親クラス: TrojWare
トロイの木馬は、ユーザーによって許可されていないアクションを実行する悪意のあるプログラムであり、データを削除、ブロック、変更またはコピーし、コンピュータやコンピュータネットワークのパフォーマンスを阻害します。ウイルスやワームとは異なり、このカテゴリに該当する脅威は、自分自身のコピーを作成することも、自己複製することもできません。トロイの木馬は、感染したコンピュータで実行するアクションの種類に応じて分類されます。クラス: Trojan-Downloader
Trojan-Downloaderとして分類されたプログラムは、トロイの木馬やAdWareを含む悪意のあるプログラムの新しいバージョンをダウンロードし、犠牲PCにインストールします。インターネットからダウンロードされると、プログラムは起動され、オペレーティングシステムの起動時に自動的に実行されるプログラムのリストに含まれます。ダウンロードされるプログラムの名前と場所に関する情報は、トロイの木馬のコードに含まれているか、インターネットリソース(通常はWebページ)からトロイの木馬によってダウンロードされます。この種の悪意のあるプログラムは、悪用を含むWebサイトへの訪問者の初期感染に頻繁に使用されます。プラットフォーム: Win32
Win32は、32ビットアプリケーションの実行をサポートするWindows NTベースのオペレーティングシステム(Windows XP、Windows 7など)上のAPIです。世界で最も広く普及しているプログラミングプラットフォームの1つです。説明
技術的な詳細
これはトロイの木馬のダウンローダプログラムです。このトロイの木馬は、インターネット経由で他のプログラムをダウンロードし、ユーザーの知らないうちに同意なしに被害者マシン上で起動します。これはWindows PE EXEファイルです。サイズは4,608バイトで、PE Packを使用してパックされています。これはアセンブラで書かれています。ペイロード
トロイの木馬が起動すると、次のエラーメッセージが表示されます。
エラーメッセージにもかかわらず、トロイの木馬は被害者マシンで実行されます。
トロイの木馬は、インターネットから以下のファイルをダウンロードします。
http://www.eg***evsk.net/bot.exe
このファイルをWindowsのシステムディレクトリに "drvmmx32.exe"という名前で保存します。
%System%drvmmx32.exe
次に、このファイルをシステムレジストリに登録します。
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"main_module" = "%System%drvmmx32.exe"
"main_module" = "%System%drvmmx32.exe"
ダウンロードしたファイルは、実行のために起動されます。
削除手順
コンピュータに最新のウイルス対策ソフトウェアがない場合、またはウイルス対策ソリューションがまったくない場合は、以下の手順に従って悪質なプログラムを削除してください。
- オリジナルのトロイの木馬ファイルを削除します(場所は、プログラムが最初に被害者マシンに侵入した方法によって異なります)。
- タスクマネージャを使用して、トロイの木馬のプロセスを終了します。 drvmmx32.exe
- トロイの木馬によってダウンロードされたファイルを削除します。 %System%drvmmx32.exe
- 次のレジストリキーを削除します。 [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"main_module" = "%System%drvmmx32.exe" - ウイルス対策データベースを更新し、コンピュータのフルスキャンを実行します(Kaspersky Anti-Virusの試用版をダウンロードしてください)。
も参照してください
お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com
この脆弱性についての記述に不正確な点がありますか? お知らせください!