プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

 危険度:
 ダメージ度:
 感染力:
 感染確認数:

  • マルウェアタイプ:
    トロイの木馬型

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 204,800 bytes
タイプ EXE
メモリ常駐 なし
発見日 2013年10月9日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %System%\wininitu.exe

(註:%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)

マルウェアは、以下のフォルダを作成します。

  • %Windows%\LastGood
  • %Windows%\LastGood\system32
  • %Windows%\LastGood\system32\DRIVERS

(註:%Windows%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、"C:\Windows" です。)

他のシステム変更

マルウェアは、以下のファイルを削除します。

  • %System%\DRIVERS\SET2B.tmp
  • %Temp%\OLD28.tmp

(註:%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。. %Temp%フォルダは、標準設定では "C:\Windows\Temp" です。)

マルウェアは、以下のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\diskflt

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\Network\NetCfgLockHolder

HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Control\Network\{4d36e974-e325-11ce-bfc1-08002be10318}\
{2F64EA75-FA94-4D88-9FC0-A53ABB8CDB22}

マルウェアは、以下のレジストリ値を追加します。

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\BITS
Fuck_Time = "1"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Wind45567 M dfg xcv 4354
Description = "Thidfg ver 1.0 fghdh"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\diskflt
ErrorControl = "1"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\diskflt
Start = "0"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\diskflt
Type = "1"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\diskflt
Tag = "a"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}\
{2F64EA75-FA94-4D88-9FC0-A53ABB8CDB22}
Characteristics = "441"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}\
{2F64EA75-FA94-4D88-9FC0-A53ABB8CDB22}
InfPath = "%Windows%\inf\netsf.inf"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}\
{2F64EA75-FA94-4D88-9FC0-A53ABB8CDB22}
InfSection = "Passthru.ndi"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}\
{2F64EA75-FA94-4D88-9FC0-A53ABB8CDB22}
Description = "Passthru Driver"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}\
{2F64EA75-FA94-4D88-9FC0-A53ABB8CDB22}
ComponentId = "ms_passthru"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}\
{2F64EA75-FA94-4D88-9FC0-A53ABB8CDB22}
InfPath = "netsf.inf"

マルウェアは、以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}
UpperFilters = "PartMgr,diskflt"

(註:変更前の上記レジストリ値は、「{random values}」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\Network
Config = "{random values}"

(註:変更前の上記レジストリ値は、「{random values}」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\NdisWan\Linkage
Bind = "{random characters}"

(註:変更前の上記レジストリ値は、「{random values}」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\NdisWan\Linkage
Route = "{random characters}"

(註:変更前の上記レジストリ値は、「{random values}」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\NdisWan\Linkage
Export = "{random characters}"

(註:変更前の上記レジストリ値は、「{random values}」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\
0008
NetCfgInstanceId = "{CA2DC9DA-D586-4464-91E8-EF8932205E21}"

(註:変更前の上記レジストリ値は、「{8347DFC0-2E88-4957-B577-F094C14F659F}」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\
0008\Linkage
RootDevice = "NdisWanIp"

(註:変更前の上記レジストリ値は、「{random values}」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\
0008\Linkage
UpperBind = "Tcpip"

(註:変更前の上記レジストリ値は、「{random values}」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\
0008\Linkage
Export = "\Device\NdisWanIp"

(註:変更前の上記レジストリ値は、「{random values}」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\
0010
NetCfgInstanceId = "{DAE77112-CC69-4B9B-B0BB-8B4C380B15D1}"

(註:変更前の上記レジストリ値は、「{3C80E3FC-D344-4CC3-8234-C304CAA58B25}」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\
0010\Linkage
RootDevice = "{DAE77112-CC69-4B9B-B0BB-8B4C380B15D1}"

(註:変更前の上記レジストリ値は、「{random values}」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\
0010\Linkage
UpperBind = "Ndisuio,RasPppoe,Tcpip"

(註:変更前の上記レジストリ値は、「{random values}」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\
0010\Linkage
Export = "\Device\{DAE77112-CC69-4B9B-B0BB-8B4C380B15D1}"

(註:変更前の上記レジストリ値は、「{random values}」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\
0001
NetCfgInstanceId = "{706C9A23-9058-4780-9179-0EE8467AACB4}"

