今週の不正プログラム: “Total Security” と Antivirus IS


By Brenden Vaughan、Andrew Brandt

今週、弊社のサポート チームとアドバンスト マルウェア リムーバル (AMR) チームからの不正セキュリティ プログラムについての新たなデータの報告は、あまり多くありませんでした。今週もっとも多かった感染は、先週ご報告した不正セキュリティ プログラムによるものです。

そのプログラムは “XP Total Security” と呼ばれていますが、実際には、ターゲットとなるコンピューターのオペレーティング システムを識別し、それを基に複数の名前から 1 つをランダムに選び出します。先週の記事に、これらのオペレーティング システムのリストを掲載してあります。前回お知らせしたように、このプログラムはコンピューターをセーフ モードで (その不正プログラムではなく、ウェブルート製品で) スキャンすることで削除できます。

そのプログラムのメインの実行可能ファイルは、ランダムな 3 文字のファイル名が付けられており、感染時にログオンしているユーザーの Application Data フォルダー内にランダムな 3 文字の名前のフォルダーを作成し、そこにインストールされます。そのプログラムは、下記の場所にインストールされます。

%UserProfile%\Local Settings\Application Data\<random>\<random>.exe

AMR は “Antivirus IS” という別の不正プログラムを確認したと報告しています。AMR がこのプログラムについて報告したのは初めてですが、Brenden はそのプログラムは少し前から出現しており、去年の後半あたりから拡がってきていると見ています。そのプログラムのロゴは青色で赤い線が斜めに入った盾で、”Innovative protection for your PC (PC に革新的な保護機能を)” という全くナンセンスなフレーズが表示されます。

また、Application Data フォルダーにはいかなるプログラムも置くべきでないこともお伝えしたいと思います。正規のプログラムをインストールすると、通常そのディレクトリ内にフォルダーが作成され、データ ファイル、ログ、またその他の必要なファイルがそのフォルダー内に維持されます。厳密に言うと、1 つのユーザー アカウントに 2 つの Application Data フォルダーが作成されます。

それぞれの Application Data フォルダーの中身を確認するには、スタート メニューをクリックし、[ファイル名を指定して実行…] を選択し、下記のどちらかのコマンドをテキスト フィールドに入力してから Enter キーを押すかまたは [OK] ボタンをクリックします。それぞれのコマンドで別のフォルダーが表示されます。

%appdata%
%UserProfile%\Local Settings\Application Data\

それぞれのディレクトリには多くのフォルダーが含まれていますが、実行可能ファイルは含まれていないはずです (紛れ込んだ、害のないデータ ファイルや ini ファイルがいくつかある可能性はありますが)。よく見られる正規の 3 文字のフォルダー名には、Sun (Java 用のファイルを含みます) や vlc (同名の人気の高いメディア プレーヤーによって使用されます) などがあります。また、その他にも正規の 3 文字のフォルダー名が多く見られるでしょう。この場所では、削除しても問題ないという確信がないかぎり、何も削除しないでください。

Antivirus IS

Antivirus IS は、システムが変更され、ブラウザーが使用できなくなる恐れがある不正プログラムです。

この不正プログラムによって、DNS サーバーの設定が変更され、このプログラムのオペレーターによって、コンピューターがユーザーの意図するものとは異なるサイトに誘導される恐れがあります。我々にとって非常にショックだったのですが、確認したコンピューターに設定されている DNS サーバーには、ウクライナのインターネット サービス プロバイダーに割り当てられた IP アドレスが設定されていました。また、そのプログラムにより、対象のコンピューターのレジストリ キーで Internet Explorer のフィッシング詐欺検出機能が無効になるように設定されたり、また別のキーで、その不正プログラムを該当のコンピューターのポート 5643 でローカルの Web プロキシとして機能するように設定され、ブラウザーが特定の Web サイトにアクセスできないようになる恐れがあります。

下記は調査用のテスト マシンで Antivirus IS によって作成されたレジストリ キーの一部です。

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters
NameServer=93.188.163.182,93.188.166.182

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\PhishingFilter
Enabled=0

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run
<random>=%UserProfile%\Local Settings\Application Data\<random>\<random>.exe

(<random> は、通常、ランダムに選択された 3 文字のアルファベットとなります)

上記のレジストリ設定の一部またはすべてが確認された場合、下記のレジストリ設定も不正プログラムの影響を受けている可能性があります。この不正プログラムを手動で削除し、同時にこのキーを削除しない場合、ProxyEnable を 0 (ゼロ) に設定し、ローカル プロキシを無効にしないと、ブラウザーでインターネットを使用できなくなります。

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
ProxyEnable=1
ProxyOverride=<local>
ProxyServer=127.0.0.1:5643

– Vaughan

wordpress blog stats

広告