Ransom_Foreign.R002C0PK319
Trojan-FQKD!DE9ABA0C2C49 (McAfee); Trojan-Ransom.Win32.Foreign.myji (Kaspersky); Troj/AutoG-A (Sophos)
Windows
マルウェアタイプ:
身代金要求型不正プログラム(ランサムウェア)
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、タスクマネージャやレジストリエディタ、フォルダオプションを無効にします。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、以下のプロセスを追加します。
- "%Application Data%\XRCXS.exe"
- %Application Data%\XRCXS.exe
- "%Application Data%\Windows\winlogon.exe"
- %Application Data%\Windows\winlogon.exe
- netsh advfirewall firewall add rule name="ImgBurn" dir=in action=allow description="Multimedia suite" program="%Application Data%\Microsoft\lsass.exe" enable=yes
- %Application Data%\Microsoft\lsass.exe /k %Application Data%\XRCXS.exe
- %System%\reg.exe REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "Windows Defender" /t REG_SZ /d "%Application Data%\Windows\winlogon.exe" /f
- %Program Files%\Internet Explorer\iexplore.exe
- "%System Root%\Program Files\Internet Explorer\IEXPLORE.EXE"
- "%Program Files%\Internet Explorer\IEXPLORE.EXE" SCODEF:2844 CREDAT:275457 /prefetch:2
(註:%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。. %System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %Program Files%フォルダは、デフォルトのプログラムファイルフォルダです。C:\Program Files in Windows 2000(32-bit)、Server 2003(32-bit)、XP、Vista(64-bit)、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files"です。また、Windows XP(64-bit)、Vista(64-bit)、7(64-bit)、8(64-bit)、8.1(64-bit)、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Program Files(x86)" です。. %System Root%フォルダは、オペレーティングシステム(OS)が存在する場所で、いずれのOSでも通常、 "C:" です。.)
マルウェアは、以下のフォルダを作成します。
- %Application Data%\Microsoft\Windows\IECompatUACache
- %Application Data%\Microsoft\Windows\PrivacIE
- %Application Data%\Microsoft\Windows\IECompatCache
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active
- %AppDataLocal%\Microsoft\Internet Explorer\DomainSuggestions
- %Application Data%\Microsoft\Windows\DNTException
- %Application Data%\Windows
(註:%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。. %AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。)
自動実行方法
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
MSWUpdate = "%Application Data%\Microsoft\lsass.exe"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Windows Defender = "%Application Data%\Windows\winlogon.exe"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Zqucub = "%Application Data%\Zqucub.exe"
他のシステム変更
マルウェアは、以下のファイルを改変します。
- %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\82DF2NUK\widgets.outbrain[1].xml
- %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\82DF2NUK\secure-ds.serving-sys[1].xml
- %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\82DF2NUK\www.msn[1].xml
マルウェアは、以下のファイルを削除します。
- %AppDataLocal%Low\Microsoft\Internet Explorer\Services\search_{0633EE93-D776-472f-A0FF-E1416B8B2E3A}.ico
- %Application Data%\Microsoft\CwiUsEO.tmp
(註:%AppDataLocal%フォルダは、ローカルアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Local" です。. %Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\<ユーザ名>\AppData\Roaming" です。)
マルウェアは、以下のレジストリキーを追加します。
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Run
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Run
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\
Microsoft\4842
マルウェアは、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\
Microsoft\Windows\CurrentVersion\
Run
MSWUpdate = "%Application Data%\Microsoft\lsass.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Run
MSWUpdate = "%Application Data%\Microsoft\lsass.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\
Microsoft\Windows NT\CurrentVersion\
Winlogon
Userinit = "%System%\userinit.exe,%Application Data%\Microsoft\lsass.exe"
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\
Microsoft\4842
F = "True"
マルウェアは、以下のレジストリ値を追加し、タスクマネージャやレジストリエディタ、フォルダオプションを無効にします。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Run
MSWUpdate = "%Application Data%\Microsoft\lsass.exe"
作成活動
マルウェアは、以下のファイルを作成します。
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{DAFE9833-A07C-11E9-930D-005056BC74F8}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\82DF2NUK\widgets.outbrain[1].xml
- %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\3UYAQU1F\contextual.media[1].xml
- %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\82DF2NUK\www.msn[1].xml
- %Application Data%\XRCXS.exe
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\RecoveryStore.{DAFE9831-A07C-11E9-930D-005056BC74F8}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\PDYB5D8B\tag.idsync.analytics.yahoo[1].xml
- %AppDataLocal%\Microsoft\Internet Explorer\imagestore\joppu72\imagestore.dat
- %AppDataLocal%\Microsoft\Internet Explorer\MSIMGSIZ.DAT
- %Application Data%\Zqucub.exe
- %Application Data%\Microsoft\lsass.exe
- %User Temp%\BFKYX.txt
- %Application Data%\Windows\winlogon.exe
