Worm.PS1.LEMONDUCK.YCAC-A

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ファイルサイズ 188,252 bytes

メモリ常駐はい

発見日 2020年3月18日

侵入方法

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、以下のファイルを作成します。

%User Temp%\{8 random characters}.tmp - deleted afterwards
%User Temp%\{8 random characters}.0.cs - deleted afterwards
%User Temp%\{8 random characters}.dll - deleted afterwards
%User Temp%\{8 random characters}.cmdline - deleted afterwards
%User Temp%\{8 random characters}.out - deleted afterwards
%User Temp%\{8 random characters}.err - deleted afterwards
%User Temp%\{8 random characters}.pdb - deleted afterwards
%User Temp%\CSC{4 random numbers}.tmp - deleted afterwards
%User Temp%\RES{4 random numbers}.tmp - deleted afterwards
{Removable Drive}:\Dblue3.lnk
{Removable Drive}:\Eblue3.lnk
{Removable Drive}:\Fblue3.lnk
{Removable Drive}:\Gblue3.lnk
{Removable Drive}:\Hblue3.lnk
{Removable Drive}:\Iblue3.lnk
{Removable Drive}:\Jblue3.lnk
{Removable Drive}:\Kblue3.lnk
{Removable Drive}:\blue3.bin
{Removable Drive}:\Dblue6.lnk → detected as Trojan.LNK.CVE20178464.B
{Removable Drive}:\Eblue6.lnk → detected as Trojan.LNK.CVE20178464.B
{Removable Drive}:\Fblue6.lnk → detected as Trojan.LNK.CVE20178464.B
{Removable Drive}:\Gblue6.lnk → detected as Trojan.LNK.CVE20178464.B
{Removable Drive}:\Hblue6.lnk → detected as Trojan.LNK.CVE20178464.B
{Removable Drive}:\Iblue6.lnk → detected as Trojan.LNK.CVE20178464.B
{Removable Drive}:\Jblue6.lnk → detected as Trojan.LNK.CVE20178464.B
{Removable Drive}:\Kblue6.lnk→ detected as Trojan.LNK.CVE20178464.B
{Removable Drive}:\blue6.bin
{Removable Drive}:\UTFsync\inf_data

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

ワームは、以下のプロセスを追加します。

"%Windows%\Microsoft.NET\Framework\v2.0.50727\csc.exe" /noconfig /fullpaths @"%User Temp%{8 random characters}.cmdline"
%Windows%\Microsoft.NET\Framework\v2.0.50727\cvtres.exe /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%User Temp%\RES{4 random numbers}.tmp" "%User Temp%\CSC{4 random numbers}.tmp"
"%System%\WindowsPowerShell\v1.0\powershell.exe" -s -NoLogo -NoProfile
"%System%\NETSTAT.EXE" -anop TCP
"%System%taskmgr.exe"
"%System%ipconfig.exe" /all
"%System%ipconfig.exe" /displaydns
"%System%NETSTAT.EXE" -ano

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

プロセスの終了

ワームは、感染コンピュータ上でプロセスが常駐されていることを確認した場合、以下のいずれかの文字列を含むプロセスまたはサービスを終了します。

SC
WerMgr
WerFault
DW20
msinfo
XMR*
xmrig*
minerd
MinerGate
Carbon
yamm1
upgeade
auto-upgeade
svshost
SystemIIS
SystemIISSec
WindowsUpdater*
WindowsDefender*
update
carss
service
csrsc
cara
javaupd
gxdrv
lsmosee
secuams
SQLEXPRESS_X64_86
Calligrap
Sqlceqp
Setting
Uninsta
conhoste
Setring
Galligrp
Imaging
taskegr
Terms.EXE
360
8866
9966
9696
9797
svchosti
SearchIndexAvira
cohernece
win
SQLforwin
xig*
taskmgr1
Workstation
ress
explores

