|||||
Symantec.com > セキュリティレスポンス > Spyware.Apropos.C
印刷

Spyware.Apropos.C

ドキュメントを印刷する

更新日: 2007 年 2 月 13 日 11:48:41 AM
種別: スパイウェア
リスクの危険度:


Spyware.Apropos.C が実行されると、次のことを行います。
  1. 次のファイルのいくつかを作成する可能性があります。
    • %Temp%\install_ct.exe
    • %Windir%\ptJ5Z
    • %ProgramFiles%\[ランダムな名前]\ace.dll
    • %ProgramFiles%\[ランダムな名前]\WinGenerics.dll
    • %ProgramFiles%\[ランダムな名前]\data.bin
    • %ProgramFiles%\[ランダムな名前]\AI_[インストールの日付].log
    • %ProgramFiles%\[ランダムな名前]\Cache
    • %ProgramFiles%\[ランダムな名前]\[ランダムな名前].exe
    • %ProgramFiles%\[ランダムな名前]\[ランダムな名前].exe
    • %System%\[ランダムな名前].dll
    • %System%\[ランダムな名前].exe
    • %System%\drivers\[ランダムな名前].sys

      注意:
      • %Windir% は可変で Windows のインストールフォルダを参照します。デフォルトでは、このフォルダは C:\Windows または C:\Winnt です。
      • %Temp% は可変で Windows テンポラリフォルダを参照します。デフォルトでは、このフォルダは C:\Windows\TEMP (Windows 95/98/Me/XP) または C:\WINNT\Temp (Windows NT/2000) です。
      • %System% は可変でシステムフォルダを参照します。標準では、このフォルダは C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000)、または C:\Windows\System32 (Windows XP) です。
      • %ProgramFiles% は可変でプログラムファイルフォルダを参照します。デフォルトでは、このフォルダは C:\Program Files です。
      • [ランダムな名前] は可変で、8 つの英数字記号のランダムに生成されるフォルダまたはファイル名です。Spyware.Apropos.C は、正当なプログラムのように見せかけるために、インストールされているアプリケーションから収集された正当なファイル名とランダムな文字列をミックスすることにより、ランダムな名前を生成しようとします。
      • [インストールの日付] は可変で、システム上に Spyware.Apropos.C がインストールされた日付を参照します。


  2. 次のレジストリキーへ

    HKEY_LOCAL_MACHINE\SOFTWARE \[ランダムな名前]

    次の値を追加します。

    "AutoUpdater" = "%System%\[ランダムな名前].exe"
    "ClientName" = "%ProgramFiles%\[ランダムな名前]\[ランダムな名前].exe"
    "Device" = "\\.\[ランダムな名前]"
    "DriverName" = "[ランダムな名前]"
    "DriverPath" = "%System%\drivers\[ランダムな名前].sys"
    "HDll" = "%System%\[ランダムな名前].dll"
    "HideUninstallerName" = "%System%\[ランダムな名前].exe"
    "InstallationId" = "[ランダムな CLSID]"
    "LegalNote" = "[     http://]adchannell.contextplus.net/[削除済み]/nonbranded.html "
    "PageFiltering" = 0x02
    "PartnerId" = "WB.CP"
    "ServerAddress" = "adchannel.contextplus.net"
    "Version" = "2.0.106"
  3. v次のレジストリキーへ

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[ランダムな名前]

    次の値を追加します。

    "Auto" = [自動スタートのリスト]
    "Debg" = [バイナリ値]
    "Device" = [バイナリ値]
    "ErrorControl" = "1"
    "File" = [バイナリ値]
    "ImagePath" = \\??\%System%\drivers\[ランダムな名前].sys
    "Keys" = [バイナリ値]
    "Start" = "1"
    "Type" = "1    "

    これにより、Windows が起動されるたびに Spyware.Apropos.C が実行されるようにします。

    注意: [自動スタートのリスト] は可変で、標的のコンピューターが再起動される時に Spyware.Apropos.C システムドライバが実行する実行可能ファイルのリストを参照します。
  4. 検出されるのを避け、その実行中のプロセスを隠すために、ルートキット機能を使用します。これは、%System%\drivers ディレクトリ内に投下されたシステムドライバおよび %ProgramFiles% 内のインストールされたフォルダを隠します。
  5. 広告をダウンロードして表示します。
  6. ネットワークにおける活動を監視し、指示を得るためにリモートサーバーへ定期的にコンタクトを取ります。これは、応答に応じて、次のことが可能です。
    • プログラムをダウンロードして実行する
    • 異なるリモートサーバーへコンタクトを取るために、自分自身を再構成する
    • 情報をリモートサーバーへ送信する


ノートン 2010 シリーズ登場
Symantec Endpoint Protection
©1995 - 2009 Symantec Corporation
サイトマップ|
利用規約|
プライバシーポリシー|
お問い合わせ|
各国サイト|
使用許諾契約