発見日: 2005 年 5 月 15 日
更新日: 2007 年 2 月 13 日 12:50:32 PM
別名: Win32.Lineage.S [Computer Asso, Trojan-PSW.Win32.Delf.fz [Kasp, Trojan-PSW.Win32.Lmir.aeu [Kas, PWS-LegMir!chm [McAfee], PWS-Lineage{.dll, !chm} [McAfee], Troj/LegMir-AE [Sophos], CHM_DELF.D [Trend Micro], TROJ_DELF.RM [Trend Micro], TSPY_LINEAGE.AP [Trend Micro]
種別: トロイの木馬
感染サイズ: 50,688 バイト
影響を受けるシステム: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
この悪意のある URL をクリックすると、デフォルトのブラウザが j4sb.com ドメイン上の Web ページへアクセスします。この HTML Web ページは、同じサイト上で .CHM ファイルを実行するために、Microsoft Internet Explorer ITS プロトコルゾーンのバイパスにおける脆弱性 (Microsoft セキュリティ情報 MS04-013 参照) を悪用しようとします。
この .CHM ファイル内に含まれているコードは、この CHM ファイル内に含まれている #.exe を実行します。
#.exe が実行されると、次のことを行います。
- 次のファイルを投下します。
- %System%\explorer.exe
- %System%\htdll.dll
- C:\GaMeJTT1.TXT
注意: %System% は可変でシステムフォルダを参照します。標準では、このフォルダは C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000)、または C:\Windows\System32 (Windows XP) です。
- ZoneAlarm、Romanian Antivirus アプリケーション、および次のプロセスを終了させます。
- EGHOST.EXE
- MAILMON.EXE
- KAVPFW.EXE
- Iparmor.exe
- Ravmon.exe
- タイトルに次の 3 つの中国語の文字列のうちいずれかを含むウィンドウを閉じます。
注意: これらのウィンドウは、中国のアンチウイルス製品に関連付けられています。
- 次のレジストリストリサブキーへ
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
次の値を追加します。
"load" = "%System%\explorer.exe"
Windows の起動時に必ずトロイの木馬が実行されるように設定します。
- htdll.dll を使用して、C:\GaMeJTT1.TXT へのアプリケーション Lineage へ送信されたキーストロークおよびマウスのクリックをログに記録します。
- C:\GaMeJTT1.TXT へのアプリケーション Lineage のメモリー内の特定の部分をダンプするために、htdll.dll を使用します。
- システム情報およびログに記録されたキーストロークを、ポート 80 で j4sb.com ドメイン上のスクリプトへ送信します。
- Windows 9x/ME を実行しているコンピューター上では、このトロイの木馬は %Windir%\rundll32.exe および %System%\internat.exe を次のロケーションへバックアップします。
- %SystemDrive%\rundll32.exe
- %SystemDrive%\internat.exe
注意: %SystemDrive% は可変で Windows がインストールされているドライブを参照します。標準では、このドライブは C ドライブです。
- Windows 9x/ME を実行しているコンピューター上では、このトロイの木馬は自分自身を次のファイルへコピーします。
- %Windir%\rundll32.exe
- %System%\internat.exe
- このトロイの木馬は自分自身をこれらのロケーションへコピーすることに失敗すると、次のファイルとして自分自身の一時コピーを作成します。
- %Windir%\rundll32.exe.ddd
- %System%\internat.exe.ddd
- Windows 9x/ME を実行しているコンピューター上では、このトロイの木馬は次のテキストを WININIT.INI の [rename] セクションへ追加します。
[rename]
%Windir%\rundll32.exe=%Window%\Rundll~1.ddd
%System%\internat.exe=%Window%\intern~1.ddd
推奨する感染予防策
シマンテックセキュリティレスポンスでは、すべてのユーザーと管理者の皆様に対し、基本的なオンラインセキュリティ対策として日常的に次のことを実行することを勧めています。
- 不必要なサービスをすべて無効化するか、あるいは削除する。 OSの多くは標準で、FTPクライアント、telnet、Webサーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されます。そのような付加的なサービスを削除することによって、複合型リスクの攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
- 1 つ以上のネットワークサービスが複合型脅威によって悪用された場合、パッチを適用するまでの間、攻撃対象となったサービスを無効にするか、またはそのサービスへのアクセスを遮断する。
- 常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。 . また、この記事、信頼できるセキュリティ情報、ベンダーの Web サイトのいずれかで言及されているセキュリティアップデートがある場合、そのセキュリティアップデートも適用してください。
- パスワードポリシーの徹底。 複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。これにより、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
- メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scrなど)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
- ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離す。被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
- 予期せぬメールが届いた場合には、添付ファイルを開かないように従業員を指導する。 また、インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。 既知のセキュリティホールに対応するパッチが適用されていないWebブラウザーを使用している場合は、安全でないWebサイトにアクセスするだけで感染する可能性があることに留意する。
記述: Kaoru Hayashi
Hatena
Yahoo
Livedoor
Buzzurl
Delicious
FC2
Google
Newsvine
newsing
Digg
