TROJ_AGENTBYP.ID

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、実行後、自身を削除します。

ファイルサイズ 20,480 bytes

タイプ EXE

メモリ常駐はい

発見日 2013年5月11日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

%User Profile%\Application Data\wuaclt1.exe

(註：%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞" です。)

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
MSUPD = "%User Profile%\Application Data\wuaclt1.exe"

他のシステム変更

マルウェアは、以下のファイルを削除します。

%User Profile%\Application Data\wuaclt1.exe

(註：%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞"、Windows Vista および 7 の場合、"C:\Users\＜ユーザ名＞" です。)

その他

マルウェアは、以下の不正なWebサイトにアクセスします。

http://flash.{BLOCKED}it.com0000/a707906.asp
http://flash.{BLOCKED}it.com0000/a716296.asp
http://flash.{BLOCKED}it.com0000/a717437.asp
http://flash.{BLOCKED}it.com0000/a718531.asp
http://flash.{BLOCKED}it.com0000/a719562.asp
http://flash.{BLOCKED}it.com0000/a720609.asp
http://flash.{BLOCKED}it.com0000/a721718.asp
http://flash.{BLOCKED}it.com0000/a722750.asp
http://flash.{BLOCKED}it.com0000/a723812.asp
http://flash.{BLOCKED}it.com0000/a724906.asp
http://flash.{BLOCKED}it.com0000/a725937.asp
http://flash.{BLOCKED}it.com0000/a727015.asp
http://flash.{BLOCKED}it.com0000/a728109.asp
http://flash.{BLOCKED}it.com0000/a729140.asp
http://flash.{BLOCKED}it.com0000/a730171.asp
http://flash.{BLOCKED}it.com0000/a731343.asp
http://flash.{BLOCKED}it.com0000/a732390.asp
http://flash.{BLOCKED}it.com0000/a735750.asp
http://flash.{BLOCKED}it.com0000/a736843.asp
http://flash.{BLOCKED}it.com0000/a737875.asp
http://flash.{BLOCKED}it.com0000/a738906.asp
http://flash.{BLOCKED}it.com0000/a740171.asp
http://flash.{BLOCKED}it.com0000/a741203.asp
http://flash.{BLOCKED}it.com0000/a742234.asp
http://flash.{BLOCKED}it.com0000/a743343.asp
http://flash.{BLOCKED}it.com0000/a744375.asp
http://flash.{BLOCKED}it.com0000/a745406.asp
http://flash.{BLOCKED}it.com0000/a746500.asp
http://flash.{BLOCKED}it.com0000/a747531.asp
http://flash.{BLOCKED}it.com0000/a748562.asp
http://flash.{BLOCKED}it.com0000/a749656.asp
http://flash.{BLOCKED}it.com0000/a750781.asp
http://flash.{BLOCKED}it.com0000/a751812.asp
http://flash.{BLOCKED}it.com0000/a752906.asp
http://flash.{BLOCKED}it.com0000/a753937.asp
http://flash.{BLOCKED}it.com0000/a754968.asp
http://flash.{BLOCKED}it.com0000/a756093.asp
http://flash.{BLOCKED}it.com0000/a757140.asp
http://flash.{BLOCKED}it.com0000/a758218.asp
http://flash.{BLOCKED}it.com0000/a759312.asp
http://flash.{BLOCKED}it.com0000/a760359.asp
http://flash.{BLOCKED}it.com0000/a761390.asp
http://flash.{BLOCKED}it.com0000/a762484.asp
http://flash.{BLOCKED}it.com0000/a764062.asp
http://flash.{BLOCKED}it.com0000/a765109.asp
http://flash.{BLOCKED}it.com0000/a766203.asp
http://flash.{BLOCKED}it.com0000/a767234.asp
http://flash.{BLOCKED}it.com0000/a768328.asp
http://flash.{BLOCKED}it.com0000/a769453.asp
http://flash.{BLOCKED}it.com0000/a770500.asp
http://flash.{BLOCKED}it.com0000/a771531.asp
http://flash.{BLOCKED}it.com0000/a772625.asp
http://flash.{BLOCKED}it.com0000/a773671.asp
http://flash.{BLOCKED}it.com0000/a774703.asp
http://flash.{BLOCKED}it.com0000/a775796.asp
http://flash.{BLOCKED}it.com0000/a776828.asp
http://flash.{BLOCKED}it.com0000/a777859.asp
http://flash.{BLOCKED}it.com0000/a778953.asp
http://flash.{BLOCKED}it.com0000/a780156.asp
http://flash.{BLOCKED}it.com0000/a781203.asp
http://flash.{BLOCKED}it.com0000/a782296.asp
http://flash.{BLOCKED}it.com0000/a783390.asp
http://flash.{BLOCKED}it.com0000/a784437.asp
http://flash.{BLOCKED}it.com0000/a785609.asp
http://flash.{BLOCKED}it.com0000/a786640.asp
http://flash.{BLOCKED}it.com0000/a787671.asp
http://flash.{BLOCKED}it.com0000/a788765.asp
http://flash.{BLOCKED}it.com0000/a789796.asp
http://flash.{BLOCKED}it.com0000/a790828.asp
http://flash.{BLOCKED}it.com0000/a791921.asp
http://flash.{BLOCKED}it.com0000/a792953.asp
http://flash.{BLOCKED}it.com0000/a794796.asp
http://flash.{BLOCKED}it.com0000/a795890.asp
http://flash.{BLOCKED}it.com0000/a796921.asp
http://flash.{BLOCKED}it.com0000/a797968.asp
http://flash.{BLOCKED}it.com0000/a799062.asp
http://flash.{BLOCKED}it.com0000/a800093.asp
http://flash.{BLOCKED}it.com0000/a801234.asp
http://flash.{BLOCKED}it.com0000/a802390.asp
http://flash.{BLOCKED}it.com0000/a803484.asp
http://flash.{BLOCKED}it.com0000/a804531.asp
http://flash.{BLOCKED}it.com0000/a805625.asp
http://flash.{BLOCKED}it.com0000/a806656.asp
http://flash.{BLOCKED}it.com0000/a807687.asp
http://flash.{BLOCKED}it.com0000/a808781.asp
http://flash.{BLOCKED}it.com0000/a809812.asp
http://flash.{BLOCKED}it.com0000/a810843.asp
http://flash.{BLOCKED}it.com0000/a811937.asp
http://flash.{BLOCKED}it.com0000/a812968.asp
http://flash.{BLOCKED}it.com0000/a814109.asp

マルウェアは、実行後、自身を削除します。

このウイルス情報は、自動解析システムにより作成されました。

対応検索エンジン: 9.300

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

Windowsをセーフモードで再起動します。

[ 詳細 ]

手順 3

このレジストリ値を削除します。

[ 詳細 ]

警告：レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- MSUPD = "%User Profile%\Application Data\wuaclt1.exe"

手順 4

コンピュータを通常モードで再起動し、最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、「TROJ_AGENTBYP.ID」と検出したファイルの検索を実行してください。検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 5

以下のファイルをバックアップを用いて修復します。なお、マイクロソフト製品に関連したファイルのみ修復されます。このマルウェア／グレイウェア／スパイウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。

%User Profile%\Application Data\wuaclt1.exe

ご利用はいかがでしたか？　アンケートにご協力ください

概要

詳細

対応方法

リソース

サポート

会社概要

東京本社

TROJ_AGENTBYP.ID

概要

詳細

対応方法

リソース

サポート

会社概要

東京本社

The Americas

Asia Pacific

Europe, Middle East & Africa