Trojan.Lodav.B

1. 次のファイルとして自分自身をコピーします。
   
   
   • %System%\antiav_dll.dll
   • %System%\antiav_exe.exe
     
     

     ---

     注意: %System% は可変でシステムフォルダを参照します。標準では、このフォルダは C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000)、または C:\Windows\System32 (Windows XP) です。

     ---

     
     
2. 次のレジストリサブキーへ
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
   
   次の値を追加します。
   
   "auto__antiav__key " = "%System%\antiav_exe.exe"
   
   これにより、Windows が起動されるたびにこれが実行されるようにします。
   
   
3. ファイル antiav_dll.dll を explorer.exe プロセス内へロードし、セキュリティツールのロードを防ぐために特定のシステムコールを傍受します。
   
   
4. 次のレジストリサブキーを削除します。
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\APVXDWIN
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avg7_cc
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avg7_emc
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ccApp
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAV50
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfee Guardian
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfee.InstantUpdate.Monitor
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NAV CfgWiz
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SSC_UserPrompt
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SymantecNetDriver Monitor
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Zone Labs Client
   HKEY_CURRENT_USER\Software\Agnitum
   HKEY_CURRENT_USER\Software\KasperskyLab
   HKEY_CURRENT_USER\Software\McAfee
   HKEY_CURRENT_USER\Software\Panda Software
   HKEY_CURRENT_USER\Software\Symantec
   HKEY_CURRENT_USER\Software\Trend Micro
   HKEY_CURRENT_USER\Software\Zone Labs
   
   これにより、標的のコンピューター上のセキュリティ設定を低下させます。
   
   
5. 次のプロセスを停止します。これらのプロセスのほとんどはセキュリティ関連のものです。
   
   
   • ASHAVAST.EXE
   • ASHDISP.EXE
   • ASHENHCD.EXE
   • ASHPOPWZ.EXE
   • ASHSHA64.DLL
   • ASHSIMPL.EXE
   • ASHSKPCK.EXE
   • ASHWEBSV.EXE
   • AUPDATE.EXE
   • AVCONSOL.EXE
   • AVGCC.EXE
   • AVGCMSG.DLL
   • AVGEMC.EXE
   • AVGNT.EXE
   • AVSCHED32.DLL
   • AVSCHED32.EXE
   • AVSYNMGR.EXE
   • AVWUPD32.EXE
   • BCGCB59.DLL
   • BDMCON.EXE
   • BDNEWS.EXE
   • BDSUBMIT.EXE
   • BDSWITCH.EXE
   • CAFIX.EXE
   • CCAPP.EXE
   • CCEVTMGR.EXE
   • CCL30.DLL
   • CCSETMGR.EXE
   • CCVRTRST.DLL
   • CLAMTRAY.EXE
   • CLAMWIN.EXE
   • CMGRDIAN.EXE
   • D2HTLS32.DLL
   • DRWADINS.EXE
   • DRWEB32W.EXE
   • DRWEBSCD.EXE
   • DRWEBUPW.EXE
   • FFJMPWEB.DLL
   • FRESHCLAM.EXE
   • GUARDEVT.DLL
   • GUARDGUI.EXE
   • GUARDMSG.DLL
   • GUARDNT.EXE
   • IKSYST32.DLL
   • INETUPD.EXE
   • INOCIT.EXE
   • INOOEM.DLL
   • INOOPTION.DLL
   • INOUPTNG.EXE
   • ISAFE.EXE
   • KAV.EXE
   • KAVMM.EXE
   • KAVPF.EXE
   • LUALL.EXE
   • LUINSDLL.DLL
   • LUUPDATE.EXE
   • MCSHIELD.EXE
   • NAVAPSVC.EXE
   • NOD32.EXE
   • NOD32API.DLL
   • NOD32KUI.EXE
   • NPFMNTOR.EXE
   • NPFMSG.EXE
   • NVCCF0D.DLL
   • NVCEVLOG.DLL
   • NVCOD.EXE
   • NVCTE.EXE
   • NVCUT.EXE
   • OCONNDLG.DLL
   • OCOOKDLG.DLL
   • OUTPOST.EXE
   • PCCGUIDE.EXE
   • PCCTLCOM.EXE
   • PYTHON23.DLL
   • QHPF.EXE
   • REALMON.EXE
   • REGEDIT.EXE
   • REGEDT32.EXE
   • RULAUNCH.EXE
   • SCHFACE.DLL
   • SNDSRVC.EXE
   • SPBBCSVC.EXE
   • SPIDERML.EXE
   • SYMLCSVC.EXE
   • T2W32.DLL
   • TMNTSRV.EXE
   • TMPFW.EXE
   • TMPROXY.EXE
   • UP2DATE.EXE
   • UPGREPL.EXE
   • VBA32IFS.EXE
   • VBA32LDR.EXE
   • VBA32PP3.EXE
   • VBAIFPS.DLL
   • VETREDIR.DLL
   • VSHWIN32.EXE
   • VSSTAT.EXE
   • VSVAULT.DLL
   • XT1922.DLL
   • VBA32ECM.EXE
   • ZATUTOR.EXE
   • ZLAVSCAN.DLL
   • ZLCLIENT.EXE
   • ZONEALARM.EXE
     
