TROJ_VOTE.A
詳 細: -
これは「トロイの木馬型」不正プログラムで、大変悪質な破壊活動を行います。 Microsoft Outlook を経由し、メールを送信することで頒布されます。このプログラムは、ウイルス対策ソフトで使用しているファイルを削除し、"WTC.EXE"、"MixDaLaL.VBS"、"Zacker.VBS"ファイルを作成します。また
Internet Explorer のスタートアップページを変更し、Cドライブをフォーマットするようにシステムファイルを変更します。 Visual
Basic 5 で作成されており、プログラムが実行されるには VB ランタイムライブラリ"MSVBVM50.DLL"を必要とします。
活動:
プログラム実行時、以下のサイトが開かれます。
http://us.f1.??????.com/users/da36d538/bc/TimeUpdate.exe?bcaVq97ATaW0yAxk
http://??????.cjb.net/
※安全が確認されていないサイトのため、一部文字列をふせさせていただきます。
1番目のサイトはプログラムがダウンロード・実行されるための実行ファイルの場所になります。このファイルは、トレンドマイクロ製品では"TROJ_BARIO.50"として検知いたします。
そして、以下のファイルを作成します。
C:\WTC.exe
C:\MixDaLaL.vbs
C:\Zacker.vbs
"MixDaLaL.vbs"と"Zacker.vbs"ファイルを VBS_VOTE.A として検知します。
また、ウイルス対策ソフトが使用している以下のファイルを削除します。
C:\Program Files\Antiviral Toolkit Pro
C:\eSafe\Protect
C:\Program Files\Command Software\F-PROT95
C:\PC-Cillin 95
C:\PC-Cillin 97
C:\Program Files\Quick Heal
C:\Program Files\FWIN32
C:\Program Files\Find Virus
C:\Toolkit\FindVirus
C:\f-macro
C:\Program Files\McAfee\VirusScan95
C:\TBAVW95
C:\VS95
そして、感染ユーザーの Internet Explorer のスタートアップページを変更するためにレジストリの以下の値を修正いたします。
場所:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
値:Start Page="http://us.f1.??????.com/users/da36d538/bc/TimeUpdate.exe?bcaVq97ATaW0yAxk"
※安全が確認されていないサイトのため、一部文字列をふせさせていただきます。
次に、作成した"MixDaLaL.vbs"ファイルを実行します。この VBS ファイルは全てのドライブとディレクトリから
HTM/HTML ファイルを検索し、検索したファイルを以下の文字列で上書きします。
AmeRiCa ...Few Days WiLL Show You What We Can Do !!! Its Our Turn >>>
ZaCkEr is So Sorry For You .
作成された"ZaCker.vbs"ファイルが、Windows起動時に実行されるようにレジストリに以下の値を追加します。
場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値:Norton.Thar="C:\WINDOWS\SYSTEM\ZaCker.vbs"
これで、再起動時に作成された"Zacker.vbs"ファイルが実行されます。"AUTOEXEC.BAT"ファイルにCドライブのフォーマット確認の記述を追加します。そして、その時にWindowsディレクトリにある全てのファイルを削除します。
この不正プログラムは、感染ユーザーのアドレス帳にあるメールアドレスを取得し、 Microsoft Outlook を経由して頒布します。メールには"WTC.EXE"ファイルが添付され送信されます。
プログラムが頒布される際に送信されるメールは以下の様になります。
件名:
Fwd:Peace BeTween AmeriCa And IsLam !
本文:
Hi!
iS iT A waR Against AmeriCa Or IsLam!
Lets Vote To Live in Peace!
添付ファイル:
WTC.EXE
そして"AUTOEXEC.BAT"ファイルが修正された、次の起動時にCドライブはフォーマットするようにします。
--------------------------------------------------------------------------------
備 考: 一個のプログラムのため「駆除」できません。検知したファイルは、そのまま「削除」してください。
注)この不正プログラムが実行され、 Windows ディレクトリのファイルが全て削除されると、Windowsの起動が正常に行われなくなります。その場合は、再インストールが必要になります。
プログラムを実行したことにより、システムが改変された場合には、以下の手順で修正を行う必要があります。 (ただし、再起動を行う前のみに有効です。)
手動駆除手順:
1)不正プログラムの自動起動設定を削除します。
Windowsのレジストリエディタ(regedit.exe)などを使用してレジストリ内の以下の値を削除してください:
場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値:Norton.Thar="C:\WINDOWS\SYSTEM\ZaCker.vbs"
2)"AUTOEXEC.BAT"ファイルをテキストエディタで開き、以下の記述がある場合は削除します。
echo Y | format C
3)HTM/HTMLファイルを検索します。上書きされ、オリジナルの情報が消えているファイルに関しては、バックアップのファイルから戻してください。
4)Internet Explorer のスタートページが変更されている場合があります。その場合は [ツール]−[インターネットオプション]
から修正してください。
5)ウイルス対策ソフトが正常に動作しない場合は、再インストールが必要になる場合があります。
6)マシンを再起動し、発見したファイルをすべて削除してください。
|