USBメモリー等を媒体にして感染を広げるトロイの木馬 Ramag Generic PWS.ak - その2

感染PCの各ドライブ内のトロイの木馬関連ファイルは以下のように複数のファイルの組み合わせが存在します。(感染USBメモリ内も同様)

ドライブ内のファイルパターンA

• 6hbb9d1d.com
• autorun.inf
• foikf6np.bat
   

このパターンの場合 autorun.inf の記述は2種類あります

[AutoRun]
open=6hbb9d1d.com
shell￥open￥Command=6hbb9d1d.com

[AutoRun]
open=foikf6np.bat
shell￥open￥Command=foikf6np.bat

ドライブ内ファイル パターンB

• autorun.inf
• foikf6np.bat

このパターンの場合 autorun.inf の記述は

[AutoRun]
open=foikf6np.bat
shell￥open￥Command=foikf6np.bat

ドライブ内ファイル パターンC

• 6hbb9d1d.com
• autorun.inf
• Ykvqe2n.com

このパターンの場合 autorun.inf の記述は

[AutoRun]
open=6hbb9d1d.com
shell￥open￥Command=6hbb9d1d.com

ドライブ内ファイル パターンD

• o.exe
• autorun.inf

このパターンの場合 autorun.inf の記述は

[AutoRun]
open=o.exe
shell￥open￥Command=o.exe

AntiVirus製品にMcAfee VSE を使っている場合に現在検出できるトロイの木馬の一部

定義ファイル DAT 5578, DAT 5579 の場合  uu[1].rar が Ramag として検出される
定義ファイル DAT5582 の場合  上記に加え  foikf6np.bat　が　Generic PWS.ak として検出される。
定義ファイルをDAT5586 にした場合  さらに上記に加えて  6hbb9d1d.com が　Generic PWS.ak として検出される。

# Generic PWS.ak という名前は 本名ではなくパスワード等を盗み取るトロイの木馬の総称だそうです。

まとめると 感染拡大に利用されるファイルは現在確認できているものは

• 6hbb9d1d.com
• foikf6np.bat
• Ykvqe2n.com
• o.exe

これらのファイルが autorun.inf とともにいくつかドロップされています。

考察

VSE等のAntiVirus製品が完全に検出できないのは トロイの木馬を Packしている、Packerの形式のファイル( 6hbb9d1d.com ）等を全て検出できないのではないか。

autorun.inf に記述された 6hbb9d1d.com や foikf6np.bat はこのPacker形式を解いてクリーンなシステムに感染させようとする「ローダー」あるいはPackされた「トロイの木馬」ではないかと考えられます。

AntiVirus製品が Packされた状態のファイル uu[1].rar を Ramag として検出でき、又、内部のファイルの一部も Generic PWS.ak として検出できたとしても、USBに独自のPacker形式でトロイの木馬をドロップするようなことが可能ではないか？

例えばランダムなファイル名を利用することで検出をすり抜ける等。

以上こ事を踏まえた上で 今回のトロイの木馬を手動削除する方法を思考錯誤で考え実際に駆除してみました。