     
6. ウィンドウタイトル内に次のキーワードのいずれかを含むプロセスの停止を試みます。
   
   
   • Ahnlab task Scheduler
   • alerter
   • AlertManger
   • AntiVir Service
   • aswUpdSv
   • Ati HotKey Poller
   • avast! Antivirus
   • AVEService
   • AVExch32Service
   • avg7alrt
   • avg7updsvc
   • AvgCore
   • AvgFsh
   • AvgServ
   • AVIRAMailService
   • AVIRAService
   • avpcc
   • AVUPDService
   • AVWUpSrv
   • AvxIni
   • awhost32
   • backweb client - 4476822
   • BackWeb Client - 7681197
   • backweb client-4476822
   • bdss
   • BlackICE
   • CAISafe
   • ccEvtMgr
   • ccPwdSvc
   • ccSetMgr
   • ccSetMgr.exe
   • DefWatch
   • dvpapi
   • dvpinit
   • F-Secure Gatekeeper Handler Starter
   • fsbwsys
   • fsdfwd
   • FSMA
   • Guard NT
   • InoRpc
   • InoRT
   • InoTask
   • KAVMonitorService
   • kavsvc
   • KLBLMain
   • McAfee Firewall
   • McAfeeFramework
   • McShield
   • McTaskManager
   • mcupdmgr.exe
   • MCVSRte
   • MonSvcNT
   • navapsvc
   • Network Associates Log Service
   • nipsvc
   • NISSERV
   • NISUM
   • NOD32ControlCenter
   • NOD32Service
   • Norman NJeeves
   • Norman Type-R
   • Norman ZANDA
   • Norton Antivirus Server
   • NPFMntor
   • NProtectService
   • NSCTOP
   • nvcoas
   • NVCScheduler
   • nwclntc
   • nwclntd
   • nwclnte
   • nwclntf
   • nwclntg
   • nwclnth
   • NWService
   • Outbreak Manager
   • Outpost Firewall
   • OutpostFirewall
   • PASSRV
   • PAVFNSVR
   • Pavkre
   • PavProt
   • PavPrSrv
   • PAVSRV
   • PCCPFW
   • PersFW
   • PREVSRV
   • PSIMSVC
   • ravmon8
   • SAVFMSE
   • SAVScan
   • SBService
   • schscnt
   • SharedAccess
   • SmcService
   • SNDSrvc
   • SPBBCSvc
   • SpiderNT
   • SweepNet
   • SWEEPSRV.SYS
   • Symantec AntiVirus Client
   • Symantec Core LC
   • Tmntsrv
   • V3MonNT
   • V3MonSvc
   • Vba32ECM
   • Vba32ifs
   • Vba32Ldr
   • Vba32PP3
   • VexiraAntivirus
   • VisNetic AntiVirus Plug-in
   • vsmon
   • vsserv
   • wuauserv
     
