RTKT_NECURS.RBC
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
- マルウェアタイプ: トロイの木馬型
- 破壊活動の有無: なし
- 暗号化: はい
- 感染報告の有無: はい
概要
トレンドマイクロは、このマルウェアをNoteworthy(要注意)に分類しました。
マルウェアは、「TSPY_ZBOT.YYKE」によってダウンロードされます。「TSPY_ZBOT.YYKE」は、メッセージファイル(拡張子 MSG)に別のメッセージファイルを埋め込む手法を利用した「UPATRE」の新しい亜種に関連しています。
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。 マルウェアは、他のマルウェアに作成され、コンピュータに侵入します。
マルウェア マルウェアは、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、以下のマルウェアに作成され、コンピュータに侵入します。
- TSPY_ZBOT.YYKE
インストール
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %System%\drivers\{random}.sys
(註:%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)
自動実行方法
マルウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random}
DisplayName = "{random}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random}
ErrorControl = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random}
Group = "Boot Bus Extender"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random}
ImagePath = "%System%\drivers\{random}.sys"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random}
Start = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random}
Tag = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random}
Type = "1"
マルウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random}
ルートキット機能
マルウェアは、ルートキット機能を備えており、この機能が他のマルウェアの不正活動に利用されます。
その他
マルウェア は、自身(コンピュータに侵入して最初に自身のコピーを作成した マルウェア )を削除します。
マルウェアは、コードを改変することにより、以下の企業で使用されるサービスを無効にして、実行を防ぎます。
- ALWIL Software
- Agnitum Ltd
- Anti-Virus
- Avira GmbH
- BITDEFENDER LLC
- Beijing Jiangmin
- Beijing Rising
- BitDefender SRL
- BullGuard Ltd
- CJSC Returnil Software
- Check Point Software Technologies Ltd
- Comodo Inc
- Comodo Inc
- Comodo Security Solutions
- Doctor Web Ltd
- ESET, spol. s r.o.
- FRISK Software International Ltd
- G DATA Software
- GRISOFT, s.r.o.
- Immunet Corporation
- K7 Computing
- KProcessHacker
- Kaspersky Lab
- NovaShield Inc
- PC Tools
- Panda Software International
- Quick Heal Technologies
- SUNBELT SOFTWARE
- Sophos Plc
- Sunbelt Software
- VirusBuster Ltd
- WinDefend
- antimalware
マルウェアは、コードを改変することにより、以下の名称を持つドライバを無効にして、実行を防ぎます。
- ATamptNt.sys
- AVC3.SYS
- AVCKF.SYS
- AhnRec2k.sys
- AhnRghLh.sys
- AntiLeakFilter.sys
- AntiyFW.sys
- ArfMonNt.sys
- AshAvScan.sys
- AszFltNt.sys
- BdFileSpy.sys
- EstRkmon.sys
- EstRkr.sys
- HookCentre.sys
- HookSys.sys
- K7Sentry.sys
- KmxAMRT.sys
- KmxAMVet.sys
- KmxAgent.sys
- KmxStart.sys
- MaxProtector.sys
- MiniIcpt.sys
- NanoAVMF.sys
- NovaShield.sys
- NxFsMon.sys
- OADevice.sys
- OMFltLh.sys
- PCTCore.sys
- PCTCore64.sys
- PLGFltr.sys
- PSINFILE.SYS
- PSINPROC.SYS
- PZDrvXP.sys
- PktIcpt.sys
- Rtw.sys
- SCFltr.sys
- SDActMon.sys
- SMDrvNt.sys
- SRTSP.sys
- SRTSP64.SYS
- SRTSPIT.sys
- STKrnl64.sys
- SegF.sys
- Spiderg3.sys
- THFilter.sys
- UFDFilter.sys
- V3Flt2k.sys
- V3Flu2k.sys
- V3Ift2k.sys
- V3IftmNt.sys
- V3MifiNt.sys
- Vba32dNT.sys
- ZxFsFilt.sys
- a2acc.sys
- a2acc64.sys
- a2gffi64.sys
- a2gffx64.sys
- a2gffx86.sys
- ahnflt2k.sys
- amfsm.sys
- amm6460.sys
- amm8660.sys
- antispyfilter.sys
- aswmonflt.sys
- avgmfi64.sys
- avgmfrs.sys
- avgmfx64.sys
- avgmfx86.sys
- avgntflt.sys
- avmf.sys
- bdfm.sys
- bdfsfltr.sys
- caavFltr.sys
- catflt.sys
- cmdguard.sys
- csaav.sys
- cwdriver.sys
- dkprocesshacker.sys
- drivesentryfilterdriver2lite.sys
- dwprot.sys
- eamonm.sys
- eeCtrl.sys
- eeyehv.sys
- eeyehv64.sys
- eraser.sys
- fildds.sys
- fortimon2.sys
- fortirmon.sys
- fortishield.sys
- fpav_rtp.sys
- fsfilter.sys
- fsgk.sys
- ggc.sys
- ikfilesec.sys
- ino_fltr.sys
- issfltr.sys
- issregistry.sys
- klbg.sys
- kldback.sys
- kldlinf.sys
- kldtool.sys
- klif.sys
- kmkuflt.sys
- lbd.sys
- mbam.sys
- mfehidk.sys
- mfencoas.sys
- mpFilter.sys
- nprosec.sys
- nregsec.sys
- nvcmflt.sys
- pervac.sys
- pwipf6.sys
- rvsmon.sys
- sascan.sys
- savant.sys
- savonaccess.sys
- shldflt.sys
- snscore.sys
- ssfmonm.sys
- ssvhook.sys
- strapvista.sys
- strapvista64.sys
- tkfsavxp.sys
- tkfsavxp64.sys
- tkfsft.sys
- tkfsft64.sys
- tmevtmgr.sys
- tmpreflt.sys
- v3engine.sys
- vcMFilter.sys
- vcdriv.sys
- vchle.sys
- vcreg.sys
- vradfil2.sys
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 3
このマルウェアのパス名およびファイル名を確認します。
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用いてウイルス検索を実行してください。「RTKT_NECURS.RBC」で検出したパス名およびファイル名を確認し、メモ等をとってください。
手順 4
Windowsをセーフモードで再起動します。
手順 5
このレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- {random}
- {random}
手順 6
RTKT_NECURS.RBC として検出されたファイルを検索し削除します。
註:このファイルは、隠しファイルとして設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
マルウェアのファイルの手動削除::
- [スタート]-[検索]-[ファイルとフォルダすべて]を選択します。
- [ファイル名のすべてまたは一部]に上記で確認したファイル名を入力してください。
- [探す場所]の一覧から[マイコンピュータ]を選択し、[検索]を押します。
- ファイルが表示されたら、そのファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
- 残りのファイルに対して、この不正なコンポーネントファイルの上記の手順 2.)から 4.)を繰り返してください。
- [スタート]をクリックします。
- [プログラムとファイルの検索]に、上記で確認したファイル名を入力します。
- ファイルが表示されたら、そのファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
- 残りのファイルに対して、この不正なコンポーネントファイルの上記の手順 2.)から 3.)を繰り返してください。
註:Windows 7 において上記の手順が正しく行われない場合、マイクロソフトのWebサイトをご確認ください。
手順 7
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「RTKT_NECURS.RBC」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください