Trend Micro Security

TROJ_BHO.YO

2012年10月7日
 解析者: JessaD   
 危険度:
 感染確認数:


  • マルウェアタイプ:
  • 破壊活動の有無:  
  • 暗号化:  
  • 感染報告の有無:  

  概要


マルウェアは、「SMSのメッセージ(以下、テキストメッセージ)」を介してコンピュータに侵入します。

  詳細

侵入方法

マルウェアは、以下の詳細を含むテキストメッセージを介してコンピュータに侵入します。

erfs

自動実行方法

マルウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。

u
r = tr

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

hklm
run = a.exe

他のシステム変更

マルウェアは、以下のレジストリキーを追加します。

q
q = q

  対応方法

手順 1

変更されたレジストリ値を修正します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

DATA_GENERIC_KEY_SHELL_1
  • 右側のパネルで以下のレジストリ値を検索します。
    Default
  • [値のデータ]がマルウェアのパス名およびファイル名であるかを確認します。
  • [値のデータ]がマルウェアのパス名およびファイル名である場合は、その[値の名前]が「(既定)」である部分で右クリックし、[修正]または[変更]を選択します。
  • [文字列の編集]ダイアログボックスが表示されたら、現在の[値のデータ]を削除し、以下の値を入力します。
    %1 %*
  • 以下のレジストリキーに対して、上記の手順を繰り返してください。
    • DATA_GENERIC_KEY_SHELL
  • レジストリエディタを閉じます。
  • [スタート]-[ファイル名を指定して実行]を選択し、以下を入力します。
    command /c del regedit.com
  • [OK]をクリックします。
    ※command /c del regedit.com は半角英数字で入力する必要があります(大文字/小文字は区別されません)。

    • 手順 2

    以下の修正パッチをダウンロードし適用します。この脆弱性に対する修正パッチを適用するまで、該当製品の使用をお控えください。この製品の製造元が公開する正式な修正パッチをダウンロードし適用することをお勧めします。


    ご利用はいかがでしたか? アンケートにご協力ください