memo.xight.org

日々のメモ

カテゴリ : Spyware

1ページ目 / 全1ページ

FlashTalk, Trojan horse Downloader.Agent.AS

Summary

  D:\INSTALL.LOG に以下の内容が書き込まれていた.

***  Installation Started 10/22/04 7:12  ***
Title: FlashTalk 1.2 Installation
Source: C:\WINNT\FT1_02_0_402_GEPFAH.EXE
Installation Aborted!

妖しげなファイルとそのファイルパス

  C:\WINNT 内
FT1_02_0_402_GEPFAH.EXE C:\WINNT
localNRD.dll C:\WINNT
preInsln.exe C:\WINNT
localNrd.inf C:\WINNT\inf
payload2.inf C:\WINNT\inf
%USERPROFILE% 内
banner.exe %USERPROFILE%\Local Settings\Temp
dummy.htm %USERPROFILE%\Local Settings\Temp
localNrd.cab %USERPROFILE%\Local Settings\Temp\THI52D5.tmp
localNRD.dll %USERPROFILE%\Local Settings\Temp\THI52D5.tmp
localNrd.inf %USERPROFILE%\Local Settings\Temp\THI52D5.tmp
polall1.exe %USERPROFILE%\Local Settings\Temp\THI52D5.tmp
preInsln.exe %USERPROFILE%\Local Settings\Temp\THI52D5.tmp
payload2.cab %USERPROFILE%\Local Settings\Temp\THIEBF.tmp
FT1_02_0_402_GEPFAH.EXE %USERPROFILE%\Local Settings\Temp\THIEBF.tmp
payload2.inf %USERPROFILE%\Local Settings\Temp\THIEBF.tmp

payload2.cab の内容

    FT1_02_0_402_GEPFAH.EXE
    payload2.inf

localNrd.cab の内容

    localNRD.dll
    localNrd.inf
    polall1l.exe
    preInsln.exe

localNrd.inf

[version]
signature="$CHICAGO$"
AdvancedINF=2.0

[DefaultInstall]
CopyFiles=CopySystemFiles,INFFile,poller
RegisterOCXs=RegisterOCXSection
RunPostSetupCommands=RunPostInstall,RunPol

[CopySystemFiles]
localNRD.dll,,,34
preInsln.exe,,,34

[INFFile]
localNrd.inf,,,34

[poller]
polall1l.exe,,,34

[DestinationDirs]
CopySystemFiles=10
INFFile=17
poller=11

[RegisterOCXSection]
"%10%\localNRD.dll"

[SourceDisksNames]
1="CAB File",,,

[RunPostInstall]
"%10%\preInsln.exe"

[Runpol]
"%11%\polall1l.exe /regserver"

payload2.inf

[version]
signature="$CHICAGO$"
AdvancedINF=2.0

[DefaultInstall]
CopyFiles=CopySystemFiles,INFFile
RunPostSetupCommands=RunPostInstall

[CopySystemFiles]
FT1_02_0_402_GEPFAH.EXE,,,34

[INFFile]
payload2.inf,,,34

[DestinationDirs]
CopySystemFiles=10
INFFile=17

[RunPostInstall]
"%10%\FT1_02_0_402_GEPFAH.EXE"

[SourceDisksNames]
1="CAB File",,,

AVG での検出結果

  AVG - Trojan horse Downloader.Agent.AS
  File version 7.1.0.287 , Virus base 265.4.1 でチェック
  polall1a.exe のみ Trojan horse Downloader.Agent.AS として検知

Reference

  giant Labs - Spyware Research Center - FlashTalk
  http://www.spynet.com/spyware/spyware-FlashTalk.aspx

BDSrchHook

File

  %SystemRoot%\Downloaded Program Files\BDSrchHook Class

Registry

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BIE
  Rundll32.exe C:\WINDOWS\DOWNLO~1\BDSrHook.dll,Rundll32

Messenger Plus!にはご注意

MSN Plus! はどうインストールすべきか?

  最後の I accept,install the sponsor のチェックをはずさないといけない.

間違ってスポンサー(C2.lop) 付きでインストールしてしまった場合

  1. IEの検索バーを右クリックして妖しげな名前を見つける
  2. 妖しげな名前を頼りに HiJack This のログから検索する.
  3. 妖しげな名前と妖しげなDLLの対を見つける.
  4. 妖しげなレジストリのエントリを削除
  5. 再起動
  6. 妖しげなDLLを削除

HiJack This によるレポート出力と手動でのスパイウェア除去

  SpywareInfoが作成したアプリケーション,HiJack Thisを利用してスパイウェアを除去する.

lopとは

  IE検索バーを乗っ取って検索結果をコントロールしたり,その情報を送信したりするbrowser hijackerの一種
  放置しておくと再起動の度にBargainBuddyやIGetNetを初めとした別のスパイウェアを任意にインストールしてしまい,状況はどんどん悪化していく.

Reference

  Messenger Plus!にはご注意
  http://higaitaisaku.web.infoseek.co.jp/msnplus.html
  C2.lopの除去方法
  http://higaitaisaku.web.infoseek.co.jp/removelop.html

shoxlfoacr.dll

Summary

  http://srch.lop.com/ で検索するツールバーが IE に追加された

とりあえず対処

  %USERPROFILE%\Application Data\shoxlfoacr.dll を削除
  レジストリ
  \\HKEY_CORRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
  \\HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
  \\HKEY_CORRENT_USER\SOFTWARE\Classes\
  辺りをチェック