Norton.com > ウイルスとリスク > Infostealer.Daonol

Infostealer.Daonol

危険度1: ほとんど影響なし

発見日:
2009 年 5 月 18 日
更新日:
2009 年 10 月 22 日 11:32:29 AM
種別:
Trojan
感染サイズ:
不定
影響を受けるシステム:
Windows
このトロイの木馬は、他の脅威または悪質な Web サイトによりダウンロードされる可能性があります。

このトロイの木馬が実行されると、次のファイルとして自分自身をコピーします。
%CurrentFolder%\[親フォルダ]\[8 個のランダムな文字列].[3 個の文字列]

注意: [親フォルダ] は、ファイルシステムのツリーの 1 つ上の階層のフォルダを示します。たとえば、オリジナルの脅威実行可能ファイルが %SystemDrive%\Documents and Settings\Administrator\[オリジナルのファイル名].exe である場合、次のファイルに自分自身をコピーします。%SystemDrive%\Documents and Settings\[8 個のランダムな文字列].[3 個のランダムな文字列].[3 個の文字列]

注意: [3 個の文字列] は、次のいずれかの文字列です。
  • bak
  • dat
  • old
  • tmp

その後、次のレジストリエントリを改ざんして、Windows が起動されるたびに実行されるようにします。
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\"aux" = "%CurrentFolder%\[親フォルダ]\[8 個のランダムな文字列].[3 個の文字列]"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\"midi9" = "%CurrentFolder%\[親フォルダ]\[8 個のランダムな文字列].[3 個の文字列] [ランダムな文字列]"

その後、次の Windows API をフックして、新規に作成されたすべてのプロセスに自分自身を挿入します。
kernel32!CreateProcessW

また、次の文字列を含むプロセスが実行されるのを阻止します。
  • .com
  • .bat
  • .reg
  • cmd
  • reged

このトロイの木馬は、次の文字列を含むプロセスが実行されると自分自身を削除します。
  • gmer
  • le38

次に、このトロイの木馬は、次の %System%\ws2_32.dll Windows API をフックしてネットワークトラフィックを監視できるようにします。
  • recv
  • send
  • connect
  • WSARecv
  • WSASend

このトロイの木馬は、アドウェアを含む可能性がある Web サイトに検索エンジンのネットワークトラフィックをリダイレクトします。

次の文字列を含む Web サイトへのアクセスをブロックします。
  • clamav
  • mbam
  • mcafee
  • miekiemoes
  • prevx


また、次の文字列で始まるドメインのサイトへのアクセスをブロックします。
  • Adob
  • AVG
  • AVPU
  • CAUp
  • COMO
  • Enig
  • ESS
  • LIVE
  • Live
  • McHT
  • NOD3
  • Nort
  • Pand
  • SpyS
  • SUPE
  • Sy
  • TMUF

このトロイの木馬は、次の文字列を含む URL がアクセスされると自分自身を削除します。
DaonolFix

このトロイの木馬は、ネットワークトラフィックを監視して FTP アカウント情報を盗み取り、次のファイルに保存します。
%System%\sqlsodbc.chm

注意: オリジナルの %System%\sqlsodbc.chm ファイルは上書きされます。

また、このトロイの木馬は侵入先のコンピュータにファイルをダウンロードする可能性があります。

推奨する感染予防策

シマンテックセキュリティレスポンスでは、すべてのユーザーと管理者の皆様に対し、基本的なオンラインセキュリティ対策として日常的に次のことを実行することを勧めています。

  • ファイアウォールを利用して、一般に公開されていないサービスへのインターネット経由による接続をすべてブロックします。原則として、明示的に外部に提供したいサービスへの接続を除いては、すべての着信接続を拒否してください。
  • パスワードポリシーを徹底させます。強固なパスワードは、侵害されたコンピュータ上のパスワードファイルの解読を困難にします。これにより、攻撃による被害を回避、または最小限に抑えることができます。
  • コンピュータのユーザーとプログラムには、タスクの実行に必要な最小レベルの権限を付与します。ルートまたは UAC パスワードの入力が要求されたときは、管理者レベルのアクセスを要求するプログラムが正規のアプリケーションであることを確認してください。
  • 自動実行機能を無効にして、ネットワークドライブやリムーバブルドライブ上の実行可能ファイルの自動実行を阻止し、ドライブの接続が不要なときは切断してください。書き込みアクセスが不要な場合は、読み取り専用モードのオプションが利用可能であれば有効にします。
  • ファイル共有が不要な場合は、設定を解除してください。ファイル共有が必要な場合は、ACL とパスワード保護機能を使用してアクセスを制限します。共有フォルダへの匿名アクセスを無効にし、強固なパスワードが設定されたユーザーアカウントにのみ共有フォルダへのアクセスを許可します。
  • 不要なサービスは、停止するか削除します。オペレーティングシステムによって、特に必要のない補助的なサービスがインストールされることがあります。このようなサービスは攻撃手段として悪用される可能性があるため、不要なサービスを削除することによって、攻撃の危険性を軽減できます。
  • ネットワークサービスの脆弱性が悪用されている場合は、修正プログラムを適用するまでそれらのサービスを無効にするか、サービスへのアクセスをブロックしてください。
  • 常に最新の修正プログラムを適用するようにしてください。公開サービスのホストコンピュータや、 HTTP、FTP、メール、DNS サービスなど、ファイアウォール経由でアクセス可能なコンピュータでは特に注意が必要です。
  • .vbs、.bat、.exe、.pif、.scr などの拡張子を持つファイルは、脅威の拡散に頻繁に使用されるため、それらのファイルが添付されたメールをブロックまたは削除するようにメールサーバーを設定します。
  • ネットワークに接続しているコンピュータが感染した場合は、直ちにネットワークから切断して感染拡大を防止します。被害状況を分析し、信頼できるメディアを使って復元します。
  • 予期しない添付ファイルは開かないようにしてください。インターネットからダウンロードしたソフトウェアは、ウイルススキャンを実行して安全であることを確認してから実行します。ブラウザの脆弱性に対応した修正プログラムが適用されていない場合、侵害された Web サイトにアクセスするだけで感染することがあります。
  • 携帯デバイスで Bluetooth が不要な場合は、オフにしてください。必要な場合は、他の Bluetooth デバイスにスキャンされないように、表示属性を「Hidden」に設定します。 デバイスのペアリング機能を使用する必要がある場合は、すべてのデバイスが、接続時にユーザー認証を必要とする「Unauthorized」に設定されていることを確認してください。署名されていない、または未知のソースから送信されたアプリケーションは利用しないでください。
  • この文書で使用されている用語の詳細については、用語解説を参照してください。
記述:Mircea Ciubotariu