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{DAFE9834-A07C-11E9-930D-005056BC74F8}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\DomainSuggestions\en-US.6
- %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\82DF2NUK\secure-ds.serving-sys[1].xml
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- http://www.{BLOCKED}ool.com
- http://api.{BLOCKED}ia.com
- http://go.{BLOCKED}oft.com/fwlink/?LinkId=69157
- http://www.{BLOCKED}n.com/?ocid=iehp
- http://static-global-s-msn-com.{BLOCKED}zed.net/{random path}?{random characters}
- http://o.{BLOCKED}n.com/ads/adswrappermsni.js
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAGpOUO.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAGUW9m.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBiwNf.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJNFf6.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJNyJ9.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJNGdk.img?{random characters}
- http://www.{BLOCKED}n.com/en-us/homepage/irisbannerajax?{random characters}
- http://c.{BLOCKED}n.com/c.gif?{random characters}
- http://c.{BLOCKED}g.com/c.gif?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/hp-wus/sc/ea/4996b9.woff
- http://static-global-s-msn-com.{BLOCKED}zed.net/hp-wus/sc/c6/cfdbd9.png
- http://at.{BLOCKED}a.com/{random path}
- http://adserver.{BLOCKED}h.advertising.com/{random path}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAywufo.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJNJ6O.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAgMwNJ.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJNGOs.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBCleeG.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJNLhU.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAyXiwM.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJF4XX.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJNGYz.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBolkhP.img?{random characters}
- http://acdn.{BLOCKED}s.com/ast/ast.js
- http://banner.{BLOCKED}ising.com/ads/msn3.html
- http://m.{BLOCKED}s.com/ut/v3
- http://g.{BLOCKED}g.com/uac/request?{random characters}
- http://g.{BLOCKED}g.com/uac/response?{random characters}
- http://static.{BLOCKED}eat.com/js/{BLOCKED}eat.js
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJM8t9.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAywOab.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJI2Vu.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJIi4F.img?{random characters}
- http://www.{BLOCKED}n.com/en-us/homepage/npsajax?ver=20191026_19197347
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJM6Y3.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJNqMM.img?{random characters}
- http://img-s-msn-com.{BLOCKED}zed.net/tenant/amp/entityid/AAyW7G9.img?{random characters}
- http://img-s-msn-com.{BLOCKED}zed.net/tenant/amp/entityid/BBTg0tm.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJNOKC.img?{random characters}
- http://img-s-msn-com.{BLOCKED}zed.net/tenant/amp/entityid/AAEHtW3.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBUDFrs.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAEL1W6.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBUE38v.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAILYH4.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAIM6SY.img?{random characters}
- http://img-s-msn-com.{BLOCKED}zed.net/tenant/amp/entityid/AA565dd.img?{random characters}
- http://img-s-msn-com.{BLOCKED}zed.net/tenant/amp/entityid/BBTUVWY.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJIkdc.img?h=75&w=100&m=6&q=60&u=t&o=t&l=f
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJgzRw.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJNBu0.img?h=75&w=100&m=6&q=60&u=t&o=t&l=f
- http://img-s-msn-com.{BLOCKED}zed.net/tenant/amp/entityid/AA8I0Dg.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJMKRa.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJm3Li.img?{random characters}
- http://img-s-msn-com.{BLOCKED}zed.net/tenant/amp/entityid/BB1ba5a.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJNe2Q.img?{random characters}
- http://img-s-msn-com.{BLOCKED}zed.net/tenant/amp/entityid/BBTg0rh.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJNKGc.img?{random characters}
- http://img-s-msn-com.{BLOCKED}zed.net/tenant/amp/entityid/BBjLpNF.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJNKEv.img?h=75&w=100&m=6&q=60&u=t&o=t&l=f
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJLrEw.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJLKWC.img?h=75&w=100&m=6&q=60&u=t&o=t&l=f
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AA3lldo.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJMKt0.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJAX8H.img?{random characters}
