Trojan.Exponny

危険度 2: 低

駆除ツールをダウンロードする | ドキュメントを印刷する

発見日: 2006 年 3 月 16 日

更新日: 2007 年 2 月 13 日 1:07:51 PM

種別: トロイの木馬

感染サイズ: 199,241 バイト

影響を受けるシステム: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

Trojan.Exponny が実行されると、次のことを行います。

日本語で偽のメッセージを表示します。

注意: エラーメッセージ内に含まれるパスは、このトロイの木馬の正確なロケーションおよびファイル名に応じて異なる可能性があります。
次のファイルとして自分自身をコピーします。

%System%\drivers\host.exe.

注意: %System% は可変でシステムフォルダを参照します。標準では、このフォルダは C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000)、または C:\Windows\System32 (Windows XP) です。
次のレジストリストリサブキーへ

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

次の値を追加します。

"host" = "%System%\drivers\host.exe"

これにより、Windows が起動するたびにこれが実行されるようにします。
Winny が見付かったディレクトリ内の次のファイルを置き換えます。

UpFolder.txt

注意: このファイルは、Up フォルダを定義する Winny の構成です。これを置き換えることによって、Winny は固定ローカルドライブ内のすべてのファイルを公開します。下記に、構成の例を示します。

[C:]
Path=C:
Trip=Viruser
また、上記の構成にフォルダを追加する可能性もあります。このトロイの木馬は、次の名前を含むフォルダの追加は避けます。
- .FILES
- _TS
- \BIN
- \DRM
- \INCLUDE
- \LIB
- \LOTUS\
- ALBUM
- AMPLE
- APACHE
- APP
- AUDIO
- BGM
- BOOK
- \C\
- \CPP\
- \C++\
- \C#\
- CABOS
- CACHE
- CAD
- CANON
- CASHE
- COMMON
- CONFIG
- COOKIES
- DELPHI
- \DEMO\
- DISK
- DIVX
- DOWN
- DRIVERS
- DRV
- DVD
- EPSON
- FJUTY
- FONT
- GAME
- GBA
- GIGA POCKET
- HELP
- HOMEPAGE
- I386
- ICON
- ITUNES
- JAVA
- JUST
- KEYGEN
- LIMEWIRE
- LOCAL
- MANUAL
- MUSIC
- MY PICTURES\NENNGA
- N64
- NES
- NIS
- OPTION
- PIFMAE
- PLAYER
- PLUGIN
- PRINT
- PROGRAM
- PS2
- README
- RECENT
- RECYCLE
- SENDTO
- SERIAL
- SERVICE
- SINGLE
- SKIN
- SOFT
- SONICSTAGE
- SOUND
- SOURCE
- SYSTEM
- TANKEN
- TEMP
- TMP
- TOOL
- TORRENT
- TOSUTILS
- USERDATA
- VALUE
- VIDEO
- VISUAL
- \VB\
- XBOX
- YAHOO
- YOUGO
- WINNY
  
  注意: フォルダ名のこのリストは、次の日本語の文字列も含みます。
  
  このフォルダ内に含まれるファイルが次のファイル拡張子のうちのいずれかを持つ場合には、このトロイの木馬はフォルダの追加を避けます。
- .avi
- .mpg
- .wmv
- .WMV
- .ram
- .RAM
- .rm
- .RM
- .asf
- .swf
- .SWF
- .mov
- .ogm
- .OGM
- .vob
- .VOB
- .mp3
- .MP3
- .ra
- .RA
- .wma
- .WMA
- .wav
- .WAV
- .jpg
- .gif
- .GIF
- .bmp
- .BMP
- .png
- .PNG
- .zip
- .ZIP
- .rar
- .RAR
- .lzh
- .LZH
- .gca
- .GCA
- .iso
- .ISO
- .bin
- .BIN
- .img
- .IMG
- .cab
- .CAB
- .exe
- .EXE
- .sys
- .SYS
- .ocx
- .OCX
- .hlp
- .HLP
- .dll
- .DLL
- .dat
- .DAT
- .ini
- .INI
- .com
- .COM
- .url
- .URL
- .lnk
- .LNK
- .htm
- .HTM
- .html
- .HTML
- .cfg
- .CFG
- .bak
- .BAK
- .TXT
- .txt
- .reg
- .REG
- .log
- .LOG
- .bat
- .BAT
- .vbs
- .VBS
- .js
- .JS
- .jse
- .JSE
- .chm
- .CHM
- .cpp
- .CPP
- .java
- .JAVA
- .class
- .CLASS
- .pas
- .PAS
- .bas
- .BAS
- .scr
- .SCR
- .frm
- .FRM
- .vbp
- .VBP
- .vbw
- .VBW
- .inf
- .INF
- .xml
- .XML
ユーザーのデフォルトの E メールアドレスを検索します。
C ドライブのルートディレクトリ内で見付かったファイルのリストを含む、次のファイルを作成します。

C:\[日本語の文字] UpFolder[実行日][E メールアドレス]
次の情報を %Windir%\SYSTEM.INI ファイルへ追加します。

[UPALL]
ID=[E メールアドレス]

推奨する感染予防策

シマンテックセキュリティレスポンスでは、すべてのユーザーと管理者の皆様に対し、基本的なオンラインセキュリティ対策として日常的に次のことを実行することを勧めています。

不必要なサービスをすべて無効化するか、あるいは削除する。 OSの多くは標準で、FTPクライアント、telnet、Webサーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されます。そのような付加的なサービスを削除することによって、複合型リスクの攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
1 つ以上のネットワークサービスが複合型脅威によって悪用された場合、パッチを適用するまでの間、攻撃対象となったサービスを無効にするか、またはそのサービスへのアクセスを遮断する。
常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。 . また、この記事、信頼できるセキュリティ情報、ベンダーの Web サイトのいずれかで言及されているセキュリティアップデートがある場合、そのセキュリティアップデートも適用してください。
パスワードポリシーの徹底。複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。これにより、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scrなど)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離す。被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
予期せぬメールが届いた場合には、添付ファイルを開かないように従業員を指導する。また、インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。既知のセキュリティホールに対応するパッチが適用されていないWebブラウザーを使用している場合は、安全でないWebサイトにアクセスするだけで感染する可能性があることに留意する。

記述: Masaki Suenaga

駆除方法

危険性の評価