よく訓練されたべとこんの日記

生者の為に施しを、死者の為には花束を。正義の為に銃を持ち、全ての不義に鉄槌を! (by BLACK LAGOON)

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
  1. --/--/--(--) --:--:--|
  2. スポンサー広告

メッセンジャー/バックドアワームTOP

 

★ 01/04更新 ★


・感染経路
Windows Live Messenger、Skype、Yahoo Messenger、ICQ 他の大手メッセンジャーツール

●●の発言:foto http://myspacy.biz/viewimage.php?=受信先メールアドレス

というURL1行のメッセージが送られ、クリックすると「IMG455.jpg-www.photo.com」というCOMファイルをDL。
DOS実行(ダブルクリック/読み込み)すると感染。(当環境ではtxtリネームで感染せず)


・症状
下記のファイルを作成。(★追記あり)
imgs.exeがどこかに潜伏しているらしいが、こっちでは未確認→下記追記
spc.exeが実行ファイルで、アンチが警告するも動作は防げず、メッセンジャーに登録してあるアドレスへ上記の感染元URL1行自動送信を開始する。
PCがフリーズ状態(プロセス独占)し、メッセ窓が確認できないくらい一瞬で開閉(送信実行)。
あわせてWindowsの自動更新やシステムの復元も出来なくなる模様。


★ 注意!ほとんどのファイル名はランダム作成 ★


◆C:\
 spc.exe バスター警告名:PAK_GENERIC.001
◆windows\system32
 Ststvyxx.ini
 Ststvyxx.ini2
 sthauhsh.dll
 4bd9d7dc-.txt
 xxyvtstS.dll
 xxyXpQGa.dll

◆windows\Prefetch
 IMGS.EXE-151EE1F1.pf
◆タスクプロセス
 fxstaller.exe
◆レジストリ
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
★Windows Udp Control Center データ名:fxstaller.exe

----01/04追記初め
 ----朝7時、急にバスターが駆除始めたんで追記

◆imgs.exe
  C:\Documents and Settings\ユーザー\Local Settings\Temp\IXP000.TMP"
 (\Documents and Settings を検索推奨
A0069618.exe(数字はPC別。感染日時のAxxxxxx.exe)
A0069619.com(数字はPC別。感染日時のAxxxxxx.com)
  C:\System Volume Information\_restore{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxx}\RPxxx
 (上記の通り復元ポイントのフォルダにあるので、ファイル名とディレクトリはPCによって違います。
◆DC17.com (他のウイルスでDC4.exe等がある模様→★★外部リンク
  C:\RECYCLER\x-x-x-xx-xxxxxx-xxxxxxxxx-xxxxxxxx-xxxx
 (こっちはゴミ箱。ディレクトリは以下略


 ----以下記入忘れ(感染時バスター自動駆除)
 ----IEのTEMPフォルダ検索推奨

◆img20081223085209[1].jpg (もしくはimg20081223085209.jpg)
F:\Temporary Internet Files\Content.IE5\FU7CZJUB
◆file[1].exe (もしくはfile.exe)
F:\Temporary Internet Files\Content.IE5\R29Y0TPG
F:\Temporary Internet Files\Content.IE5\NETX6L9Y
F:\Temporary Internet Files\Content.IE5\JQUTZ3QB

----01/04追記終わり


・手動対処

プロセス独占でフリーズ状態だからLANケーブルぶっこ抜き。

回線が切断されるとプロセスが解放されるので、メッセを終了。
C:\spc.exeを削除、この時点で感染爆発は防げる。この状態ではインスタントメッセージを送信できない。
タスクプロセスfxstaller.exeを停止。インスタント可能。メッセ接続中のユーザーへウイルス警告文を送る。
上記のレジストリをRegEditで削除。
「IMG455.jpg-www.photo.com」を削除するのも忘れずに。(txtリネームしたやつの削除忘れてますた)

windows直下のフォルダに生成されたファイル等を削除。上記以外にもあるかもしれないから詳細表示で更新日時を確認して探すのがオススメ。
アヤシイからって全部削除すると面倒な事になるんで、危険なファイルか裏を取ってから削除推奨。

★重要★
Unlockr導入→http://unlocker.brothersoft.jp/

下の二つはロックされて削除権限がないのでUnlockerを右クリック起動
◆windows\system32
 xxyvtstS.dll
 xxyXpQGa.dll



Unlocker-1-8-7_1.png


左下の選択から削除を選択し、右下の全ロック解除をクリック。
これで自動削除される。もう一つも同じく実行。

これで対処は完了されると思われるが、これ以外のウイルスや残骸が潜伏しているかもしれんのでアンチ全検索を推奨。
俺は面倒だからやんねーけどな!


他の方のブログも参照推奨。
http://azurecolor.blog51.fc2.com/blog-entry-315.html
http://nihonbuson.blog10.fc2.com/blog-entry-970.html
http://valk.blog92.fc2.com/blog-entry-306.html


 
スポンサーサイト
  1. 2010/01/04(月) 09:08:36|
  2. ry
  3. | トラックバック:0
  4. | コメント:0

プロフィール

RedFlags

Author:RedFlags
越南解放戦線

平成20年4月
 RFZ/T鯖ベラート軍
  ノバス戦線より撤退

平成20年5月
 FEZ/A鯖ゲブランド軍
  エセスティア戦線へ参戦
 
nico → "368326"

→CoHMOD自作動画
→RF動画
 


「.co」「.ne」「.cn」は書き込み禁止中です。
かな文字にする等の変換を行って下さい。





 

最近の記事

リンク

このブログをリンクに追加する

最近のコメント

カテゴリー

月別アーカイブ

最近のトラックバック

ブロとも申請フォーム

この人とブロともになる

ブログ内検索

RSSフィード

その他

ud

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。