解析者: Sabrina Lei Sioting   
 更新者 : Karl Dominguez

 プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

  概要

マルウェアは、コンピュータ内のすべてのフォルダおよびファイルの属性を「隠しファイル」に設定します。また、マルウェアは、デスクトップの壁紙を黒に変更します。さらには、「エラーが確認されたためコンピュータを再起動してください」といったエラーメッセージが表示されます。そのため、ユーザは、コンピュータにエラーが発生したと思ってしまうことになります。

マルウェアは、特定のレジストリ値を追加し、タスクマネージャを無効にします。これにより、通常はタスクマネージャを介して行うマルウェアのプロセスの終了が実行できなくなります。

マルウェアは、特定のWebサイトにアクセスします。これにより、不正リモートユーザにマルウェアのインストールが知らされます。また、不正なファイルがダウンロードされます。この結果、感染コンピュータは、さらなる他の脅威にさらされることとなります。 ただし、情報公開日現在、このWebサイトにはアクセスできません。

マルウェアは、仮想環境内で実行されると、自身の活動を終了します。 マルウェア マルウェアは、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。

マルウェアは、ユーザの感染を通知する偽の警告を表示します。また、感染したコンピュータの偽のスキャン結果を表示します。スキャンが完了すると、ユーザに製品の購入を要求します。ユーザが偽の製品を購入しようとすると、ユーザを特定のWebサイトに誘導してクレジットカード番号といった個人情報を要求します。

  詳細

ファイルサイズ 477,184 bytes
タイプ EXE
メモリ常駐 はい
発見日 2011年6月15日
ペイロード ウインドウの表示, ファイルのダウンロード

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %System Root%\All Users\Application Data\{random file name 1}.exe - (XP, 2000, 2003)
  • %System Root%\All Users\Application Data\{random file name 2}.exe - (XP, 2000, 2003)
  • %System Root%\ProgramData\{random file name 1}.exe - (Vista, 2008, 7)
  • %System Root%\ProgramData\{random file name 2}.exe - (Vista, 2008, 7)
  • %System Root%\Users\All Users\{random file name 1}.exe - (Vista, 2008, 7)
  • %System Root%\Users\All Users\{random file name 2}.exe - (Vista, 2008, 7)

(註:%System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)

マルウェアは、以下の無害なファイルを作成します。

  • %System Root%\All Users\Application Data\{random file name 2}
  • %System Root%\ProgramData\{random file name 2}
  • %System Root%\Users\All Users\{random file name 2}
  • %Desktop%\{OS Name} Restore.lnk
  • %Start Menu%\Programs\{OS Name} Restore\{OS Name} Restore.lnk
  • %Start Menu%\Programs\{OS Name} Restore\Uninstall {OS Name} Restore.lnk

(註:%System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.. %Desktop%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Desktop"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\Desktop" です。.. %Start Menu%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Windows\Start Menu" または "C:\Documents and Settings\<ユーザ名>\Start Menu"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu" です。.)

マルウェアは、以下のフォルダを作成します。

  • %User Temp%\smtmp
  • %User Temp%\smtmp\1
  • %User Temp%\smtmp\2
  • %User Temp%\smtmp\3
  • %User Temp%\smtmp\4
  • %Start Menu%\Programs\{OS Name} Restore

(註:%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.. %Start Menu%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Windows\Start Menu" または "C:\Documents and Settings\<ユーザ名>\Start Menu"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu" です。.)

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

  • 83a5f83b-5aa7-4fa7-bbf5-63829add296e
  • 86e8a495-357c-437c-b6e9-13e757bfabab

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{malware file name} = "{malware path and file name}"

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Attachments
SaveZoneInformation = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Associations
LowRiskFileTypes = "/{hq:/s`s:/ogn:/uyu:/dyd:/c`u:/bnl:/ble:/sdf:/lrh:/iul:/iulm:/fhg:/clq:/kqf:/`wh:/lqf:/lqdf:/lnw:/lq"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
ActiveDesktop
NoChangingWallPaper = "1"

マルウェアは、以下のレジストリ値を変更します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
StartPage
Favorites = "FF"

(註:変更前の上記レジストリ値は、「{binary data which contains the pinned programs in the Start Menu, cannot be restored}」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Download
CheckExeSignatures = "no"