(註:変更前の上記レジストリ値は、「{865B16A3-D78E-483F-8D7B-8DF6BB83FF7F}」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\
0001\Linkage
RootDevice = "{706C9A23-9058-4780-9179-0EE8467AACB4}"

(註:変更前の上記レジストリ値は、「{random values}」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\
0001\Linkage
UpperBind = "Ndisuio,RasPppoe,Tcpip"

(註:変更前の上記レジストリ値は、「{random values}」となります。)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\
0001\Linkage
Export = "\Device\{706C9A23-9058-4780-9179-0EE8467AACB4}"

(註:変更前の上記レジストリ値は、「{random values}」となります。)

作成活動

マルウェアは、以下のファイルを作成します。

  • %User Temp%\netsf.inf
  • %System%\Black.dll
  • %User Temp%\netsf_m.inf
  • %User Temp%\snetcfg.exe
  • %User Temp%\passthru.sys
  • %Temp%\install.bat
  • %Temp%\netsf.inf
  • %Temp%\netsf_m.inf
  • %Temp%\snetcfg.exe
  • %Temp%\passthru.sys
  • %System%\Drivers\diskflt.sys
  • %Windows%\INF\netsf.PNF
  • %Windows%\inf\netsf_m.PNF
  • %Windows%\inf\INFCACHE.0
  • %Windows%\inf\netsf_m.inf
  • %Windows%\inf\netsf.inf
  • %Windows%\inf\passthru.sys
  • %System%\drivers\passthru.sys
  • %System Root%\netsf_m.inf
  • %System Root%\netsf.inf
  • %System Root%\passthru.sys
  • %Windows%\LastGood\TMP25.tmp
  • %Temp%\OLD28.tmp
  • %System%\DRIVERS\SET2B.tmp

(註:%User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。. %System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。. %Temp%フォルダは、標準設定では "C:\Windows\Temp" です。. %Windows%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、"C:\Windows" です。. %System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

このウイルス情報は、自動解析システムにより作成されました。

  対応方法

対応検索エンジン: 9.300

手順 1

Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。

手順 2

このレジストリキーを削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
    • diskflt
  • In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Network
    • NetCfgLockHolder
  • In HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Network\{4d36e974-e325-11ce-bfc1-08002be10318}
    • {2F64EA75-FA94-4D88-9FC0-A53ABB8CDB22}

手順 3

このレジストリ値を削除します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BITS
    • Fuck_Time = "1"
  • In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Wind45567 M dfg xcv 4354
    • Description = "Thidfg ver 1.0 fghdh"
  • In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\diskflt
    • ErrorControl = "1"
  • In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\diskflt
    • Start = "0"
  • In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\diskflt
    • Type = "1"
  • In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\diskflt
    • Tag = "a"
  • In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}\{2F64EA75-FA94-4D88-9FC0-A53ABB8CDB22}
    • Characteristics = "441"
  • In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}\{2F64EA75-FA94-4D88-9FC0-A53ABB8CDB22}
    • InfPath = "%Windows%\inf\netsf.inf"
  • In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}\{2F64EA75-FA94-4D88-9FC0-A53ABB8CDB22}
    • InfSection = "Passthru.ndi"
  • In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}\{2F64EA75-FA94-4D88-9FC0-A53ABB8CDB22}
    • Description = "Passthru Driver"
  • In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}\{2F64EA75-FA94-4D88-9FC0-A53ABB8CDB22}
    • ComponentId = "ms_passthru"
  • In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}\{2F64EA75-FA94-4D88-9FC0-A53ABB8CDB22}
    • InfPath = "netsf.inf"

手順 4

変更されたレジストリ値を修正します。

[ 詳細 ]