その他

ワームは、以下を実行します。

It disables, stops, and deletes the following services:
- xWinWpdSrv
- SVSHost
- Microsoft Telemetry
- lsass
- Microsoft
- system
- Oracleupdate
- CLR
- sysmgt
- \gm
- WmdnPnSN
- Sougoudl
- National
- Nationaaal
- Natimmonal
- Nationaloll
- Nationalmll
- Nationalaie
- Nationalwpi
- WinHelp32
- WinHelp64
- Samserver
- RpcEptManger
- NetMsmqActiv Media NVIDIA
- Sncryption Media Playeq
- SxS
- WinSvc
- mssecsvc2.1
- mssecsvc2.0
- Windows_Update
- Windows Managers
- SvcNlauser
- WinVaultSvc
- Xtfy
- Xtfya
- Xtfyxxx
- 360rTys
- IPSECS
- MpeSvc
- SRDSL
- WifiService
- ALGM
- wmiApSrvs
- wmiApServs
- taskmgr1
- WebServers
- ExpressVNService
- WWW.DDOS.CN.COM
- WinHelpSvcs
- aspnet_staters
- clr_optimization
- AxInstSV
- Zational
- DNS Server
- Serhiez
- SuperProServer
- .Net CLR
- WissssssnHelp32
- WinHasdadelp32
- WinHasdelp32
- ClipBooks
It force deletes the following scheduled tasks:
- my1
- Mysa
- Mysa1
- Mysa2
- Mysa3
- ok
- Oracle Java
- Oracle Java Update
- Microsoft Telemetry
- Spooler SubSystem Service
- Oracle Products Reporter
- Update service for products
- gm
- ngm
- Sorry
- Windows_Update
- Update_windows
- WindowsUpdate1
- WindowsUpdate2
- WindowsUpdate3
- AdobeFlashPlayer
- FlashPlayer1
- FlashPlayer2
- FlashPlayer3
- IIS
- WindowsLogTasks
- System Log Security Check
- Update
- Update1
- Update2
- Update3
- Update4
- DNS
- SYSTEM
- DNS2
- SYSTEMa
- skycmd
- Miscfost
- Netframework
- Flash
- RavTask
- GooglePingConfigs
- HomeGroupProvider
- MiscfostNsi
- WwANsvc
- Bluetooths
- Ddrivers
- DnsScan
- WebServers
- Credentials
- TablteInputout
- werclpsyport
- HispDemorn
- LimeRAT-Admin
- DnsCore
- "Update service for Windows Service"
- DnsCore
- ECDnsCore
Capable of performing Brute Force Attack. It uses the following credentials:
- Username
- Password
- NTLM Hashes
It terminates processes containing the following strings in its command line:
- pool.monero.hashvault.pro
- blazepool
- blockmasters
- blockmasterscoins
- bohemianpool
- cryptmonero
- cryptonight
- crypto-pool
- --donate-level
- dwarfpool
- hashrefinery
- hashvault.pro
- iwanttoearn.money
- --max-cpu-usage
- mine.bz
- minercircle.com
- minergate
- miners.pro
- mineXMR
- minexmr
- mineXMR
- mineXMR
- miningpoolhubcoins
- mixpools.org
- mixpools.org
- monero
- monero
- monero.lindon-pool.win
- moriaxmr.com
- mypool.online
- nanopool.org
- nicehash
- -p x
- pool.electroneum.hashvault.pro
- pool.xmr
- poolto.be
- prohash
- prohash.net
- ratchetmining.com
- slushpool
- stratum+
- suprnova.cc
- teracycle.net
- usxmrpool
- viaxmr.com
- xmrpool
- yiimp
- zergpool
- zergpoolcoins
- zpool
It terminates processes that established a TCP connection to the following ports:
- 1111
- 2222
- 3333
- 4444
- 5555
- 6666
- 7777
- 8888
- 9999
- 14433
- 14444
- 45560
- 65333
It is capable of propagating in the local network via the following means:
- SMB Exploit
- MS-SQL Brute forcing
- Pass-The-Hash attack
- RDP Brute forcing