(註:変更前の上記レジストリ値は、「yes」となります。)

マルウェアは、以下のレジストリ値を追加し、タスクマネージャを無効にします。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableTaskMgr = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
DisableTaskMgr = "1"

マルウェアは、以下のレジストリ値を変更し、隠しファイル属性のファイルを非表示にします。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "0"

(註:変更前の上記レジストリ値は、「1」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = "0"

(註:変更前の上記レジストリ値は、「1」となります。)

ファイル感染

マルウェアは、「infection marker(感染したことを示す印)」として、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software
75fa38b7-8b94-4995-ad32-52e938867954 = {blank}

プロセスの終了

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

  • MSASCui.exe

ダウンロード活動

マルウェアは、以下の不正Webサイトにアクセスします。

  • http://{BLOCKED}also.org/404.php?type=stats&affid=431&subid=01
  • http://{BLOCKED}attention.org/404.php?type=stats&affid=431&subid=01
  • http://{BLOCKED}behavior.org/404.php?type=stats&affid=431&subid=01
  • http://{BLOCKED}ant.org/404.php?type=stats&affid=431&subid=01

マルウェアは、以下のWebサイトにアクセスし、ファイルをダウンロードします。

  • http://{BLOCKED}breathe.org/pica1/431-direct
  • http://{BLOCKED}oa.org/pica1/431-direct

マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。

  • %User Temp%\Adobe_Flash_Player.exe

(註:%User Temp%フォルダは、ユーザの一時フォルダで、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。.)

ただし、情報公開日現在、このWebサイトにはアクセスできません。

その他

マルウェアは、仮想環境内で実行されると、自身の活動を終了します。

マルウェア は、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。

偽セキュリティソフト型不正プログラムによる不正活動

マルウェアは、ユーザの感染を通知する偽の警告を表示します。また、感染したコンピュータの偽のスキャン結果を表示します。スキャンが完了すると、ユーザに製品の購入を要求します。ユーザが偽の製品を購入しようとすると、ユーザを特定のWebサイトに誘導してクレジットカード番号といった個人情報を要求します。

マルウェアは、システム診断ツールを装う偽のアプリケーションです。マルウェアは、ハードドライブやメモリ、設定などをチェックし、エラーを修復してコンピュータの性能を高められるように装っています。マルウェアは、このシステム診断ツールのユーザインターフェイスに、アプリケーション名として以下を用います。

  • <OS名> Restore

マルウェアは、感染コンピュータの言語設定が以下のいずれかである場合、自身を終了し削除します。

  • チェコ語
  • ポーランド語
  • ロシア語
  • ウクライナ語

マルウェアは、感染コンピュータ内に以下のいずれかのファイルが存在する場合、このコンピュータに対して行ったシステム変更を修復します。

  • %System Root%\Documents and Settings\All Users\Application Data\*EDS.txt
  • %System Root%\ProgramData\*EDS.txt
  • %User Profile%\Desktop\*EDS.txt

(註:%User Profile%は、通常、Windows 2000, XP, Server 2003 の場合、"C:\Documents and Settings\<ユーザ名>" です。)

マルウェアは、以下のいずれかの言語で偽の警告メッセージを表示することが可能です。

  • 英語
  • フランス語
  • ドイツ語
  • イタリア語
  • ロシア語
  • スペイン語
  • トルコ語

マルウェアは、侵入したコンピュータのオペレーティングシステム(OS)のメジャーバージョンが5(Windows XP, Windows 2000, Windows Server 2003)の場合、以下のレジストリ値を追加し、デスクトップアイコンを非表示にします。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoDesktop = "1"

