TROJ_SERVSTART.C
Windows 98, ME, NT, 2000, XP, Server 2003
マルウェアタイプ:
トロイの木馬型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
マルウェアは、ユーザが特定のWebサイトにアクセスできないように、感染コンピュータのHOSTSファイルを改変します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %System%\karld.exe
- %System%\karld.exe
- %System%\karld.exe
- %System%\karld.exe
- %System%\karld.exe
- %System%\karld.exe
- %SYSTEM%\karld.exe
(註:%System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。)
自動実行方法
マルウェアは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\111
Type = 10
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\111
Start = 2
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\111
ErrorControl = 0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\111
ImagePath = %System%\{malware filename}.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\111
DisplayName = 222
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\111
ObjectName = LocalSystem
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\111\Security
Security = {Hex Values}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\111\Enum
0 = Root\LEGACY_111\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\111\Enum
Count = 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\111\Enum
NextInstance = 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\111
malimalimali = waaaaaaaaaaaaaaaahhhhh
HOSTSファイルの改変
マルウェアは、WindowsのHOSTSファイルに以下の文字列を追加します。
- http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FPALEVO%2EAN&VSect=Sn
- http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FPALEVO%2EAN&VSect=Sn
- http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FPALEVO%2EAN&VSect=Sn
- http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FPALEVO%2EAN&VSect=Sn
- http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FPALEVO%2EAN&VSect=Sn
対応方法
手順 1
Windows XP、Windows Vista および Windows 7 のユーザは、コンピュータからマルウェアもしくはアドウェア等を完全に削除するために、ウイルス検索の実行前には必ず「システムの復元」を無効にしてください。
手順 2
セーフモードでの再起動後、以下のレジストリキーを削除してください。
警告:レジストリはWindowsの構成情報が格納されているデータベースであり、レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。
レジストリの編集はお客様の責任で行っていただくようお願いいたします。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。
レジストリの編集前にこちらをご参照ください。
手順 3
以下の修正パッチをダウンロードし適用します。この脆弱性に対する修正パッチを適用するまで、該当製品の使用をお控えください。この製品の製造元が公開する正式な修正パッチをダウンロードし適用することをお勧めします。
手順 4
不正プログラム/グレイウェア/スパイウェアがHOSTSファイルに追加した文字列を削除します。
ご利用はいかがでしたか? アンケートにご協力ください