- http://eb2.{BLOCKED}t.com/mapuid?{random characters}
- http://ping.{BLOCKED}eat.net/ping?{random characters}
- http://cdn.{BLOCKED}a.com/TaboolaCookieSyncScript.js
- http://widgets.{BLOCKED}in.com/external/publishers/msn/MSNIdSync.js
- http://tag.{BLOCKED}p.advertising.com/{BLOCKED}p.js
- http://ib.{BLOCKED}s.com/async_usersync_file
- http://acdn.{BLOCKED}s.com/dmp/async_usersync.html
- http://sync.{BLOCKED}in.com/uidmapjsonp?{random characters}
- http://c.{BLOCKED}g.com/c.gif?Red3=MSOATH_pd
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AADeDDC.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAGRSIU.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJNouO.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJNCrl.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AA36Tom.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AA6pevu.img?{random characters}
- http://ib.{BLOCKED}s.com/async_usersync?cbfn=queuePixels
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJNnzT.img?{random characters}
- http://cm.{BLOCKED}g.doubleclick.net/pixel?{random characters}
- http://dis.{BLOCKED}o.com/dis/usersync.aspx?{random characters}
- http://ib.{BLOCKED}s.com/setuid?{random characters}
- http://sync.{BLOCKED}g.com/sync/img?{random characters}
- http://ib.{BLOCKED}s.com/setuid?entity=8&code={GUID}
- http://m.{BLOCKED}s.com/seg?{random characters}
- http://odr.{BLOCKED}1.com/t/v2/sync?{random characters}
- http://match.{BLOCKED}r.org/track/cmf/generic?{random characters}
- http://m.{BLOCKED}s.com/mapuid?{random characters}
- http://ib.{BLOCKED}s.com/setuid?entity=82&code={GUID}
- http://cms.{BLOCKED}erve.com/dpixel?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJaxxM.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AA3HAHV.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJNqV7.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBjLpNF.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJNIae.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBA1ZyM.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJNKsr.img?{random characters}
- http://usw-lax.{BLOCKED}r.org/bid/feedback/appnexus?{random characters}
- http://lax1-ib.{BLOCKED}s.com/it?{random characters}
- http://www.{BLOCKED}n.com/en-us/homepage/api/pagedatarequest?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAB9bda.img?{random characters}
- http://js.{BLOCKED}s.com/thetradedeskv275874568748/moatad.js
- http://acdn.{BLOCKED}s.com/dmp/async_usersync.html?{random characters}
- http://lax1-ib.{BLOCKED}s.com/rd_log?{random characters}
- http://insight.{BLOCKED}r.org/enduser/pie/?{random characters}
- http://insight.{BLOCKED}r.org/enduser/moat/?{random characters}
- http://rtb0.{BLOCKED}verify.com/verify.js?{random characters}
- http://cdn.{BLOCKED}verify.com/dv-match6.js
- http://tps715.{BLOCKED}verify.com/bsevent.gif?{random characters}
- http://cdn.{BLOCKED}s.com/v/s/180/trk.js
- http://lax1-ib.{BLOCKED}s.com/vevent?{random characters}
- http://ib.{BLOCKED}s.com/async_usersync?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJuTbS.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJHCR4.img?{random characters}
- http://pixel-sync.{BLOCKED}out.com/dmp/pixelSync?nid=84
- http://ib.{BLOCKED}s.com/setuid?entity=133&code={GUID}
- http://c1.{BLOCKED}m.net/serving/cookie/match/?{random characters}
- http://c.{BLOCKED}d.com/a/4.gif
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBDkHpc.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJeNIa.img?{random characters}
- http://tps30.{BLOCKED}verify.com/visit.js?{random characters}
- http://c.{BLOCKED}d.com/durly.js?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJLEXC.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAyxkRJ.img?{random characters}
- http://c.{BLOCKED}n.com/a/4.gif
- http://c.{BLOCKED}n.com/geo/ba.js?r181114
- http://tps11004.{BLOCKED}verify.com/event.png?{random characters}
- http://c.{BLOCKED}n.com/a/n/996/134030.js
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJh4RG.img?{random characters}
- http://c.{BLOCKED}n.com/a/COMMON.css?r=0.013999960073555251
- http://c.{BLOCKED}n.com/icon/box_77_top-right.png
- http://c.{BLOCKED}n.com/icon/c_30_us.png
- http://c.{BLOCKED}n.com/a/1.css?r=0.3417676934847312
- http://l.{BLOCKED}d.com/{random path}?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJsGcy.img?{random characters}
- http://choices.{BLOCKED}rc.com/cap?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBJjkFU.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJylM5.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJuaf9.img?{random characters}
- http://choices.{BLOCKED}rc.com/get?name=admarker-icon-tr.png
- http://choices.{BLOCKED}rc.com/get?name=admarker-full-tr.png
