • softmajor.ru
    • solt3.org
    • spacium.biz
    • speedcom.home.pl
    • spirit-in-steel.at
    • spoden.de
    • sportnf.com
    • spy.az
    • sqnsolutions.com
    • st-paulus-bonn.dehtdocs
    • stbs.com.hk
    • steripharm.com
    • students.stir.ac.uk
    • subsplanet.com
    • sungodbio.com
    • superbetcs.com
    • sweb.cz
    • sydolo.com
    • szdiheng.com
    • tcicampus.net
    • techni.com.cn
    • tg-sandhausen-basketball.de
    • th-mutan.com
    • thaifast.com
    • thaiventure.com
    • thefunkiest.com
    • thefunkiest.com
    • thenextstep.tv
    • thenextstep.tv
    • thetexasoutfitter.com
    • tmhcsd1987.friko.pl
    • toussain.be
    • trago.com.pt
    • travelourway.com
    • trgd.dobrcz.pl
    • triapex.cz
    • triptonic.ch
    • tv-marina.com
    • udc-cassinadepecchi.it
    • universe.sk
    • uspowerchair.com
    • uw.hu
    • vercruyssenelektro.be
    • vet24h.com
    • vinimeloni.com
    • vnn.vn
    • vnrvjiet.ac.in
    • vote2fateh.com
    • vw.press-bank.pl
    • wamba.asn.au
    • wdlp.co.za
    • welchcorp.com
    • wesartproductions.com
    • wilsonscountry.com
    • windstar.pl
    • wise-industries.com
    • witold.pl
    • witold.pl
    • wombband.com
    • x-treme.cz
    • xiantong.net
    • xmpie.com
    • xmpie.com
    • xmtd.com
    • xojc.com
    • yannick-spruyt.be
    • yayadownload.com
    • yesterdays.co.za
    • yesterdays.co.za
    • yshkj.com
    • yshkj.com
    • zakazcd.dp.ua
    • zenesoftware.com
    • zentek.co.za
    • zorbas.az
    • zsbersala.edu.sk
      
