Trojan.Kakkeys.C

1. 次のファイルとして自分自身をコピーします。
   
   
   • C:\RECYCLER\iexplore.exe
   • C:\:.exe
     
     
2. 次のレジストリストリサブキーへ
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   
   次の値を追加します。
   
   "Shell" = "C:\:.exe -s explorer.exe"
   
   これにより、Windows が起動されるたびにこれが実行されるようにします。
   
   
3. 次のレジストリストリサブキーへ
   
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
   
   次の値を追加します。
   
   "AlternateShell" = "C:\:.exe -s cmd.exe"
   
   これにより、Windows が起動されるたびにこれが実行されるようにします。
   
   
4. 次のレジストリストリサブキーへ
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   
   次の値を追加します。
   
   "Shell" = "C:\:.exe -e"
   
   これにより、Windows が起動されるたびにこれが実行されるようにします。
   
   
5. 次の無害のファイルを作成します。
   
   
   • zlib.dll
   • 7-zip32.dll
   • imgctl.dll
     
     
6. ユーザーの気をそらそうとして、Windows Media Player を実行します。
   
   
7. 次のフォルダを検索します。
   
   
   • [WINNY のインストールフォルダ]
   • [SHARE のインストールフォルダ]
     
     

     ---

     注意:
   • [WINNY のインストールフォルダ] は、Winny ファイル共有アプリケーションの実行可能ファイルのオリジナルの実行元のフォルダを指します。
   • [SHARE のインストールフォルダ] は、Share ファイル共有アプリケーションの実行可能ファイルのオリジナルの実行元のフォルダを指します。

     ---

     
     
8. ファイルを Winny ファイル共有ネットワークへアップロードするために、次のフォルダを作成し、そのためのエントリをファイル [WINNY のインストールフォルダ]\UpFolder.txt へ追加します。
   
   C:\Program Files\[ランダムな日本語の言葉]
   
   [ランダムな日本語の言葉] は、フォルダ [WINNY のインストールフォルダ] または [SHARE のインストールフォルダ] 内で見付かった次のファイルから選択された、各種の日本語の言葉を指します。
   
   
   • Tab1.txt
   • Tab2.txt
   • seach.txt
   • query.txt
   • clusterlist.txt
     
     
9. スクリーンショットをキャプチャし、これらのスクリーンショットを .png ファイルとして次のフォルダ内に保存します。
   
   
   • %Temp%\will
   • C:\Program Files\[ランダムな日本語の言葉]
     
     

     ---

     注意: %Temp% は可変で Windows テンポラリフォルダを参照します。標準では、このフォルダは C:\Windows\TEMP (Windows 95/98/Me/XP) または C:\WINNT\Temp (Windows NT/2000) です。

     ---

     
     
     
10. フォルダ C:\Program Files\[ランダムな日本語の言葉] 内に、次のフォルダのコンテンツを含む .zip ファイルを作成します。
    
    %UserProfile%\favorites
    
    

    ---

    注意: %UserProfile% は可変でカレントユーザのプロファイルフォルダを参照します。標準では、このフォルダは C:\Documents and Settings\[カレントユーザ] (Windows NT/2000/XP) です。

    ---

    
    
11. Ragnarok オンラインゲームに関連する秘密情報を盗み取ろうとします。
    
    
12. 次のレジストリストリサブキーへ
    
    HKEY_LOCAL_MACHINE\SOFTWARE\Gravity Soft\Ragnarok\ShortCutList
    
    次の値を追加します。
    
    "1" = "[日本語のテキスト]"
    "2" = "[日本語のテキスト]"
    "3" = "[日本語のテキスト]"
    "4" = "[日本語のテキスト]"
    "5" = "[日本語のテキスト]"
    "6" = "[日本語のテキスト]"
    "7" = "[日本語のテキスト]"
    "8" = "[日本語のテキスト]"
    "9" = "[日本語のテキスト]"
    
    標的のコンピューター上に Ragnarok オンラインゲームがインストールされている場合:
    
    
13. 日本語のメッセージを次の掲示板へ送信しようとします。
    
    
    • [http://]jbbs.livedoor.com/[削除済み]
    • [http://]jbbs.kakiko.com/[削除済み]
      
      これらのメッセージには、このトロイの木馬が標的のコンピューターから収集した秘密情報が含まれている可能性があります。
      
      
14. hosts ファイルへ次のエントリを追加します。
    
    127.0.0.1 localhost
    203.131.198.41 jbbs.livedoor.com
    206.223.150.85 yy14.kakiko.com

推奨する感染予防策

シマンテックセキュリティレスポンスでは、すべてのユーザーと管理者の皆様に対し、基本的なオンラインセキュリティ対策として日常的に次のことを実行することを勧めています。

• 不必要なサービスをすべて無効化するか、あるいは削除する。 OSの多くは標準で、FTPクライアント、telnet、Webサーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されます。そのような付加的なサービスを削除することによって、複合型リスクの攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
• 1 つ以上のネットワークサービスが複合型脅威によって悪用された場合、パッチを適用するまでの間、攻撃対象となったサービスを無効にするか、またはそのサービスへのアクセスを遮断する。
• 常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。 . また、この記事、信頼できるセキュリティ情報、ベンダーの Web サイトのいずれかで言及されているセキュリティアップデートがある場合、そのセキュリティアップデートも適用してください。
• パスワードポリシーの徹底。 複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。これにより、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
• メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scrなど)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
• ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離す。被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
• 予期せぬメールが届いた場合には、添付ファイルを開かないように従業員を指導する。 また、インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。 既知のセキュリティホールに対応するパッチが適用されていないWebブラウザーを使用している場合は、安全でないWebサイトにアクセスするだけで感染する可能性があることに留意する。