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAGzORB.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAxspu1.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJH4eR.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJFBhj.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAEMOZ4.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AACy14K.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJNrBA.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BB4kwAp.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJNvq9.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAw0aqB.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJMPUV.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJMJJG.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BB2bztB.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJLsJL.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBNvr53.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJMQxU.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AABp9vq.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJF2B9.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAywHbG.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAf2cjT.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBnb7v3.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJGPOb.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBRMWiy.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJ1TWA.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AA6oz5z.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AABLuzB.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJF9n3.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJLsFF.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJ7ikm.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAxlHiU.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJF4X9.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBiuKxg.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBAq9.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBS5cLX.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/BBm8qVB.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJMxxH.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAfZ6og.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJNsnc.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAIzNvZ.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAIzMkB.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJNMZu.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAGpnHa.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJNye9.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJNrMn.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJFeIz.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAGpJTA.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJFdmC.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJF9Xs.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAGw23J.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJFdob.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAGpDJm.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAGpMwR.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAJF0Ta.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAGw4Q8.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAGvLL9.img?{random characters}
- http://static-global-s-msn-com.{BLOCKED}zed.net/img-resizer/tenant/amp/entityid/AAGvV00.img?{random characters}
- http://{BLOCKED}ool.com
- http://maid.{BLOCKED}p.biz
- http://f1z.{BLOCKED}p.biz
- http://api.{BLOCKED}g.com
- http://www.{BLOCKED}g.com
- http://linkmaker.{BLOCKED}s.apple.com
- http://sb.{BLOCKED}ardresearch.com
- http://web.{BLOCKED}x.data.msn.com
- http://cms.{BLOCKED}ics.yahoo.com
- http://msn.{BLOCKED}dome.com
- http://widgets.{BLOCKED}e.com
- http://contextual.{BLOCKED}a.net
- http://login.{BLOCKED}e.com
- http://px.{BLOCKED}s.linkedin.com
- http://www.{BLOCKED}in.com
- http://p.{BLOCKED}totic.com
- http://www.{BLOCKED}tagservices.com
- http://lt-external-widgets.{BLOCKED}3.amazonaws.com
- http://cdnjs.{BLOCKED}lare.com
- http://www.{BLOCKED}tagmanager.com
- http://tag.{BLOCKED}c.analytics.yahoo.com
- http://srtb.{BLOCKED}n.com
- http://hbx.{BLOCKED}a.net
- http://pr-bh.{BLOCKED}p.yahoo.com
- http://lg3.{BLOCKED}a.net
- http://gum.{BLOCKED}o.com
- http://idsync.{BLOCKED}n.com
- http://tags.{BLOCKED}i.com
- http://b1sync.{BLOCKED}a.com
- http://dpm.{BLOCKED}x.net
- http://sync-jp.{BLOCKED}s.net
- http://beacon.{BLOCKED}d.net
- http://aa.{BLOCKED}n.com
- http://rtb.{BLOCKED}vr.com
- http://x.{BLOCKED}tch.net
- http://{BLOCKED}4.com
- http://{BLOCKED}o.com
- http://cd.{BLOCKED}p.com
- http://px.{BLOCKED}inks.com
- http://dsp.{BLOCKED}1.adition.com
- http://ps.{BLOCKED}a.net
- http://loadus.{BLOCKED}or.com
- http://{BLOCKED}k.com
- http://id.{BLOCKED}m.com
- http://sync.{BLOCKED}trl.net
- http://e.{BLOCKED}x.addthis.com