警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。

  • In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}
    • From: UpperFilters = "PartMgr,diskflt"
      To: UpperFilters = ""{random values}""
  • In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Network
    • From: Config = "{random values}"
      To: Config = ""{random values}""
  • In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NdisWan\Linkage
    • From: Bind = "{random characters}"
      To: Bind = ""{random values}""
  • In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NdisWan\Linkage
    • From: Route = "{random characters}"
      To: Route = ""{random values}""
  • In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NdisWan\Linkage
    • From: Export = "{random characters}"
      To: Export = ""{random values}""
  • In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\0008
    • From: NetCfgInstanceId = "{CA2DC9DA-D586-4464-91E8-EF8932205E21}"
      To: NetCfgInstanceId = ""{8347DFC0-2E88-4957-B577-F094C14F659F}""
  • In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\0008\Linkage
    • From: RootDevice = "NdisWanIp"
      To: RootDevice = ""{random values}""
  • In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\0008\Linkage
    • From: UpperBind = "Tcpip"
      To: UpperBind = ""{random values}""
  • In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\0008\Linkage
    • From: Export = "\Device\NdisWanIp"
      To: Export = ""{random values}""
  • In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\0010
    • From: NetCfgInstanceId = "{DAE77112-CC69-4B9B-B0BB-8B4C380B15D1}"
      To: NetCfgInstanceId = ""{3C80E3FC-D344-4CC3-8234-C304CAA58B25}""
  • In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\0010\Linkage
    • From: RootDevice = "{DAE77112-CC69-4B9B-B0BB-8B4C380B15D1}"
      To: RootDevice = ""{random values}""
  • In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\0010\Linkage
    • From: UpperBind = "Ndisuio,RasPppoe,Tcpip"
      To: UpperBind = ""{random values}""
  • In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\0010\Linkage
    • From: Export = "\Device\{DAE77112-CC69-4B9B-B0BB-8B4C380B15D1}"
      To: Export = ""{random values}""
  • In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\0001
    • From: NetCfgInstanceId = "{706C9A23-9058-4780-9179-0EE8467AACB4}"
      To: NetCfgInstanceId = ""{865B16A3-D78E-483F-8D7B-8DF6BB83FF7F}""
  • In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\0001\Linkage
    • From: RootDevice = "{706C9A23-9058-4780-9179-0EE8467AACB4}"
      To: RootDevice = ""{random values}""
  • In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\0001\Linkage
    • From: UpperBind = "Ndisuio,RasPppoe,Tcpip"
      To: UpperBind = ""{random values}""
  • In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\0001\Linkage
    • From: Export = "\Device\{706C9A23-9058-4780-9179-0EE8467AACB4}"
      To: Export = ""{random values}""

手順 5

以下のファイルを検索し削除します。

[ 詳細 ]
コンポーネントファイルが隠しファイル属性の場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %User Temp%\netsf.inf
  • %System%\Black.dll
  • %User Temp%\netsf_m.inf
  • %User Temp%\snetcfg.exe
  • %User Temp%\passthru.sys
  • %Temp%\install.bat
  • %Temp%\netsf.inf
  • %Temp%\netsf_m.inf
  • %Temp%\snetcfg.exe
  • %Temp%\passthru.sys
  • %System%\Drivers\diskflt.sys
  • %Windows%\INF\netsf.PNF
  • %Windows%\inf\netsf_m.PNF
  • %Windows%\inf\INFCACHE.0
  • %Windows%\inf\netsf_m.inf
  • %Windows%\inf\netsf.inf
  • %Windows%\inf\passthru.sys
  • %System%\drivers\passthru.sys
  • %System Root%\netsf_m.inf
  • %System Root%\netsf.inf
  • %System Root%\passthru.sys
  • %Windows%\LastGood\TMP25.tmp
  • %Temp%\OLD28.tmp
  • %System%\DRIVERS\SET2B.tmp

手順 6

以下のフォルダを検索し削除します。

[ 詳細 ]
フォルダが隠しフォルダ属性に設定されている場合があります。[詳細設定オプション]をクリックし、[隠しファイルとフォルダの検索]のチェックボックスをオンにし、検索結果に隠しファイルとフォルダが含まれるようにしてください。
  • %Windows%\LastGood
  • %Windows%\LastGood\system32
  • %Windows%\LastGood\system32\DRIVERS

手順 7

最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。「TROJ_LAPKA.AG」と検出したファイルはすべて削除してください。 検出されたファイルが、弊社ウイルス対策製品により既に駆除、隔離またはファイル削除の処理が実行された場合、ウイルスの処理は完了しており、他の削除手順は特にありません。

手順 8

以下のファイルをバックアップを用いて修復します。なお、マイクロソフト製品に関連したファイルのみ修復されます。このマルウェア/グレイウェア/スパイウェアが同社製品以外のプログラムをも削除した場合には、該当プログラムを再度インストールする必要があります。

  • %System%\DRIVERS\SET2B.tmp
  • %Temp%\OLD28.tmp


ご利用はいかがでしたか? アンケートにご協力ください