解析者: Nikko Tamana   
 別名:

Riskware/Deleter (Fortinet)

 プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 危険度:
 ダメージ度:
 感染力:
 感染確認数:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
    なし

  • 感染報告の有無 :
    はい

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、ワーム活動の機能を備えていません。

マルウェアは、バックドア活動の機能を備えていません。

マルウェアは、他のファイルを作成する機能を備えていません。

マルウェアは、ダウンロードする機能を備えていません。

マルウェアは、情報収集する機能を備えていません。

  詳細

ファイルサイズ 1,269,248 bytes
タイプ EXE
メモリ常駐 はい
発見日 2013年6月10日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

感染活動

マルウェアは、ワーム活動の機能を備えていません。

バックドア活動

マルウェアは、バックドア活動の機能を備えていません。

作成活動

マルウェアは、他のファイルを作成する機能を備えていません。

ダウンロード活動

マルウェアは、ダウンロードする機能を備えていません。

情報漏えい

マルウェアは、情報収集する機能を備えていません。

その他

マルウェアは、侵入したコンピュータで以下のセキュリティ対策ソフトに関連するファイルを確認した場合、それを無効にします。

  • %Program Files%\AVAST Software\Avast\AvastSvc.exe
  • %Program Files%\AVG\AVG2013\avgwdsvc.exe
  • %Program Files%\AVG\AVG2013\avgcsrvx.exe
  • %Program Files%\AVG\AVG2013\avgrsx.exe

(註:%Program Files%フォルダは、Windows 2000、Server 2003、XP (32ビット)、通常 Vista (32ビット) および 7 (32ビット) の場合、通常 "C:\Program Files"、Windows XP (64ビット)、Vista (64ビット) および 7 (64ビット) の場合、通常 "C:\Program Files (x86)" です。)

マルウェアは、このマルウェアが含んでいるフォルダやファイルのアクセス制御を変更することにより、このセキュリティ対策ソフトに関連するファイルを無効にします。

マルウェアは、すべてのユーザへのアクセスを拒否するためにアクセス制御を変更します。

マルウェアは、ルートキット機能を備えていません。

マルウェアは、脆弱性を利用した感染活動を行いません。

  対応方法

対応検索エンジン: 9.300
初回 VSAPI パターンバージョン 9.972.05
初回 VSAPI パターンリリース日 2013年6月10日
VSAPI OPR パターンバージョン 9.973.00
VSAPI OPR パターンリリース日 2013年6月11日

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このマルウェアのパス名およびファイル名を確認します。
最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用いてウイルス検索を実行してください。「TROJ_KILLAV.DFA」で検出したパス名およびファイル名を確認し、メモ等をとってください。

手順 3

「TROJ_KILLAV.DFA」で検出したファイル名を確認し、そのファイルを終了します。

[ 詳細 ]

  1. 検出ファイルが、Windows のタスクマネージャに表示されるものの、削除できない場合があります。この場合、コンピュータをセーフモードで再起動してください。
    セーフモードについては、こちらをご参照下さい。
  2. 検出ファイルがタスクマネージャ上で表示されない場合、次の手順にお進みください。

手順 4

TROJ_KILLAV.DFA として検出されたファイルを検索し削除します。

註:このファイルは、隠しファイルとして設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。

特定のファイルが起動した際、マルウェアの自動起動実行の停止:

  • Windows 2000、XP および Server 2003 の場合:

    1. [スタート]-[検索]-[ファイルとフォルダすべて]を選択します。
    2. [ファイル名のすべてまたは一部]に上記で確認したファイル名を入力してください。
    3. [探す場所]の一覧から[マイコンピュータ]を選択し、Enter を押します。
    4. 検索が終了したら、ファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。

  • Windows Vista および 7 の場合:

    1. [スタート]をクリックします。
    2. [プログラムとファイルの検索]に、上記で確認したファイル名を入力し、Enter を押します。
    3. 検索が終了したら、ファイルを選択し、SHIFT+DELETE を押します。これにより、ファイルが完全に削除されます。
      註:Windows 7 において上記の手順が正しく行われない場合、マイクロソフトのWebサイトをご確認ください。

    • 手順 5

    最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TROJ_KILLAV.DFA」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

    註:以下の手順で、セキュリティ対策ソフトに関連するファイルへのアクセスを復元します。

    1. コマンドプロンプトを開きます。
      • Windows 2000、Windows XP および Windows Server 2003 の場合
        [スタート]-[ファイル名を指定して実行]を選択し、"CMD" と入力し、[Enter]キーを押します。
        ※"CMD" は半角英数字で入力する必要があります(大文字/小文字は区別されません)。
      • Windows Vista および Windows 7 の場合
        [スタート]-[検索の開始]を選択し、"CMD" と入力し、[Enter]キーを押します。
        ※"CMD" は半角英数字で入力する必要があります(大文字/小文字は区別されません)。
    2. 以下のコマンドを入力します。



      cacls "%Program Files%\AVAST Software\Avast" /G everyone
      cacls "%Program Files%\AVAST Software\Avast\AvastSvc.exe" /G everyone
      cacls "%Program Files%\AVG\AVG2013" /G everyone
      cacls "%Program Files%\AVG\AVG2013\avgwdsvc.exe" /G everyone
      cacls "%Program Files%\AVG\AVG2013\avgcsrvx.exe" /G everyone
      cacls "%Program Files%\AVG\AVG2013\avgrsx.exe" /G everyone


    ご利用はいかがでしたか? アンケートにご協力ください