- http://stags.{BLOCKED}i.com
- http://load77.{BLOCKED}or.com
- http://x.{BLOCKED}x.addthis.com
- http://service.{BLOCKED}c.analytics.yahoo.com
- http://res.{BLOCKED}a.net
- http://de9a11s35xj3d.{BLOCKED}ront.net
- http://hblg.{BLOCKED}a.net
- http://rtb-use.{BLOCKED}vr.com
- http://ad.{BLOCKED}r.org
- http://choices.{BLOCKED}e.com
- http://ieonline.{BLOCKED}oft.com
- http://secure-gl.{BLOCKED}ldwide.com
- http://dmp.{BLOCKED}ik.com
- http://www.{BLOCKED}ok.com
- http://sqm.{BLOCKED}try.microsoft.com
- http://geo.{BLOCKED}s.com
- http://mb.{BLOCKED}s.com
- http://cdn3.{BLOCKED}verify.com
- http://bs.{BLOCKED}g-sys.com
- http://secure-ds.{BLOCKED}g-sys.com
- http://px.{BLOCKED}s.com
- http://d.{BLOCKED}n.com
- http://services.{BLOCKED}g-sys.com
- http://swc.{BLOCKED}n.skype.com
- http://config.{BLOCKED}e.skype.com
- http://a.{BLOCKED}w.skype.com
- http://browser.{BLOCKED}e.aria.microsoft.com
- http://az724953.{BLOCKED}o.msecnd.net
このウイルス情報は、自動解析システムにより作成されました。
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
Windowsをセーフモードで再起動します。
手順 3
「Ransom_Foreign.R002C0PK319」で検出したファイル名を確認し、そのファイルを終了します。
- すべての実行中プロセスが、Windows のタスクマネージャに表示されない場合があります。この場合、"Process Explorer" などのツールを使用しマルウェアのファイルを終了してください。"Process Explorer" については、こちらをご参照下さい。
- 検出ファイルが、Windows のタスクマネージャまたは "Process Explorer" に表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
セーフモードについては、こちらをご参照下さい。 - 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。
手順 4
レジストリエディタおよびタスクマネージャ、フォルダオプションの機能を有効にします。
手順 5
不明なレジストリキーを削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- Run
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- Run
- In HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Microsoft
- 4842
手順 6
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- MSWUpdate = "%Application Data%\Microsoft\lsass.exe"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Windows Defender = "%Application Data%\Windows\winlogon.exe"
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Zqucub = "%Application Data%\Zqucub.exe"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
- MSWUpdate = "%Application Data%\Microsoft\lsass.exe"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
- MSWUpdate = "%Application Data%\Microsoft\lsass.exe"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon
- Userinit = "%System%\userinit.exe,%Application Data%\Microsoft\lsass.exe"
- In HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Microsoft\4842
- F = "True"
手順 7
以下のファイルを検索し削除します。
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{DAFE9833-A07C-11E9-930D-005056BC74F8}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\82DF2NUK\widgets.outbrain[1].xml
- %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\3UYAQU1F\contextual.media[1].xml
- %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\82DF2NUK\www.msn[1].xml
- %Application Data%\XRCXS.exe
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\RecoveryStore.{DAFE9831-A07C-11E9-930D-005056BC74F8}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\PDYB5D8B\tag.idsync.analytics.yahoo[1].xml
- %AppDataLocal%\Microsoft\Internet Explorer\imagestore\joppu72\imagestore.dat
- %AppDataLocal%\Microsoft\Internet Explorer\MSIMGSIZ.DAT
- %Application Data%\Zqucub.exe
- %Application Data%\Microsoft\lsass.exe
- %User Temp%\BFKYX.txt
- %Application Data%\Windows\winlogon.exe
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active\{DAFE9834-A07C-11E9-930D-005056BC74F8}.dat
- %AppDataLocal%\Microsoft\Internet Explorer\DomainSuggestions\en-US.6
- %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\82DF2NUK\secure-ds.serving-sys[1].xml
手順 8
以下のフォルダを検索し削除します。
- %Application Data%\Microsoft\Windows\IECompatUACache
- %Application Data%\Microsoft\Windows\PrivacIE
- %Application Data%\Microsoft\Windows\IECompatCache
- %AppDataLocal%\Microsoft\Internet Explorer\Recovery\High\Active
- %AppDataLocal%\Microsoft\Internet Explorer\DomainSuggestions
- %Application Data%\Microsoft\Windows\DNTException
- %Application Data%\Windows
手順 9
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「Ransom_Foreign.R002C0PK319」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
手順 11
以下のファイルをバックアップを用いて修復します。マイクロソフト製品に関連したファイルのみに修復されます。このマルウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。
- %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\82DF2NUK\widgets.outbrain[1].xml
- %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\82DF2NUK\secure-ds.serving-sys[1].xml
- %AppDataLocal%\Microsoft\Internet Explorer\DOMStore\82DF2NUK\www.msn[1].xml
手順 12
以下のファイルをバックアップを用いて修復します。なお、マイクロソフト製品に関連したファイルのみ修復されます。このマルウェア/グレイウェア/スパイウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。
- %AppDataLocal%Low\Microsoft\Internet Explorer\Services\search_{0633EE93-D776-472f-A0FF-E1416B8B2E3A}.ico
- %Application Data%\Microsoft\CwiUsEO.tmp
ご利用はいかがでしたか? アンケートにご協力ください