      
11. 感染先のコンピュータの hosts ファイルを次の行で上書きすることにより、次のセキュリティ関連 Web サイトへのアクセスを無効にします。
    
    127.0.0.1 localhost
    127.0.0.1 ad.doubleclick.net
    127.0.0.1 ad.fastclick.net
    127.0.0.1 ads.fastclick.net
    127.0.0.1 ar.atwola.com
    127.0.0.1 atdmt.com
    127.0.0.1 avp.ch
    127.0.0.1 avp.com
    127.0.0.1 avp.ru
    127.0.0.1 awaps.net
    127.0.0.1 banner.fastclick.net
    127.0.0.1 banners.fastclick.net
    127.0.0.1 ca.com
    127.0.0.1 click.atdmt.com
    127.0.0.1 clicks.atdmt.com
    127.0.0.1 dispatch.mcafee.com
    127.0.0.1 download.mcafee.com
    127.0.0.1 download.microsoft.com
    127.0.0.1 downloads.microsoft.com
    127.0.0.1 engine.awaps.net
    127.0.0.1 fastclick.net
    127.0.0.1 f-secure.com
    127.0.0.1 ftp.f-secure.com
    127.0.0.1 ftp.sophos.com
    127.0.0.1 go.microsoft.com
    127.0.0.1 liveupdate.symantec.com
    127.0.0.1 mast.mcafee.com
    127.0.0.1 mcafee.com
    127.0.0.1 media.fastclick.net
    127.0.0.1 msdn.microsoft.com
    127.0.0.1 my-etrust.com
    127.0.0.1 nai.com
    127.0.0.1 networkassociates.com
    127.0.0.1 office.microsoft.com
    127.0.0.1 phx.corporate-ir.net
    127.0.0.1 secure.nai.com
    127.0.0.1 securityresponse.symantec.com
    127.0.0.1 service1.symantec.com
    127.0.0.1 sophos.com
    127.0.0.1 spd.atdmt.com
    127.0.0.1 support.microsoft.com
    127.0.0.1 symantec.com
    127.0.0.1 update.symantec.com
    127.0.0.1 updates.symantec.com
    127.0.0.1 us.mcafee.com
    127.0.0.1 vil.nai.com
    127.0.0.1 viruslist.ru
    127.0.0.1 windowsupdate.microsoft.com
    127.0.0.1 www.avp.ch
    127.0.0.1 www.avp.com
    127.0.0.1 www.avp.ru
    127.0.0.1 www.awaps.net
    127.0.0.1 www.ca.com
    127.0.0.1 www.fastclick.net
    127.0.0.1 www.f-secure.com
    127.0.0.1 www.kaspersky.ru
    127.0.0.1 www.mcafee.com
    127.0.0.1 www.my-etrust.com
    127.0.0.1 www.nai.com
    127.0.0.1 www.networkassociates.com
    127.0.0.1 www.sophos.com
    127.0.0.1 www.symantec.com
    127.0.0.1 www.trendmicro.com
    127.0.0.1 www.viruslist.ru
    127.0.0.1 ftp.kasperskylab.ru/updates/
    127.0.0.1 ftp.avp.ch/updates/
    127.0.0.1 www.kaspersky.ru/updates/
    127.0.0.1 updates1.kaspersky-labs.com/updates/
    127.0.0.1 updates3.kaspersky-labs.com/updates/
    127.0.0.1 updates4.kaspersky-labs.com/updates/
    127.0.0.1 updates2.kaspersky-labs.com/updates/
    127.0.0.1 updates5.kaspersky-labs.com/updates/
    127.0.0.1 downloads1.kaspersky-labs.com/updates/
    127.0.0.1 www.kaspersky-labs.com/updates/
    127.0.0.1 updates3.kaspersky-labs.com/updates/
    127.0.0.1 downloads1.kaspersky-labs.com/updates/
    127.0.0.1 www3.ca.com
    127.0.0.1 ids.kaspersky-labs.com
    127.0.0.1 downloads2.kaspersky-labs.com
    127.0.0.1 downloads1.kaspersky-labs.com
    127.0.0.1 downloads3.kaspersky-labs.com
    127.0.0.1 downloads4.kaspersky-labs.com
    127.0.0.1 liveupdate.symantecliveupdate.com
    127.0.0.1 liveupdate.symantec.com
    127.0.0.1 update.symantec.com
    127.0.0.1 download.mcafee.com
    127.0.0.1 www.symantec.com
    127.0.0.1 securityresponse.symantec.com
    127.0.0.1 symantec.com
    127.0.0.1 www.sophos.com
    127.0.0.1 sophos.com
    127.0.0.1 www.mcafee.com
    127.0.0.1 mcafee.com
    127.0.0.1 liveupdate.symantecliveupdate.com
    127.0.0.1 www.viruslist.com
    127.0.0.1 viruslist.com
    127.0.0.1 f-secure.com
    127.0.0.1 www.f-secure.com
    127.0.0.1 kaspersky.com
    127.0.0.1 kaspersky-labs.com
    127.0.0.1 www.avp.com
    127.0.0.1 www.kaspersky.com
    127.0.0.1 avp.com
    127.0.0.1 www.networkassociates.com
    127.0.0.1 networkassociates.com
    127.0.0.1 www.ca.com
    127.0.0.1 ca.com
    127.0.0.1 mast.mcafee.com
    127.0.0.1 my-etrust.com
    127.0.0.1 www.my-etrust.com
    127.0.0.1 download.mcafee.com
    127.0.0.1 dispatch.mcafee.com
    127.0.0.1 secure.nai.com
    127.0.0.1 nai.com
    127.0.0.1 www.nai.com
    127.0.0.1 update.symantec.com
    127.0.0.1 updates.symantec.com
    127.0.0.1 us.mcafee.com
    127.0.0.1 liveupdate.symantec.com
    127.0.0.1 customer.symantec.com
    127.0.0.1 rads.mcafee.com
    127.0.0.1 trendmicro.com
    127.0.0.1 www.trendmicro.com
    127.0.0.1 www.grisoft.com
    
    

推奨する感染予防策

シマンテックセキュリティレスポンスでは、すべてのユーザーと管理者の皆様に対し、基本的なオンラインセキュリティ対策として日常的に次のことを実行することを勧めています。

• 不必要なサービスをすべて無効化するか、あるいは削除する。 OSの多くは標準で、FTPクライアント、telnet、Webサーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されます。そのような付加的なサービスを削除することによって、複合型リスクの攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
• 1 つ以上のネットワークサービスが複合型脅威によって悪用された場合、パッチを適用するまでの間、攻撃対象となったサービスを無効にするか、またはそのサービスへのアクセスを遮断する。
• 常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。 . また、この記事、信頼できるセキュリティ情報、ベンダーの Web サイトのいずれかで言及されているセキュリティアップデートがある場合、そのセキュリティアップデートも適用してください。
• パスワードポリシーの徹底。 複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。これにより、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
• メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scrなど)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
• ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離す。被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
• 予期せぬメールが届いた場合には、添付ファイルを開かないように従業員を指導する。 また、インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。 既知のセキュリティホールに対応するパッチが適用されていないWebブラウザーを使用している場合は、安全でないWebサイトにアクセスするだけで感染する可能性があることに留意する。