<補足>
インストール

ワームは、以下のファイルを作成します。

%User Temp%\{ランダムな8文字}.tmp - 後に削除される
%User Temp%\{ランダムな8文字}.0.cs - 後に削除される
%User Temp%\{ランダムな8文字}.dll - 後に削除される
%User Temp%\{ランダムな8文字}.cmdline - 後に削除される
%User Temp%\{ランダムな8文字}.out - 後に削除される
%User Temp%\{ランダムな8文字}.err - 後に削除される
%User Temp%\{ランダムな8文字}.pdb - 後に削除される
%User Temp%\CSC{ランダムな4文字}.tmp - 後に削除される
%User Temp%\RES{ランダムな4文字}.tmp - 後に削除される
{リムーバブルドライブ}:\Dblue3.lnk
{リムーバブルドライブ}:\Eblue3.lnk
{リムーバブルドライブ}:\Fblue3.lnk
{リムーバブルドライブ}:\Gblue3.lnk
{リムーバブルドライブ}:\Hblue3.lnk
{リムーバブルドライブ}:\Iblue3.lnk
{リムーバブルドライブ}:\Jblue3.lnk
{リムーバブルドライブ}:\Kblue3.lnk
{リムーバブルドライブ}:\blue3.bin
{リムーバブルドライブ}:\Dblue6.lnk → 「Trojan.LNK.CVE20178464.B」として検出される
{リムーバブルドライブ}:\Eblue6.lnk → 「Trojan.LNK.CVE20178464.B」として検出される
{リムーバブルドライブ}:\Fblue6.lnk → 「Trojan.LNK.CVE20178464.B」として検出される
{リムーバブルドライブ}:\Gblue6.lnk → 「Trojan.LNK.CVE20178464.B」として検出される
{リムーバブルドライブ}:\Hblue6.lnk → 「Trojan.LNK.CVE20178464.B」として検出される
{リムーバブルドライブ}:\Iblue6.lnk → 「Trojan.LNK.CVE20178464.B」として検出される
{リムーバブルドライブ}:\Jblue6.lnk → 「Trojan.LNK.CVE20178464.B」として検出される
{リムーバブルドライブ}:\Kblue6.lnk→ 「Trojan.LNK.CVE20178464.B」として検出される
{リムーバブルドライブ}:\blue6.bin
{リムーバブルドライブ}:\UTFsync\inf_data