     
7. 次のドメイン （その内いくつかはセキュリティ関連のものです） をチェックし、それらへの以降の接続をブロックする可能性があります。
   
   
   • 193.69.114.12
   • 212.113.20.69
   • 213.219.245.4
   • 213.248.60.121
   • 216.200.68.152
   • 62.146.66.181
   • 63.210.193.12
   • 84.53.142.22
   • 84.53.142.6
   • ad.doubleclick.net
   • ad.fastclick.net
   • ads.fastclick.net
   • antivir.de
   • anti-virus.by
   • ar.atwola.com
   • atdmt.com
   • avast.com
   • avira.com
   • avp.ch
   • avp.ch
   • avp.com
   • avp.com
   • avp.ru
   • avp.ru
   • awaps.net
   • awaps.net
   • banner.fastclick.net
   • banners.fastclick.net
   • bitdefender.com
   • bitdefender.ru
   • ca.com
   • ca.com
   • ca.com
   • ca.com
   • ca.com
   • ca.com
   • ca.com
   • ca.com
   • ca.com
   • ca.com
   • clamav.net
   • clamwin.com
   • click.atdmt.com
   • clicks.atdmt.com
   • customer.symantec.com
   • database.clamav.net
   • dispatch.mcafee.com
   • download.ikarus.at
   • download.mcafee.com
   • download.microsoft.com
   • download25.avast.com
   • downloadhosting.core.ignum.cz
   • downloads.avira.com
   • downloads.microsoft.com
   • downloads1.kaspersky-labs.com
   • downloads2.kaspersky-labs.com
   • downloads3.kaspersky-labs.com
   • downloads4.kaspersky-labs.com
   • downloads-eu1.kaspersky-labs.com
   • downloads-us1.kaspersky-labs.com
   • downloads-us2.kaspersky-labs.com
   • downloads-us3.kaspersky-labs.com
   • drweb.com
   • drweb.com
   • drweb.ru
   • engine.awaps.net
   • esetsoftware.com
   • fastclick.net
   • fastclick.net
   • files.referats.net
   • f-secure.com
   • f-secure.com
   • ftp.avp.ch
   • ftp.downloads2.kaspersky-labs.com
   • ftp.f-secure.com
   • ftp.kasperskylab.ru
   • ftp.sophos.com
   • ftpav.ca.com
   • ftpav.ca.com
   • gin.ba.euroweb.sk
   • go.microsoft.com
   • grisoft.com
   • hbedv.com
   • ids.kaspersky-labs.com
   • ikarus-software.at
   • kaspersky.com
   • kaspersky.com
   • kaspersky.ru
   • kaspersky-labs.com
   • kaspersky-labs.com
   • liveupdate.symantec.com
   • liveupdate.symantecliveupdate.com
   • mast.mcafee.com
   • mcafee.com
   • mcafee.com
   • media.fastclick.net
   • msdn.microsoft.com
   • msk4.drweb.com
   • my-etrust.com
   • my-etrust.com
   • nai.com
   • nai.com
   • networkassociates.com
   • networkassociates.com
   • niutwo.norman.no
   • office.microsoft.com
   • open.by
   • pandasoftware.com
   • phx.corporate-ir.net
   • rads.mcafee.com
   • ravantivirus.com
   • report.bitdefender.com
   • rs02.avast.com
   • rs03.avast.com
   • rs06.avast.com
   • rs07.avast.com
   • rs08.avast.com
   • rs10.avast.com
   • rs11.avast.com
   • rs18.avast.com
   • rs18.avast.com
   • rs20.avast.com
   • rs24.avast.com
   • secure.nai.com
   • securityresponse.symantec.com
   • service1.symantec.com
   • service1.symantec.com
   • sm01.avast.com
   • sm04.avast.com
   • sm05.avast.com
   • sm09.avast.com
   • sm12.avast.com
   • sm13.avast.com
   • sm14.avast.com
   • sm15.avast.com
   • sm16.avast.com
   • sm17.avast.com
   • sm19.avast.com
   • sm21.avast.com
   • sm22.avast.com
   • sm23.avast.com
   • sm25.avast.com
   • sophos.com
   • sophos.com
   • spd.atdmt.com
   • support.microsoft.com
   • symantec.com
   • symantec.com
   • trendmicro.com
   • trendmicro.com
   • update.symantec.com
   • update.symantec.com
   • updates.symantec.com
   • updates1.kaspersky-labs.com
   • updates2.kaspersky-labs.com
   • updates3.kaspersky-labs.com
   • updates4.kaspersky-labs.com
   • updates5.kaspersky-labs.com
   • upgrade.bitdefender.com
   • upgrade.bitdefender.com
   • us.mcafee.com
   • vba32.de
   • vil.nai.com
   • viruslist.com
   • viruslist.com
   • viruslist.ru
   • viruslist.ru
   • windowsupdate.microsoft.com
   • www.antivir.de
   • www.anti-virus.by
   • www.avast.com
   • www.avira.com
   • www.avp.ch
   • www.avp.com
   • www.avp.ru
   • www.awaps.net
   • www.bitdefender.com
   • www.bitdefender.ru
   • www.ca.com
   • www.ca.com
   • www.clamav.net
   • www.clamwin.com
   • www.drweb.com
   • www.drweb.com
   • www.fastclick.net
   • www.f-secure.com
   • www.grisoft.com
   • www.hacksoft.com.pe
   • www.hbedv.com
   • www.kaspersky.com
   • www.kaspersky.ru
   • www.kaspersky-labs.com
   • www.mcafee.com
   • www.my-etrust.com
   • www.nai.com
   • www.networkassociates.com
   • www.open.by
   • www.pandasoftware.com
   • www.ravantivirus.com
   • www.sophos.com
   • www.symantec.com
   • www.trendmicro.com
   • www.vba32.de
   • www.viruslist.com
   • www.viruslist.ru
   • www2.eset.com
   • www3.ca.com
   • www3.ca.com
   • zak.avira.com

推奨する感染予防策

シマンテックセキュリティレスポンスでは、すべてのユーザーと管理者の皆様に対し、基本的なオンラインセキュリティ対策として日常的に次のことを実行することを勧めています。

• 不必要なサービスをすべて無効化するか、あるいは削除する。 OSの多くは標準で、FTPクライアント、telnet、Webサーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されます。そのような付加的なサービスを削除することによって、複合型リスクの攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
• 1 つ以上のネットワークサービスが複合型脅威によって悪用された場合、パッチを適用するまでの間、攻撃対象となったサービスを無効にするか、またはそのサービスへのアクセスを遮断する。
• 常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。 . また、この記事、信頼できるセキュリティ情報、ベンダーの Web サイトのいずれかで言及されているセキュリティアップデートがある場合、そのセキュリティアップデートも適用してください。
• パスワードポリシーの徹底。 複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。これにより、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
• メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scrなど)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
• ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離す。被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
• 予期せぬメールが届いた場合には、添付ファイルを開かないように従業員を指導する。 また、インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。 既知のセキュリティホールに対応するパッチが適用されていないWebブラウザーを使用している場合は、安全でないWebサイトにアクセスするだけで感染する可能性があることに留意する。