トロイの木馬

ホーム>トロイの木馬

PC中からトロイの木馬を発見しました。
ファイル上書きの内容から某ソフトの偽パッチが感染源だと思います。
(ウイルスチェックだけして片っ端から実行したのがまずかった……)
感染したのがだいぶ前なので役に立つかはわかりませんが、
情報をここに書いておきます。
なお、2003/08/01現在ウイルスバスター2003では検出できませんでした。

駆除方法

下記のレジストリからmsexvtr.dllを削除。(別のファイル名の可能性もあり)
PCを再起動し、システムフォルダからファイル本体を削除
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_Dlls

※この方法で完全に駆除できることは保障しません。
 HDをフォーマットし、再インストールを行うべきです。

ファイル本体

規約上ここに本体を置くわけにはいかないので、Winnyで流します。
絶対に悪用はしないでください。ダウンロード・解凍は自己責任でお願いします。

パスワード:!qE5fTkyuwc
virus.zip 1,970 ae284d5eb564e47ebe24255c418ae89b

詳細

ファイル名:msexvtr.dll
種別:トロイの木馬
サイズ:3KB(upx圧縮、展開後20KB)
ダメージ:ファイルの削除、ディスク情報の破壊?(未確認)

活動内容:

下記のレジストリに自分自身を設定し、 user32.dllを使用するプログラムの起動時に自分自身を読み込ませているため、 ほとんどの場合Windowsの起動直後にSYSTEM権限でプログラムが起動します。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_Dlls
  1. プロセスアタッチ時に以下の処理を行うスレッドを生成します。
  2. 1分ごとにマウスポインタの位置を取得します。
  3. マウスポインタの位置を前回と比較し、移動していなければカウントします。
  4. カウントが180回を超えたら以下の破壊活動を実行します。
  5. ドライブの一覧を取得し、 種類がDRIVE_NO_ROOT_DIRまたはDRIVE_CDROMでなく 先頭文字がAまたはaでないものを対象に、 取得時とは逆順に以下の処理を実行します。
  6. 全てのファイルの先頭に"UP0up0UP0up0UP0up0UP0up0UP0up0UP0up0UP0up0UP0up0\0"を10回書き込み、削除します。 属性の変更は行わないため読み取り専用ファイルは上書き、削除されません。
  7. 全てのフォルダを削除します。フォルダ中に読み取り専用のファイルや削除に失敗したファイルがある場合は削除されません。
  8. FSCTL_SET_ZERO_DATA(FileOffset=0, BeyondFinalZero=0xffff)を送信します。

2003/08/20追記

2chで感染源が見つかったようです。

感染源:Unpacking toolsのUnUPX。

上でファイル名はmsexvtr.dllと書きましたが、実際は下の9個の中からランダムに選ばれます。
msctrl2.dll
msafx32.dll
msexvtr.dll
mshter1.dll
msnetmcp.dll
msqwery.dll
mszxcv.dll
msbeckasf.dll
ms32Vprx.dll

また、ファイルの作成日時、更新日時、最終アクセス日時は下に設定されます。
(日本時間にするとちょうど0:00というのが気になる……)
2001/8/29-15:00:00

(2003/08/20)
(2003/08/01)
hiko_bae@yahoo.co.jp
hikobae
1