プラットフォーム:

Windows 98, ME, NT, 2000, XP, Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 システムへの影響:
 情報漏えい:

  • マルウェアタイプ:

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要



マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
マルウェアは、ルートキット機能を備えており、他の不正プログラムもしくはアドウェア等に利用されます。

  詳細

発見日 0001年1月1日



自動実行方法


マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

1
1=1

             (註:このレジストリ値のデフォルトは、 2 となります。)

C:\Documents and Settings\Administrator\My Documents
C:\Documents and Settings\Administrator\My Documents=C:\Documents and Settings\Administrator\My Documents

             (註:このレジストリ値のデフォルトは、 exe となります。)



バックドア活動


マルウェアは、自身のサーバコンポーネントを作成する機能を備えています。



HOSTSファイルの改変


マルウェアは、既存の AUTORUN.INF に以下の文字列を追加して、このINFファイルの内容を変更します。これにより、作成した自身のコピーが自動実行されます。



情報漏洩


マルウェアは、ルートキット機能を備えており、他の不正プログラムもしくはアドウェア等に利用されます。



インストール


マルウェアは、感染コンピュータのOSに応じて以下のファイルを作成します。

  • test2


マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • test2



その他


マルウェアは、自身の不正活動を実行する際、以下の文字列またはレジストリ値を追加します。

  • 1



他のシステム変更


マルウェアは、以下のレジストリキーを追加します。

sdfkhsj
fh=90780

  対応方法



手順 1
「TROJ_EXEC_S」で検出したファイル名を確認し、そのファイルを終了します。
[ 詳細 ]

  1. Windows 98/MEの場合、検出ファイルが、Windows のタスクマネージャに表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
    セーフモードについては、こちらをご参照下さい。
  2. 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。


手順 2

AUTOEXEC.BAT を修正します。

  1. メモ帳などのテキストエディタを用いて、AUTOEXEC.BAT を開きます。
    [スタート]-[ファイル名を指定して実行]を選択し以下を入力し、[OK]をクリックします。
    ※以下の文字列は半角英数字で入力する必要があります(大文字/小文字は区別されません)。
    notepad C:autoexec.bat
  2. 以下の文字列が存在するか確認し、存在する場合は削除してください。
  3. AUTOEXEC.BAT を上書き保存して閉じます。

手順 3
ファイルおよびフォルダを表示します。ここでは、隠しファイルおよびフォルダを表示するように設定変更します。

隠しファイルおよびフォルダの表示

• Windows 98およびME の場合

  1. 「エクスプローラ」を起動します。
    [スタート]を右クリックし、[エクスプローラ]を選択します。
  2. メニュー[表示]-[オプション]または[フォルダオプション]をクリックします。
  3. [表示]タブをクリックします。
  4. [すべてのファイルを表示する]を選択し、[OK]をクリックします。

• Windows NT、2000、XP および Server 2003 の場合

  1. 「エクスプローラ」を起動します。
    [スタート]を右クリックし、[エクスプローラ]を選択します。
  2. メニュー[ツール]-[フォルダオプション]をクリックします。
  3. [表示]タブをクリックします。
  4. [すべてのファイルとフォルダを表示する]を選択し、[OK]をクリックします。

手順 4
不正プログラム/グレイウェア/スパイウェアがHOSTSファイルに追加した文字列を削除します。 これにより、不正なWebサイトへのリダイレクトが妨げられます。

    This is for testing purposes only11


HOSTSファイルの修正

  1. メモ帳などのテキストエディタを用いて、以下のファイルを開きます。
    • Windows 98およびME の場合
      <Windowsフォルダ>HOSTS.SAM
    • Windows NT、2000、XP および Server 2003 の場合
      <Windowsシステムフォルダ>driversetcHOSTS
  2. 下記記述を含む行を削除してください。
        

      ALSO This is for testing purposes only11

  3. ファイルを保存し、テキストエディタを閉じます。

手順 5

自動削除手順

手動削除手順



手順 6

自動削除手順

Trend Micro Fixtoolを入手して実行してください。リンクをクリックして解凍した上で、指定のFixtoolを最新パターンファイルがある同じフォルダ内で実行してください。このツールの詳細に関しては、同様にクリックして解凍した際に入手できるFixtoolのテキストファイルをご参照ください。

手動削除手順



ご利用はいかがでしたか? アンケートにご協力ください