その他

ワームは、以下を実行します。

以下のサービスを無効化、停止、削除します。
- xWinWpdSrv
- SVSHost
- Microsoft Telemetry
- lsass
- Microsoft
- system
- Oracleupdate
- CLR
- sysmgt
- \gm
- WmdnPnSN
- Sougoudl
- National
- Nationaaal
- Natimmonal
- Nationaloll
- Nationalmll
- Nationalaie
- Nationalwpi
- WinHelp32
- WinHelp64
- Samserver
- RpcEptManger
- NetMsmqActiv Media NVIDIA
- Sncryption Media Playeq
- SxS
- WinSvc
- mssecsvc2.1
- mssecsvc2.0
- Windows_Update
- Windows Managers
- SvcNlauser
- WinVaultSvc
- Xtfy
- Xtfya
- Xtfyxxx
- 360rTys
- IPSECS
- MpeSvc
- SRDSL
- WifiService
- ALGM
- wmiApSrvs
- wmiApServs
- taskmgr1
- WebServers
- ExpressVNService
- WWW.DDOS.CN.COM
- WinHelpSvcs
- aspnet_staters
- clr_optimization
- AxInstSV
- Zational
- DNS Server
- Serhiez
- SuperProServer
- .Net CLR
- WissssssnHelp32
- WinHasdadelp32
- WinHasdelp32
- ClipBooks
以下のスケジュールされたタスクを強制的に削除します。
- my1
- Mysa
- Mysa1
- Mysa2
- Mysa3
- ok
- Oracle Java
- Oracle Java Update
- Microsoft Telemetry
- Spooler SubSystem Service
- Oracle Products Reporter
- Update service for products
- gm
- ngm
- Sorry
- Windows_Update
- Update_windows
- WindowsUpdate1
- WindowsUpdate2
- WindowsUpdate3
- AdobeFlashPlayer
- FlashPlayer1
- FlashPlayer2
- FlashPlayer3
- IIS
- WindowsLogTasks
- System Log Security Check
- Update
- Update1
- Update2
- Update3
- Update4
- DNS
- SYSTEM
- DNS2
- SYSTEMa
- skycmd
- Miscfost
- Netframework
- Flash
- RavTask
- GooglePingConfigs
- HomeGroupProvider
- MiscfostNsi
- WwANsvc
- Bluetooths
- Ddrivers
- DnsScan
- WebServers
- Credentials
- TablteInputout
- werclpsyport
- HispDemorn
- LimeRAT-Admin
- DnsCore
- "Update service for Windows Service"
- DnsCore
- ECDnsCore
辞書攻撃を実行する機能を備えており、以下の認証情報を使用します。
- ユーザ名
  - administrator
  - admin
- パスワード
  - saadmin
  - 123456
  - test1
  - zinch
  - g_czechout
  - asdf
  - Aa123456.
  - dubsmash
  - password
  - PASSWORD
  - 123.com
  - admin@123
  - Aa123456
  - qwer12345
  - Huawei@123
  - 123@abc
  - golden
  - 123!@#qwe
  - 1qaz@WSX
  - Ab123
  - 1qaz!QAZ
  - Admin123
  - Administrator
  - Abc123
  - Admin@123
  - 999999
  - Passw0rd
  - 123qwe!@#
  - football
  - welcome
  - 1
  - 12
  - 21
  - 123
  - 321
  - 1234
  - 12345
  - 123123
  - 123321
  - 111111
  - 654321
  - 666666
  - 121212
  - 0
  - 222222
  - 888888
  - 1111
  - 555555
  - 1234567
  - 12345678
  - 123456789
  - 987654321
  - admin
  - abc123
  - abcd1234
  - abcd@1234
  - abc@123
  - p@ssword
  - P@ssword
  - p@ssw0rd
  - P@ssw0rd
  - P@SSWORD
  - P@SSW0RD
  - P@w0rd
  - P@word
  - iloveyou
  - monkey
  - login
  - passw0rd