マルウェアは、侵入したコンピュータのOSのメジャーバージョンが6(Windows Vista, Windows 7, Windows Server 2008)の場合、以下のレジストリ値を追加し、デスクトップアイコンや最近開いたファイルの一覧、最近開いたプログラムの一覧を非表示にします。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu
{20D04FE0-3AEA-1069-A2D8-08002B30309D} = "1"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu
{5399E694-6CE5-4D6C-8FCE-1D8870FDCBA0} = "1"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu
{59031a47-3f72-44a7-89c5-5595fe6b30ee} = "1"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu
{645FF040-5081-101B-9F08-00AA002F954E} = "1"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu
{F02C1A0D-BE21-4350-88B0-7367FC96EF3C} = "1"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel
{20D04FE0-3AEA-1069-A2D8-08002B30309D} = "1"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel
{5399E694-6CE5-4D6C-8FCE-1D8870FDCBA0} = "1"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel
{59031a47-3f72-44a7-89c5-5595fe6b30ee} = "1"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel
{645FF040-5081-101B-9F08-00AA002F954E} = "1"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel
{F02C1A0D-BE21-4350-88B0-7367FC96EF3C} = "1"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Start_TrackDocs = "0"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Start_TrackProgs = "0"

上述の「他のシステム変更」でマルウェアが変更するレジストリ値

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
StartPage
Favorites = "FF"

の変更前の値は、ユーザが最近開いたプログラムによって決まるバイナリデータです。そのため、この値は、ユーザによって異なっています。

マルウェアは、特定のファイルを以下のディレクトリに移動します。

侵入したコンピュータのOSのメジャーバージョンが5(Windows XP, Windows 2000, Windows Server 2003)の場合

  • 移動前:%System Root%\Documents and Settings\All Users\Start Menu\
  • 移動後:%User Temp%\smtmp\1\

  • 移動前:%User Profile%\Application Data\Microsoft\Internet Explorer\Quick Launch\
  • 移動後:%User Temp%\smtmp\2\

  • 移動前:%System Root%\Documents and Settings\All Users\Desktop\
  • 移動後:%User Temp%\smtmp\4\

侵入したコンピュータのOSのメジャーバージョンが6(Windows Vista, Windows 7, Windows Server 2008)の場合

  • 移動前:%System Root%\ProgramData\Start Menu\
  • 移動後:%User Temp%\smtmp\1\

  • 移動前:%User Profile%\Application Data\Roaming\Microsoft\Internet Explorer\Quick Launch\
  • 移動後:%User Temp%\smtmp\2\

  • 移動前:%User Profile%\Application Data\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\
  • 移動後:%User Temp%\smtmp\3\

  • 移動前:%System Root%\ProgramData\Desktop\
  • 移動後:%User Temp%\smtmp\4\

その後、マルウェアは、コンピュータ内のすべてのフォルダおよびファイルの属性を「隠しファイル」に設定します。また、マルウェアは、デスクトップの壁紙を黒に変更します。さらには、「エラーが確認されたためコンピュータを再起動してください」といったエラーメッセージが表示されます。そのため、ユーザは、コンピュータにエラーが発生したと思ってしまうことになります。

  対応方法

対応検索エンジン: 8.900
初回 VSAPI パターンバージョン 8.226.05
初回 VSAPI パターンリリース日 2011年6月15日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

「TROJ_KAZY.SMT」で検出したファイル名を確認し、そのファイルを終了します。

[ 詳細 ]

  • すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
  • 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
    セーフモードについては、こちらをご参照下さい。
  • 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。

手順 3

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • {malware file name} = "{malware path and file name}"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments
    • SaveZoneInformation = "1"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations
    • LowRiskFileTypes = "/{hq:/s`s:/ogn:/uyu:/dyd:/c`u:/bnl:/ble:/sdf:/lrh:/iul:/iulm:/fhg:/clq:/kqf:/`wh:/lqf:/lqdf:/lnw:/lq"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop
    • NoChangingWallPaper = "1"
  • In HKEY_CURRENT_USER\Software
    • 75fa38b7-8b94-4995-ad32-52e938867954 = {blank}
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
    • DisableTaskMgr = "1"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
    • DisableTaskMgr = "1"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
    • NoDesktop = "1"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu
    • {20D04FE0-3AEA-1069-A2D8-08002B30309D} = "1"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu
    • {5399E694-6CE5-4D6C-8FCE-1D8870FDCBA0} = "1"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu
    • {59031a47-3f72-44a7-89c5-5595fe6b30ee} = "1"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu
    • {645FF040-5081-101B-9F08-00AA002F954E} = "1"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu
    • {F02C1A0D-BE21-4350-88B0-7367FC96EF3C} = "1"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel
    • {20D04FE0-3AEA-1069-A2D8-08002B30309D} = "1"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel
    • {5399E694-6CE5-4D6C-8FCE-1D8870FDCBA0} = "1"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel
    • {59031a47-3f72-44a7-89c5-5595fe6b30ee} = "1"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel
    • {645FF040-5081-101B-9F08-00AA002F954E} = "1"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel
    • {F02C1A0D-BE21-4350-88B0-7367FC96EF3C} = "1"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    • Start_TrackDocs = "0"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    • Start_TrackProgs = "0"

