TROJ_CUTWAIL.YKJ
TrojanDropper:Win32/Cutwail (Microsoft); RDN/Generic Dropper!vd (McAfee); Trojan.Gen (Symantec); Trojan.Win32.Cutwail.dqz (Kaspersky); Trojan.Win32.Generic!BT (Sunbelt); Trojan horse Dropper.Generic9.XGM (AVG)
Windows
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %User Profile%\rotzipzegsac.exe
(註:%User Profile% フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>" です。)
自動実行方法
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
rotzipzegsac = "%User Profile%\rotzipzegsac.exe"
他のシステム変更
マルウェアは、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion
AppManagement = "{random values}"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion
rotzipzegsaczap = "{random values}"
その他
マルウェアは、以下の不正なWebサイトにアクセスします。
- {BLOCKED}olf1.com
- {BLOCKED}l.co.uk
- {BLOCKED}-co.com
- {BLOCKED}tron.com
- {BLOCKED}.com
- {BLOCKED}if.com
- {BLOCKED}.org.uk
- {BLOCKED}jp.com
- {BLOCKED}iko7.com
- {BLOCKED}-lit.com
- {BLOCKED}teux.fr
- {BLOCKED}-top.cz
- {BLOCKED}lys.com
- {BLOCKED}eton.cz
- {BLOCKED}ed.org
- {BLOCKED}dai.com
- {BLOCKED}-rlm.com
- {BLOCKED}esfer.com
- {BLOCKED}m30ty.com
- {BLOCKED}l.cc
- {BLOCKED}feter.com
- {BLOCKED}rea.com
- {BLOCKED}hotel.is
- {BLOCKED}amhop.com
- {BLOCKED}inc.com
- {BLOCKED}ets.com
- {BLOCKED}kom.pl
- {BLOCKED}ic.us
- {BLOCKED}ara.net
- {BLOCKED}icr.com
- {BLOCKED}igal.com
- {BLOCKED}re.com
- {BLOCKED}i.net
- {BLOCKED}die.com
- {BLOCKED}om.ru
- {BLOCKED}tz.org
- {BLOCKED}se.ch
- {BLOCKED}iteaz.com
- {BLOCKED}debt.net
- {BLOCKED}tea.ru
- {BLOCKED}iatan.pl
- {BLOCKED}lf.org
- {BLOCKED}rmedia.pl
- {BLOCKED}j.org
- {BLOCKED}orhard.pt
- {BLOCKED}swim.com
- {BLOCKED}don.com
- {BLOCKED}ih.com.tr
- {BLOCKED}.cz
- {BLOCKED}com.pt
- {BLOCKED}inex.hu
- {BLOCKED}fprop.com
- {BLOCKED}com.it
- {BLOCKED}tip.hu
- {BLOCKED}owest.com
- {BLOCKED}f.de
- {BLOCKED}ar.com.tr
- {BLOCKED}fa.pt
- {BLOCKED}c.com
- {BLOCKED}o.com
- {BLOCKED}men.co.jp
- {BLOCKED}ko.ru
- {BLOCKED}inne.ro
- {BLOCKED}a.org.au
- {BLOCKED}page.com
- {BLOCKED}erdisc.de
- {BLOCKED}ion.com
- {BLOCKED}f.com.au
- {BLOCKED}tains.org
- {BLOCKED}hodo.net
- {BLOCKED}g.com
- {BLOCKED}nema.com
- {BLOCKED}s.org
- {BLOCKED}at.de
- {BLOCKED}iates.com
- {BLOCKED}etals.com
- {BLOCKED}ijya.com
- {BLOCKED}umich.org
- {BLOCKED}vtam.com
- {BLOCKED}arc.com
- {BLOCKED}mail.com
- {BLOCKED}2.com
- {BLOCKED}ogaku.com
- {BLOCKED}olice.org
- {BLOCKED}uval.es
- {BLOCKED}s.com.au
- {BLOCKED}osin.com
- {BLOCKED}man.net
- {BLOCKED}ylabs.com
- {BLOCKED}akume.com
- {BLOCKED}en.co.uk
- {BLOCKED}mel.net
- {BLOCKED}dra.co.za
- {BLOCKED}si.net
- {BLOCKED}s-dek.com
- {BLOCKED}sindia.in
- {BLOCKED}ic.co.uk
- {BLOCKED}ome.net
- {BLOCKED}sabia.com
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
このマルウェアもしくはアドウェア等の実行により、手順中に記載されたすべてのファイル、フォルダおよびレジストリキーや値がコンピュータにインストールされるとは限りません。インストールが不完全である場合の他、オペレーティングシステム(OS)の条件によりインストールがされない場合が考えられます。手順中に記載されたファイル/フォルダ/レジストリ情報が確認されない場合、該当の手順の操作は不要ですので、次の手順に進んでください。
手順 3
Windowsをセーフモードで再起動します。
手順 4
このレジストリ値を削除します。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- rotzipzegsac = %User Profile%\rotzipzegsac.exe
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
- AppManagement = {random values}
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
- rotzipzegsaczap = {random values}
手順 5
コンピュータを通常モードで再起動し、最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、「TROJ_CUTWAIL.YKJ」と検出したファイルの検索を実行してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。
ご利用はいかがでしたか? アンケートにご協力ください