  - master
  - hello
  - qazwsx
  - password1
  - qwerty
  - baseball
  - qwertyuiop
  - superman
  - 1qaz2wsx
  - fuckyou
  - 123qwe
  - zxcvbn
  - pass
  - aaaaaa
  - love
  - administrator
  - qwe1234A
  - qwe1234a
  - 123123123
  - 1234567890
  - 88888888
  - 111111111
  - 112233
  - a123456
  - 123456a
  - 5201314
  - 1q2w3e4r
  - qwe123
  - a123456789
  - 123456789a
  - dragon
  - sunshine
  - princess
  - !@#$%^&*
  - charlie
  - aa123456
  - homelesspa
  - 1q2w3e4r5t
  - sa
  - sasa
  - sa123
  - sql2005
  - sa2008
  - abc
  - abcdefg
  - sapassword
  - Aa12345678
  - ABCabc123
  - sqlpassword
  - sql2008
  - 11223344
  - admin888
  - qwe1234
  - A123456
- NTLMハッシュ
  - 648AFF3A042261BAB4978076DE2C6B8C
  - 32ED87BDB5FDC5E9CBA88547376818D4
  - AACD12D27C87CAC8FC0B8538AED6F058
  - C1790553DBB8362FA7F16D564585B4D1
  - B9ACFD3C52ED0D6988BED8EB9AC636D6
  - E5810F3C99AE2ABB2232ED8458A61309
  - 0E032B9D51A580AC6CDFABAD8BC97A38
  - 6AA8BC1D5018300D54E51C9860FA961C
  - 8846F7EAEE8FB117AD06BDD830B7586C
  - 7B592E4F8178B4C75788531B2E747687
  - AFFFEBA176210FAD4628F0524BFE1942
  - 579DA618CFBFA85247ACF1F800A280A4
  - 47BF8039A8506CD67C524A03FF84BA4E
  - 5AE7B89B3AFEA28D448ED31B5C704289
  - 3F9F5F112DA330AC4C20BE279C6ADDFA
  - 73F5D97549F033374FA6D9F9CE247FFD
  - 6F12C0AB327E099821BD938F39FAAB0D
  - E5AE562DDFAA6B446C32764AB1EBF3ED
  - 161CFF084477FE596A5DB81874498A24
  - D30C2EF8389AC9E8516BAACB29463B7B
  - BC007082D32777855E253FD4DEFE70EE
  - E45A314C664D40A227F9540121D1A29D
  - D144986C6122B1B1654BA39932465528
  - F4BB18C1165A89248F9E853B269A8995
  - 570A9A65DB8FBA761C1008A51D4C95AB
  - E1A692BD23BDE99B327756E59308B4F8
  - A87F3A337D73085C45F9416BE5787D86
  - 00AFFD88FA323B00D4560BF9FEF0EC2F
  - 31FC0DC8F7DFAD0E8BD7CCC3842F2CE9
  - 674E48B68C5CD0EFD8F7E5FAA87B3D1E
  - 69943C5E63B4D2C104DBBCC15138B72B
  - 588FEB889288FB953B5F094D47D1565C
  - BCDF115FD9BA99336C31E176EE34B304
  - 3DBDE697D71690A769204BEB12283678
  - DF54DE3F3438343202C1DD523D0265BE
  - 7CE21F17C0AEE7FB9CEBA532D0546AD6
  - 7A21990FCD3D759941E45C490F143D5F
  - 579110C49145015C47ECD267657D3174
  - AF27EFB60C7B238910EFE2A7E0676A39
  - 2D7F1A5A61D3A96FB5159B5EEF17ADC6
  - 4057B60B514C5402DDE3D29A1845C366
  - E8CD0E4A9E89EAB931DC5338FCBEC54A
  - 6920C58D0DF184D829189C44FAFB7ECE
  - 3FA45A060BD2693AE4C05B601D05CA0C
  - BA07BA35933E5BF42DEA4AF8ADD09D1E
  - F1351AC828428D74F6DA2968089FC91F
  - E84D037613721532E6B6D84D215854B6
  - 2F2D544C53B3031F24D63402EA7FB4F9
  - 328727B81CA05805A68EF26ACB252039
  - 259745CB123A52AA2E693AAACCA2DB52