手順 4

変更されたレジストリ値を修正します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
事前に意図的に対象の設定を変更していた場合は、意図するオリジナルの設定に戻してください。変更する値が分からない場合は、システム管理者にお尋ねいただき、レジストリの編集はお客様の責任として行なって頂くようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download
    • From: CheckExeSignatures = "no"
      To: CheckExeSignatures = "yes"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    • From: Hidden = "0"
      To: Hidden = "1"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    • From: ShowSuperHidden = "0"
      To: ShowSuperHidden = "1"

手順 5

以下のフォルダを検索し削除します。

[ 詳細 ]
註:このフォルダは、隠しフォルダとして設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %Start Menu%\Programs\{OS Name} Restore

手順 6

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %System Root%\All Users\Application Data\{random file name 2}
  • %System Root%\ProgramData\{random file name 2}
  • %System Root%\Users\All Users\{random file name 2}
  • %Desktop%\{OS Name} Restore.lnk
  • %User Temp%\Adobe_Flash_Player.exe

手順 7

デスクトッププロパティを修正します。

[ 詳細 ]

手順 8

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TROJ_KAZY.SMT」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

註:以下の手順で、このマルウェアが隠しファイル属性に設定したファイルを表示します。

  1. コマンドプロンプトを開きます。
    • Windows 2000、Windows XP および Windows Server 2003 の場合
      [スタート]-[ファイル名を指定して実行]を選択し、"CMD" と入力し、[Enter]キーを押します。
      ※"CMD" は半角英数字で入力する必要があります(大文字/小文字は区別されません)。
    • Windows Vista および Windows 7 の場合
      [スタート]-[検索の開始]を選択し、"CMD" と入力し、[Enter]キーを押します。
      ※"CMD" は半角英数字で入力する必要があります(大文字/小文字は区別されません)。
  2. コンピュータのすべてのドライブに対し、以下のコマンドを入力します。
  3. attrib -h <ドライブレター>:\*.* /s /d

    ※"attrib"、"-h"、"<ドライブレター>:\*.*"、"/s"、"/d" の間に半角スペースを入れてください。

  4. 以下のコマンドを入力し、コマンドプロンプト閉じます。
  5. exit

また、このマルウェアが移動したファイルを元の場所に復元します。

"%User Temp%\smtmp" フォルダを開き、次のようにファイルをコピーします。

OSのメジャーバージョンが5(Windows XP, Windows 2000, Windows Server 2003)の場合

  • "%User Temp%\smtmp\1\" 内のファイルをコピーし、"%System Root%\Documents and Settings\All Users\Start Menu\" へ復元。

  • "%User Temp%\smtmp\2\" 内のファイルをコピーし、"%User Profile%\Application Data\Microsoft\Internet Explorer\Quick Launch\" へ復元。

  • "%User Temp%\smtmp\4\" 内のファイルをコピーし、"%System Root%\Documents and Settings\All Users\Desktop\" へ復元。

OSのメジャーバージョンが6(Windows Vista, Windows 7, Windows Server 2008)の場合

  • "%User Temp%\smtmp\1\" 内のファイルをコピーし、"%System Root%\ProgramData\Start Menu\" へ復元。

  • "%User Temp%\smtmp\2\" 内のファイルをコピーし、"%User Profile%\Application Data\Roaming\Microsoft\Internet Explorer\Quick Launch\" へ復元。

  • "%User Temp%\smtmp\3\" 内のファイルをコピーし、"%User Profile%\Application Data\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\" へ復元。

  • "%User Temp%\smtmp\4\" 内のファイルをコピーし、"%System Root%\ProgramData\Desktop\" へ復元。

すべてのファイルを元の場所に復元した後、以下のフォルダを削除します。

  • %User Temp%\smtmp


ご利用はいかがでしたか? アンケートにご協力ください