解析者: Marvelous Pelin   

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

  概要

感染経路 他のマルウェアからの作成

マルウェアは、他のマルウェアに作成され、コンピュータに侵入します。

  詳細

ファイルサイズ 563,712 bytes
タイプ EXE
メモリ常駐 はい
発見日 2017年1月11日

侵入方法

マルウェアは、以下のマルウェアに作成され、コンピュータに侵入します。

  • WORM64_DISTTRACK.D

インストール

マルウェアは、以下のファイルを作成します。

  • %Windows%\inf\tyb6_s32.pnf

(註:%Windows%フォルダは、Windowsが利用するフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows" です。.)

マルウェアは、以下の無害なファイルを作成します。

  • %System%\Drivers\vdsk911.sys

(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

  対応方法

対応検索エンジン: 9.800
初回 VSAPI パターンバージョン 13.180.04
初回 VSAPI パターンリリース日 2017年1月25日
VSAPI OPR パターンバージョン 13.181.00
VSAPI OPR パターンリリース日 2017年1月26日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。

手順 3

「TROJ64_WIPMBR.D」を作成またはダウンロードする不正なファイルを削除します。 (註:以下のマルウェアもしくはアドウェア等がすでに削除されている場合は、本手順は行う必要はありません。)

手順 4

TROJ64_WIPMBR.Dとして検出されるファイル名を確認後、Windowsの回復コンソールを使用し、Master Boot Record(MBR)の修復およびTROJ64_WIPMBR.Dの削除を実行します。

[ 詳細 ]
DATA_GENERIC
※"fixmbr" と "<感染したドライブ>" の間に半角スペースを入れてください。
※"<感染したドライブ>" とは、この不正プログラムが感染したブータブル・ドライブのことです。ドライブが特定できない場合、プライマリ・ブート・ドライブにあるマスター・ブート・レコードが上書きされている可能性があります。
  • コマンドプロンプトに exit と入力し、コンピュータを再起動してください。
  • •Windows Vista、7 および Server 2008 の場合:

    1. 最新のバージョン(エンジン、パターンファイル)を導入したセキュリティ対策製品を用いてウイルス検索を実行し、検出したマルウェアのパス名およびファイル名を確認し、メモ等をとってください。
    2. Windows のインストールDVDを使用して、コンピュータを再起動します。
    3. インストールDVDによっては、インストール言語の選択が必要な場合があります。その場合、Windowsのインストールウィンドウで、言語、ロケール、キーボードレイアウトや入力方法を選択します。[次へ]-[コンピューターの修復]をクリックします。
    4. [Windowsの起動に伴う問題の修復用の回復ツールを使用します。]を選択。インストールされたWindowsを選択し、[次へ]をクリックします。
    5. [スタートアップ修復]ウィンドウが表示される場合、[キャンセル]-[はい]-[終了]をクリックします。
    6. [詳細オプション]-[コマンドプロンプト]を選択。
    7. [コマンドプロンプト]ウィンドウで、以下を入力し、Enterを押します。
      BootRec.exe /fixmbr
      DATA_GENERIC

      (註:Windows 7では、ローカルドライブは、通常より1つ多く割り当てられます。例:"C:"は"D:"になります。)
    8. exitを入力し、Enterを押し、コマンドプロンプト画面を閉じます。
    9. [再起動]をクリックし、コンピュータを通常起動します。

    •Windows 8、8.1 および Server 2012 の場合:

    1. 最新のバージョン(エンジン、パターンファイル)を導入したセキュリティ対策製品を用いてウイルス検索を実行し、検出したマルウェアのパス名およびファイル名を確認し、メモ等をとってください。
    2. Windows のインストールDVDを使用して、コンピュータを再起動します。
    3. インストールDVDによっては、インストール言語の選択が必要な場合があります。その場合、Windowsのインストールウィンドウで、言語、ロケール、キーボードレイアウトや入力方法を選択します。[次へ]-[コンピューターの修復]をクリックします。
    4. [トラブルシューティング]-[詳細オプション]-[コマンドプロンプト]を選択。
    5. [コマンドプロンプト]ウィンドウで、以下を入力し、Enterを押します。
      BootRec.exe /fixmbr
      DATA_GENERIC
    6. exitを入力し、Enterを押し、コマンドプロンプト画面を閉じます。
    7. [再起動]をクリックし、コンピュータを通常起動します。

    手順 5

    以下のファイルを検索し削除します。

    [ 詳細 ]
    コンポーネントファイルが隠しファイル属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
    • %Windows%\inf\tyb6_s32.pnf
    • %System%\Drivers\vdsk911.sys

    手順 6

    最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TROJ64_WIPMBR.D」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。


    ご利用はいかがでしたか? アンケートにご協力ください