  - C22B315C040AE6E0EFEE3518D830362B
  - 162E829BE112225FEDF856E38E1C65FE
  - 209C6174DA490CAEB422F3FA5A7AE634
  - F9E37E83B83C47A93C2F09F66408631B
  - B3EC3E03E2A202CBD54FD104B8504FEF
  - 4ED91524CB54EAACC17A185646FB7491
  - AA647B916A1FAD374DF9C30711D58A7A
  - A80C9CC3F8439ADA25AF064A874EFE2D
  - 13B29964CC2480B4EF454C59562E675C
  - DE26CCE0356891A4A020E7C4957AFC72
  - E19CCF75EE54E06B06A5907AF13CEF42
  - 30FCAA8AD9A496B3E17F7FBFACC72993
  - 41630ABB825CA50DA31CE1FAC1E9F54D
  - F56A8399599F1BE040128B1DD9623C29
  - 2E4DBF83AA056289935DAEA328977B20
  - B963C57010F218EDC2CC3C229B5E4D0F
  - F2477A144DFF4F216AB81F2AC3E3207D
  - E6BD4CDB1E447131B60418F31D0B81D6
  - B9F917853E3DBF6E6831ECCE60725930
  - 6D3986E540A63647454A50E26477EF94
  - 066DDFD4EF0E9CD7C256FE77191EF43C
  - 152EFBCFAFEB22EABDA8FC5E68697A41
  - 5835048CE94AD0564E29A924A03510EF
  - 2D20D252A479F485CDF5E171D93985BF
  - 320A78179516C385E35A93FFA0B1C4AC
  - 0D757AD173D2FC249CE19364FD64C8EC
  - 72F5CFA80F07819CCBCFB72FEB9EB9B7
  - F67F5E3F66EFD7298BE6ACD32EEEB27C
  - 1C4ECC8938FB93812779077127E97662
  - AD70819C5BC807280974D80F45982011
  - A836EF24F0A529688BE2AF1479A95411
  - 36AA83BDCAB3C9FDAF321CA42A31C3FC
  - ACB98FD0478427CD18949050C5E87B47
  - 85DEEEC2D12F917783B689AE94990716
  - A4141712F19E9DD5ADF16919BB38A95C
  - E7380AE8EF85AE55BDCEAA59E418BD06
  - 81E5F1ADC94DD08B1A072F9C1AE3DD3F
  - 71C5391067DE41FAD6F3063162E5EEFF
- コマンドライン内に以下の文字列を含むプロセスを終了します。
  - pool.monero.hashvault.pro
  - blazepool
  - blockmasters
  - blockmasterscoins
  - bohemianpool
  - cryptmonero
  - cryptonight
  - crypto-pool
  - --donate-level
  - dwarfpool
  - hashrefinery
  - hashvault.pro
  - iwanttoearn.money
  - --max-cpu-usage
  - mine.bz
  - minercircle.com
  - minergate
  - miners.pro
  - mineXMR
  - minexmr
  - mineXMR
  - mineXMR
  - miningpoolhubcoins
  - mixpools.org
  - mixpools.org
  - monero
  - monero
  - monero.lindon-pool.win
  - moriaxmr.com
  - mypool.online
  - nanopool.org
  - nicehash
  - -p x
  - pool.electroneum.hashvault.pro
  - pool.xmr
  - poolto.be
  - prohash
  - prohash.net
  - ratchetmining.com
  - slushpool
  - stratum+
  - suprnova.cc
  - teracycle.net
  - usxmrpool
  - viaxmr.com
  - xmrpool
  - yiimp
  - zergpool
  - zergpoolcoins
  - zpool
- 以下のポートへのTCP接続を確立したプロセスを終了します。
  - 1111
  - 2222
  - 3333
  - 4444
  - 5555
  - 6666
  - 7777
  - 8888
  - 9999
  - 14433
  - 14444
  - 45560
  - 65333
- 以下の手法によりローカルネットワーク内で拡散する可能性があります。
  - SMBに内在する脆弱性の悪用
  - MS-SQLサーバに対する辞書攻撃
  - パス・ザ・ハッシュ攻撃（Pass the Hash Attack）
  - RDPを介した辞書攻撃

対応検索エンジン: 9.800

初回 VSAPI パターンバージョン 15.936.02

初回 VSAPI パターンリリース日 2020年6月17日

VSAPI OPR パターンバージョン 15.937.00

VSAPI OPR パターンリリース日 2020年6月18日

手順 1

Windows 7、Windows 8、Windows 8.1、および Windows 10 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム（OS）の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル／フォルダ／レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 3

「Worm.PS1.LEMONDUCK.YCAC-A」で検出したファイル名を確認し、そのファイルを終了します。

[ 詳細 ]

すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、こちらをご参照下さい。
検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。

手順 4

以下のファイルを検索し削除します。

[ 詳細 ]

コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

{Removable Drive}:\Dblue3.lnk
{Removable Drive}:\Eblue3.lnk
{Removable Drive}:\Fblue3.lnk
{Removable Drive}:\Gblue3.lnk
{Removable Drive}:\Hblue3.lnk
{Removable Drive}:\Iblue3.lnk
{Removable Drive}:\Jblue3.lnk
{Removable Drive}:\Kblue3.lnk
{Removable Drive}:\blue3.bin
{Removable Drive}:\Dblue6.lnk
{Removable Drive}:\Eblue6.lnk
{Removable Drive}:\Fblue6.lnk
{Removable Drive}:\Gblue6.lnk
{Removable Drive}:\Hblue6.lnk
{Removable Drive}:\Iblue6.lnk
{Removable Drive}:\Jblue6.lnk
{Removable Drive}:\Kblue6.lnk
{Removable Drive}:\blue6.bin
{Removable Drive}:\UTFsync\inf_data

マルウェアのコンポーネントファイルの削除：

Windows 2000、XP および Server 2003 の場合：

[スタート]-[検索]-[ファイルとフォルダすべて]を選択します。
[ファイル名のすべてまたは一部]に以下のファイル名を入力してください。
{Removable Drive}:\Dblue3.lnk
{Removable Drive}:\Eblue3.lnk
{Removable Drive}:\Fblue3.lnk
{Removable Drive}:\Gblue3.lnk
{Removable Drive}:\Hblue3.lnk
{Removable Drive}:\Iblue3.lnk
{Removable Drive}:\Jblue3.lnk
{Removable Drive}:\Kblue3.lnk
{Removable Drive}:\blue3.bin
{Removable Drive}:\Dblue6.lnk
{Removable Drive}:\Eblue6.lnk
{Removable Drive}:\Fblue6.lnk
{Removable Drive}:\Gblue6.lnk
{Removable Drive}:\Hblue6.lnk
{Removable Drive}:\Iblue6.lnk
{Removable Drive}:\Jblue6.lnk
{Removable Drive}:\Kblue6.lnk
{Removable Drive}:\blue6.bin
{Removable Drive}:\UTFsync\inf_data
[探す場所]の一覧から[マイコンピュータ]を選択し、[検索]を押します。
検索が終了したら、ファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
註：ファイル名の入力欄のタイトルは、Windowsのバージョンによって異なります。（例：ファイルやフォルダ名の検索の場合やファイル名のすべてまたは一部での検索）

Windows Vista、7、Server 2008、8、8.1、10 および Server 2012 の場合：

Windowsエクスプローラ画面を開きます。
- Windows Vista、7 および Server 2008 の場合：
  - [スタート]-[コンピューター]を選択します。
- Windows 8、8.1、10 および Server 2012 の場合：
  - 画面の左下隅を右クリックし、[エクスプローラー]を選択します。
[コンピューターの検索]に、以下を入力します。
{Removable Drive}:\Dblue3.lnk
{Removable Drive}:\Eblue3.lnk
{Removable Drive}:\Fblue3.lnk
{Removable Drive}:\Gblue3.lnk
{Removable Drive}:\Hblue3.lnk
{Removable Drive}:\Iblue3.lnk
{Removable Drive}:\Jblue3.lnk
{Removable Drive}:\Kblue3.lnk
{Removable Drive}:\blue3.bin
{Removable Drive}:\Dblue6.lnk
{Removable Drive}:\Eblue6.lnk
{Removable Drive}:\Fblue6.lnk
{Removable Drive}:\Gblue6.lnk
{Removable Drive}:\Hblue6.lnk
{Removable Drive}:\Iblue6.lnk
{Removable Drive}:\Jblue6.lnk
{Removable Drive}:\Kblue6.lnk
{Removable Drive}:\blue6.bin
{Removable Drive}:\UTFsync\inf_data
ファイルが表示されたら、そのファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
註：Windows 7 および Server 2008 において上記の手順が正しく行われない場合、マイクロソフトのWebサイトをご確認ください。

手順 5

最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「Worm.PS1.LEMONDUCK.YCAC-A」と検出したファイルはすべて削除してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

ご利用はいかがでしたか？　アンケートにご協力ください

概要

詳細

対応方法

Trend Vision One™ - Proactive Security Starts Here.

リソース

サポート

会社概要

東京本社